Создание пользовательской роли для регистрации Azure Stack Hub

  • Статья

Предупреждение

Это не функция безопасности. Прибегайте к этому в тех случаях, когда вы хотите, чтобы ограничения предотвращали случайные изменения в подписке Azure. Если пользователь делегирует права настраиваемой роли, он получает права на изменение разрешений и на повышение уровня прав. Назначайте настраиваемую роль только тем пользователям, которым вы доверяете.

Во время регистрации в Azure Stack Hub необходимо войти с помощью учетной записи Microsoft Entra. Для учетной записи требуются следующие разрешения Microsoft Entra и разрешения подписки Azure:

  • Разрешения на регистрацию приложений в клиенте Microsoft Entra. У администраторов есть разрешения на регистрацию приложений. Разрешение для пользователя — это глобальный параметр для всех пользователей в клиенте. Чтобы просмотреть или изменить параметр, см. статью Создание Microsoft Entra приложения и субъекта-службы, которые могут получать доступ к ресурсам.

    Пользователь может регистрировать приложения. Параметру должно быть присвоено значение Да, чтобы разрешить учетной записи пользователя регистрировать Azure Stack Hub. Если для параметра регистрации приложений задано значение Нет, вы не сможете использовать учетную запись пользователя для регистрации Azure Stack Hub. Необходимо использовать учетную запись глобального администратора.

  • Набор достаточных разрешений для подписки Azure: Пользователи, принадлежащие роли владелец, имеют достаточные разрешения. Для других учетных записей вы можете присвоить набор разрешений, назначив настраиваемую роль, как описано в следующем разделе.

Вы можете создать пользовательскую роль (вместо использования учетной записи с правами владельца в подписке Azure) и с ее помощью назначить разрешения учетной записи пользователя с меньшими полномочиями. Эту учетную запись можно затем использовать для регистрации Azure Stack Hub.

Создание пользовательской роли с помощью PowerShell

Чтобы создать пользовательскую роль, нужно иметь разрешение Microsoft.Authorization/roleDefinitions/write для всех объектов AssignableScopes, таких как Владелец или Администратор доступа пользователей. Используйте следующий шаблон JSON, чтобы упростить создание пользовательской роли. Этот шаблон создает пользовательскую роль, которая дает требуемый доступ на чтение и запись для регистрации Azure Stack Hub.

  1. Создайте файл JSON. Например, C:\CustomRoles\registrationrole.json.

  2. Добавьте в файл следующий код JSON. Замените <SubscriptionID> идентификатором своей подписки Azure.

    {
  "Name": "Azure Stack Hub registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows access to register Azure Stack Hub",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.AzureStack/registrations/*",
    "Microsoft.AzureStack/register/action",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/delete",
    "Microsoft.Authorization/permissions/read",
    "Microsoft.Authorization/locks/read",
    "Microsoft.Authorization/locks/write"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<SubscriptionID>"
  ]
}

  3. В PowerShell подключитесь к Azure, чтобы использовать Azure Resource Manager. При поступлении запроса войдите в учетную запись с достаточными разрешениями, например владельца или администратора доступа пользователей.

    Connect-AzAccount

  4. Чтобы создать настраиваемую роль, используйте командлет New-AzRoleDefinition , указав файл шаблона JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"

Назначение пользователя роли для регистрации

После создания пользовательской роли для регистрации назначьте ее учетной записи пользователя, которая будет использоваться для регистрации Azure Stack Hub.

  1. Войдите с помощью учетной записи с достаточными разрешениями в подписке Azure для делегирования прав, таких как владелец или администратор доступа пользователей.

  2. В разделе Подписки выберите Управление доступом (IAM) > Добавить назначение ролей.

  3. В поле Роль выберите созданную пользовательскую роль: Роль регистрации Azure Stack Hub.

  4. Выберите пользователей, которых хотите назначить роли.

  5. Щелкните Сохранить, чтобы назначить выбранных пользователей роли.

    Выбор пользователей для назначения им пользовательской роли на портале Azure

Дополнительные сведения об использовании настраиваемых ролей см. в статье Управление доступом с помощью RBAC и портала Azure.

Дальнейшие действия

Регистрация Azure Stack Hub в Azure