Crie um papel personalizado para o registo do Azure Stack Hub

Aviso

Isto não é uma postura de segurança. Utilize-o em cenários onde pretenda constrangimentos para evitar alterações acidentais na Subscrição do Azure. Quando um utilizador é delegado direitos a esta função personalizada, o utilizador tem o direito de editar permissões e elevar os direitos. Apenas atribua aos utilizadores que confia no papel personalizado.

Durante a inscrição do Azure Stack Hub, você deve iniciar sôms com uma conta Azure Ative Directory (Azure AD). A conta requer as seguintes permissões AD AZure e permissões de subscrição Azure:

  • Permissões de registo de aplicativos no seu inquilino AZure AD: Os administradores têm permissões de registo de aplicações. A permissão para utilizadores é uma configuração global para todos os utilizadores do arrendatário. Para visualizar ou alterar a configuração, consulte criar uma aplicação AD Azure e um responsável de serviços que possa aceder aos recursos.

    O utilizador pode registar a definição de aplicações tem de ser configurada como Sim para que possa permitir que uma conta de utilizador registe o Azure Stack Hub. Se a definição de registos de aplicações estiver definida como Nº,não é possível utilizar uma conta de utilizador para registar o Azure Stack Hub -- tem de utilizar uma conta de administração global.

  • Um conjunto de permissões de subscrição Azure suficientes: Os utilizadores que pertencem à função Proprietário têm permissões suficientes. Para outras contas, pode atribuir a permissão definida atribuindo uma função personalizada como delineada nas seguintes secções.

Em vez de utilizar uma conta que tenha permissões do Proprietário na subscrição do Azure, pode criar uma função personalizada para atribuir permissões a uma conta de utilizador menos privilegiada. Esta conta pode então ser usada para registar o seu Azure Stack Hub.

Crie um papel personalizado usando o PowerShell

Para criar uma função personalizada, tem de ter a Microsoft.Authorization/roleDefinitions/write permissão em todos AssignableScopes , como Microsoft.Authorization/roleDefinitions/write ou Administrador de Acesso AssignableScopes Utilize o modelo JSON seguinte para simplificar a criação do papel personalizado. O modelo cria uma função personalizada que permite a leitura e a escrita necessárias para o registo do Azure Stack Hub.

  1. Crie um ficheiro JSON. Por exemplo, C:\CustomRoles\registrationrole.json.

  2. Adicione o seguinte JSON ao ficheiro. Substitua <SubscriptionID> pelo seu ID da subscrição do Azure.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. No PowerShell, ligue-se ao Azure para utilizar o Azure Resource Manager. Quando solicitado, autentica usando uma conta com permissões suficientes, como Proprietário ou Administrador de Acesso ao Utilizador.

    Connect-AzAccount
    
  4. Para criar o papel personalizado, utilize a Nova AzRoleDefinition especificando o ficheiro de modelo JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Atribuir um utilizador à função de registo

Após a criação da função personalizada de registo, atribua a função à conta de utilizador que será utilizada para registar o Azure Stack Hub.

  1. Inscreva-se na conta com permissão suficiente na subscrição do Azure para delegar direitos - como Proprietário ou Administrador de Acesso ao Utilizador.

  2. Em Subscrições,selecione Access control (IAM) Adicionar a atribuição de funções.

  3. In Role, escolha o papel personalizado que criou: função de registo Azure Stack Hub.

  4. Selecione os utilizadores que pretende atribuir à função.

  5. Selecione Guardar para atribuir os utilizadores selecionados à função.

    Selecione utilizadores para atribuir a função personalizada no portal Azure

Para obter mais informações sobre a utilização de funções personalizadas, consulte gerir o acesso utilizando o RBAC e o portal Azure.

Passos seguintes

Registre O Hub Azure Stack com Azure