Vytvoření vlastní role pro registraci služby Azure Stack Hub

Upozornění

Nejedná se o funkci stavu zabezpečení. Použijte ho ve scénářích, ve kterých chcete zabránit náhodným změnám předplatného Azure. Pokud má uživatel delegovaná práva k této vlastní roli, má uživatel práva k úpravám oprávnění a zvýšení oprávnění. Přiřaďte uživatelům, kterým důvěřujete, jenom vlastní roli.

Během registrace služby Azure Stack Hub se musíte přihlásit pomocí účtu Azure Active Directory (Azure AD). Účet vyžaduje následující oprávnění Azure AD a oprávnění předplatného Azure:

  • Oprávnění k registraci aplikací ve vašem tenantovi Azure AD: Správci mají oprávnění k registraci aplikací. Oprávnění pro uživatele je globální nastavení pro všechny uživatele v tenantovi. Pokud chcete toto nastavení zobrazit nebo změnit, podívejte se na článek Vytvoření aplikace a instančního objektu Azure AD, který má přístup k prostředkům.

    Uživatel může registrovat nastavení aplikací, pokud chcete povolit registraci služby Azure Stack Hub uživatelským účtem, musí být nastavené na Ano. Pokud je nastavení registrace aplikací nastavené na Ne, nemůžete k registraci služby Azure Stack Hub použít uživatelský účet– musíte použít účet globálního správce.

  • Sada dostatečných oprávnění předplatného Azure: Uživatelé, kteří patří do role Vlastník, mají dostatečná oprávnění. U jiných účtů můžete přiřadit sadu oprávnění přiřazením vlastní role, jak je popsáno v následujících částech.

Místo použití účtu s oprávněními vlastníka v předplatném Azure můžete vytvořit vlastní roli pro přiřazení oprávnění k méně privilegovanému uživatelskému účtu. Tento účet pak můžete použít k registraci služby Azure Stack Hub.

Vytvoření vlastní role pomocí PowerShellu

Pokud chcete vytvořit vlastní roli, musíte mít Microsoft.Authorization/roleDefinitions/write oprávnění ke všem AssignableScopes, jako je vlastník nebo správce uživatelských přístupů. Pomocí následující šablony JSON zjednodušte vytváření vlastní role. Šablona vytvoří vlastní roli, která umožňuje požadovaný přístup ke čtení a zápisu pro registraci služby Azure Stack Hub.

  1. Vytvořte soubor JSON. Například, C:\CustomRoles\registrationrole.json.

  2. Přidejte do souboru následující kód JSON. <SubscriptionID> nahraďte ID vašeho předplatného Azure.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. V PowerShellu se připojte k Azure a použijte Azure Resource Manager. Po zobrazení výzvy se ověřte pomocí účtu s dostatečnými oprávněními, jako je vlastník nebo správce uživatelských přístupů.

    Connect-AzAccount
    
  4. K vytvoření vlastní role použijte New-AzRoleDefinition určující soubor šablony JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Přiřazení uživatele k registrační roli

Po vytvoření vlastní role registrace přiřaďte roli uživatelskému účtu, který se použije k registraci služby Azure Stack Hub.

  1. Přihlaste se pomocí účtu s dostatečným oprávněním k předplatnému Azure k delegování práv, jako je vlastník nebo správce uživatelských přístupů.

  2. V předplatných vyberte Řízení přístupu (IAM) > Přidat přiřazení role.

  3. V části Role zvolte vlastní roli, kterou jste vytvořili: registrační roli služby Azure Stack Hub.

  4. Vyberte uživatele, které chcete přiřadit k roli.

  5. Výběrem možnosti Uložit přiřaďte vybrané uživatele k roli.

    Select users to assign to custom role in Azure portal

Další informace o používání vlastních rolí najdete v tématu správa přístupu pomocí RBAC a Azure Portal.

Další kroky

Registrace služby Azure Stack Hub v Azure