Criar uma função personalizada para o registro do Azure Stack Hub

Aviso

Esse não é um recurso de postura de segurança. Use-o em cenários em que você deseja restrições para evitar alterações acidentais na Assinatura do Azure. Quando um usuário tem direitos delegados a essa função personalizada, o usuário tem direitos para editar permissões e elevar direitos. Atribua somente usuários confiáveis à função personalizada.

Durante o registro do Azure Stack Hub, você deve entrar com uma conta Microsoft Entra. A conta requer as seguintes permissões de Microsoft Entra e permissões de Assinatura do Azure:

• Permissões de registro de aplicativo em seu locatário Microsoft Entra: os administradores têm permissões de registro de aplicativo. A permissão para usuários é uma configuração global para todos os usuários no locatário. Para exibir ou alterar a configuração, confira Criar um aplicativo Microsoft Entra e uma entidade de serviço que possa acessar recursos.

  O usuário pode registrar a configuração de aplicativos deve ser definido como Sim para que você habilite uma conta de usuário para registrar o Azure Stack Hub. Se a configuração de registros de aplicativo estiver definida como Não, você não poderá usar uma conta de usuário para registrar o Azure Stack Hub. Você precisa usar uma conta de administrador global.

• Um conjunto de permissões de Assinatura do Azure suficientes: Os usuários que pertencem à função Proprietário têm permissões suficientes. Para outras contas, você pode atribuir o conjunto de permissões atribuindo uma função personalizada, conforme descrito nas seções a seguir.

Em vez de usar uma conta que tenha permissões de Proprietário na assinatura do Azure, você pode criar uma função personalizada para atribuir permissões a uma conta de usuário com menos privilégios. Essa conta pode ser usada para registrar seu Azure Stack Hub.

Criar uma função personalizada usando o PowerShell

Para criar uma função personalizada, você precisa ter a permissão Microsoft.Authorization/roleDefinitions/write em todo AssignableScopes, como Proprietário ou Administrador de Acesso de Usuário. Use o modelo JSON a seguir para simplificar a criação da função personalizada. O modelo cria uma função personalizada que permite o acesso de leitura e gravação necessário para o registro do Azure Stack Hub.

1. Crie um arquivo JSON. Por exemplo, C:\CustomRoles\registrationrole.json.

2. Adicione o seguinte JSON ao arquivo. Substitua <SubscriptionID> por sua ID da assinatura do Azure.

   {
     "Name": "Azure Stack Hub registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Allows access to register Azure Stack Hub",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStack/registrations/*",
       "Microsoft.AzureStack/register/action",
       "Microsoft.Authorization/roleAssignments/read",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/delete",
       "Microsoft.Authorization/permissions/read",
       "Microsoft.Authorization/locks/read",
       "Microsoft.Authorization/locks/write"
     ],
     "NotActions": [
     ],
     "AssignableScopes": [
       "/subscriptions/<SubscriptionID>"
     ]
   }
   

3. No PowerShell, conecte-se ao Azure para usar o Azure Resource Manager. Quando solicitado, autentique usando uma conta com permissões suficientes, como Proprietário ou Administrador de Acesso do Usuário.

   Connect-AzAccount
   

4. Para criar a função personalizada, use New-AzRoleDefinition especificando o arquivo de modelo JSON.

   New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
   

Atribuir um usuário à função de registro

Depois que a função personalizada de registro for criada, atribua a função à conta de usuário que será usada para registrar o Azure Stack Hub.

1. Entre com a conta com permissão suficiente na assinatura do Azure para delegar direitos, como Proprietário ou Administrador de Acesso do Usuário.

2. Em Assinaturas, selecione Controle de acesso (IAM) > Adicionar atribuição de função.

3. Em Função, escolha a função personalizada que você criou: função de registro do Azure Stack Hub.

4. Selecione os usuários que você deseja atribuir à função.

5. Selecione Salvar para atribuir os usuários selecionados à função.

   

Para obter mais informações sobre como usar funções personalizadas, confira Gerenciar o acesso usando o RBAC e o portal do Azure.

Próximas etapas

Registrar o Azure Stack Hub com o Azure