Crie um papel personalizado para o registo do Azure Stack HubCreate a custom role for Azure Stack Hub registration

Aviso

Isto não é uma postura de segurança.This is not a security posture feature. Utilize-o em cenários em que pretenda constrangimentos para evitar alterações acidentais na Subscrição Azure.Use it in scenarios where you want constraints to prevent accidental changes to the Azure Subscription. Quando um utilizador é delegado direitos a esta função personalizada, o utilizador tem o direito de editar permissões e elevar os direitos.When a user is delegated rights to this custom role, the user has rights to edit permissions and elevate rights. Apenas atribua aos utilizadores que confia no papel personalizado.Only assign users you trust to the custom role.

Durante a inscrição do Azure Stack Hub, você deve assinar com uma conta Azure Ative Directory (Azure AD).During Azure Stack Hub registration, you must sign in with an Azure Active Directory (Azure AD) account. A conta requer as seguintes permissões AD AZure e permissões de subscrição Azure:The account requires the following Azure AD permissions and Azure Subscription permissions:

  • Permissões de registo de aplicativos no seu inquilino AZure AD: Os administradores têm permissões de registo de aplicações.App registration permissions in your Azure AD tenant: Admins have app registration permissions. A permissão para os utilizadores é uma configuração global para todos os utilizadores do arrendatário.The permission for users is a global setting for all users in the tenant. Para visualizar ou alterar a configuração, consulte criar uma aplicação AD Azure e um responsável de serviços que possa aceder aos recursos.To view or change the setting, see create an Azure AD app and service principal that can access resources.

    O utilizador pode registar a definição de aplicações tem de ser configurada como Sim para que possa permitir que uma conta de utilizador registe o Azure Stack Hub.The user can register applications setting must be set to Yes for you to enable a user account to register Azure Stack Hub. Se a definição de registos de aplicações estiver definida como Nº, não pode utilizar uma conta de utilizador para registar o Azure Stack Hub — tem de utilizar uma conta de administração global.If the app registrations setting is set to No , you can't use a user account to register Azure Stack Hub—you have to use a global admin account.

  • Um conjunto de permissões de subscrição Azure suficientes: Os utilizadores que pertencem à função Proprietário têm permissões suficientes.A set of sufficient Azure Subscription permissions: Users that belong to the Owner role have sufficient permissions. Para outras contas, pode atribuir a permissão definida atribuindo uma função personalizada como delineada nas seguintes secções.For other accounts, you can assign the permission set by assigning a custom role as outlined in the following sections.

Em vez de utilizar uma conta que tenha permissões do Proprietário na subscrição do Azure, pode criar uma função personalizada para atribuir permissões a uma conta de utilizador menos privilegiada.Rather than using an account that has Owner permissions in the Azure subscription, you can create a custom role to assign permissions to a less-privileged user account. Esta conta pode então ser usada para registar o seu Azure Stack Hub.This account can then be used to register your Azure Stack Hub.

Crie um papel personalizado usando o PowerShellCreate a custom role using PowerShell

Para criar uma função personalizada, tem de ter a Microsoft.Authorization/roleDefinitions/write permissão em todos AssignableScopes , como Proprietário ou Administrador de Acesso ao Utilizador.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator. Utilize o modelo JSON seguinte para simplificar a criação do papel personalizado.Use the following JSON template to simplify creation of the custom role. O modelo cria uma função personalizada que permite a leitura e a escrita necessárias para o registo do Azure Stack Hub.The template creates a custom role that allows the required read and write access for Azure Stack Hub registration.

  1. Crie um ficheiro JSON.Create a JSON file. Por exemplo, C:\CustomRoles\registrationrole.json.For example, C:\CustomRoles\registrationrole.json.

  2. Adicione o seguinte JSON ao ficheiro.Add the following JSON to the file. Substitua <SubscriptionID> pelo seu ID da subscrição do Azure.Replace <SubscriptionID> with your Azure subscription ID.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. No PowerShell, ligue-se ao Azure para utilizar o Azure Resource Manager.In PowerShell, connect to Azure to use Azure Resource Manager. Quando solicitado, autentica usando uma conta com permissões suficientes, como o Proprietário ou o Administrador de Acesso ao Utilizador.When prompted, authenticate using an account with sufficient permissions such as Owner or User Access Administrator.

    Connect-AzAccount
    
  4. Para criar o papel personalizado, utilize a Nova-AzRoleDefinition especificando o ficheiro de modelo JSON.To create the custom role, use New-AzRoleDefinition specifying the JSON template file.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Atribuir um utilizador à função de registoAssign a user to registration role

Após a criação da função personalizada de registo, atribua a função à conta de utilizador que será utilizada para registar o Azure Stack Hub.After the registration custom role is created, assign the role to the user account that will be used for registering Azure Stack Hub.

  1. Inscreva-se na conta com permissão suficiente na subscrição do Azure para delegados de direitos , tais como Proprietário ou Administrador de Acesso ao Utilizador.Sign in with the account with sufficient permission on the Azure subscription to delegate rights—such as Owner or User Access Administrator.

  2. Em Subscrições, selecione Access control (IAM) > Adicionar a atribuição de funções.In Subscriptions , select Access control (IAM) > Add role assignment.

  3. In Role , escolha o papel personalizado que criou: função de registo Azure Stack Hub.In Role , choose the custom role you created: Azure Stack Hub registration role.

  4. Selecione os utilizadores que pretende atribuir à função.Select the users you want to assign to the role.

  5. Selecione Guardar para atribuir os utilizadores selecionados à função.Select Save to assign the selected users to the role.

    Selecione utilizadores para atribuir a função personalizada no portal Azure

Para obter mais informações sobre a utilização de funções personalizadas, consulte gerir o acesso utilizando o RBAC e o portal Azure.For more information on using custom roles, see manage access using RBAC and the Azure portal.

Passos seguintesNext steps

Registre O Hub Azure Stack com AzureRegister Azure Stack Hub with Azure