Создание пользовательской роли для регистрации Azure Stack Hub

  • Статья
  • Чтение занимает 2 мин

Предупреждение

Это не функция безопасности. Прибегайте к этому в тех случаях, когда вы хотите, чтобы ограничения предотвращали случайные изменения в подписке Azure. Если пользователь делегирует права настраиваемой роли, он получает права на изменение разрешений и на повышение уровня прав. Назначайте настраиваемую роль только тем пользователям, которым вы доверяете.

Во время регистрации Azure Stack Hub вам необходимо выполнить вход с помощью учетной записи Azure Active Directory (Azure AD). Для учетной записи требуются следующие разрешения Azure AD и подписки Azure:

  • Разрешения на регистрацию приложения в клиенте Azure AD: Администраторы имеют разрешения на регистрацию приложения. Разрешение для пользователя — это глобальный параметр для всех пользователей в клиенте. Чтобы просмотреть или изменить параметр, ознакомьтесь с разделом создание приложения Azure AD и субъекта-службы с доступом к ресурсам.

    Пользователь может регистрировать приложения. Параметру должно быть присвоено значение Да, чтобы разрешить учетной записи пользователя регистрировать Azure Stack Hub. Если для параметра регистрации приложений задано значение "Нет", вы не можете использовать учетную запись пользователя для регистрации Azure Stack Hub. Для этого необходимо использовать учетную запись глобального администратора.

  • Набор достаточных разрешений подписки Azure: Пользователи, принадлежащие роли владельца, имеют достаточные разрешения. Для других учетных записей вы можете присвоить набор разрешений, назначив настраиваемую роль, как описано в следующем разделе.

Вы можете создать пользовательскую роль (вместо использования учетной записи с правами владельца в подписке Azure) и с ее помощью назначить разрешения учетной записи пользователя с меньшими полномочиями. Эту учетную запись можно затем использовать для регистрации Azure Stack Hub.

Создание пользовательской роли с помощью PowerShell

Чтобы создать пользовательскую роль, нужно иметь разрешение Microsoft.Authorization/roleDefinitions/write для всех объектов AssignableScopes, таких как Владелец или Администратор доступа пользователей. Используйте следующий шаблон JSON, чтобы упростить создание пользовательской роли. Этот шаблон создает пользовательскую роль, которая дает требуемый доступ на чтение и запись для регистрации Azure Stack Hub.

  1. Создайте файл JSON. Например, C:\CustomRoles\registrationrole.json.

  2. Добавьте в файл следующий код JSON. Замените <SubscriptionID> идентификатором своей подписки Azure.

    {
  "Name": "Azure Stack Hub registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows access to register Azure Stack Hub",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.AzureStack/registrations/*",
    "Microsoft.AzureStack/register/action",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/delete",
    "Microsoft.Authorization/permissions/read",
    "Microsoft.Authorization/locks/read",
    "Microsoft.Authorization/locks/write"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<SubscriptionID>"
  ]
}

  3. В PowerShell подключитесь к Azure, чтобы использовать Azure Resource Manager. При поступлении запроса войдите в учетную запись с достаточными разрешениями, например владельца или администратора доступа пользователей.

    Connect-AzAccount

  4. Чтобы создать пользовательскую роль, используйте New-AzRoleDefinition , указав файл шаблона JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"

Назначение пользователя роли для регистрации

После создания пользовательской роли для регистрации назначьте ее учетной записи пользователя, которая будет использоваться для регистрации Azure Stack Hub.

  1. Войдите с учетной записью с достаточным разрешением на подписку Azure, чтобы делегировать права, такие как владелец или администратор доступа пользователей.

  2. В разделе "Подписки" выберите "Управление доступом (IAM) > Добавить назначение ролей.

  3. В роли выберите созданную пользовательскую роль: роль регистрации Azure Stack Hub.

  4. Выберите пользователей, которых хотите назначить роли.

  5. Щелкните Сохранить, чтобы назначить выбранных пользователей роли.

    Select users to assign to custom role in Azure portal

Дополнительные сведения об использовании настраиваемых ролей см. в статье Управление доступом с помощью RBAC и портала Azure.

Дальнейшие действия

Регистрация Azure Stack Hub в Azure