Vytvoření vlastní role pro registraci služby Azure Stack Hub
Upozornění
Nejedná se o funkci stavu zabezpečení. Použijte ho ve scénářích, ve kterých chcete zabránit náhodným změnám předplatného Azure. Když má uživatel delegovaná práva k této vlastní roli, má oprávnění k úpravám a zvýšení oprávnění. Vlastní roli přiřaďte jenom uživatelům, kterým důvěřujete.
Během registrace služby Azure Stack Hub se musíte přihlásit pomocí účtu Microsoft Entra. Účet vyžaduje následující Microsoft Entra oprávnění a oprávnění předplatného Azure:
Oprávnění k registraci aplikací v tenantovi Microsoft Entra: Správci mají oprávnění k registraci aplikací. Oprávnění pro uživatele je globální nastavení pro všechny uživatele v tenantovi. Pokud chcete toto nastavení zobrazit nebo změnit, přečtěte si téma Vytvoření aplikace Microsoft Entra a instančního objektu, které mají přístup k prostředkům.
Pokud chcete povolit uživatelskému účtu registraci služby Azure Stack Hub, musí být nastavení Uživatel může registrovat aplikace nastaveno na Ano . Pokud je nastavení registrace aplikací nastavené na Ne, nemůžete k registraci služby Azure Stack Hub použít uživatelský účet – musíte použít účet globálního správce.
Sada dostatečných oprávnění k předplatnému Azure: Uživatelé, kteří patří do role vlastníka, mají dostatečná oprávnění. U jiných účtů můžete sadu oprávnění přiřadit přiřazením vlastní role, jak je popsáno v následujících částech.
Místo použití účtu, který má v předplatném Azure oprávnění vlastníka, můžete vytvořit vlastní roli pro přiřazení oprávnění k uživatelskému účtu s méně oprávněními. Tento účet pak můžete použít k registraci služby Azure Stack Hub.
Vytvoření vlastní role pomocí PowerShellu
Chcete-li vytvořit vlastní roli, musíte mít Microsoft.Authorization/roleDefinitions/write
oprávnění pro všechny AssignableScopes
, jako je vlastník nebo správce uživatelských přístupů. Pokud chcete zjednodušit vytváření vlastní role, použijte následující šablonu JSON. Šablona vytvoří vlastní roli, která umožňuje požadovaný přístup ke čtení a zápisu pro registraci služby Azure Stack Hub.
Vytvořte soubor JSON. Například,
C:\CustomRoles\registrationrole.json
.Přidejte do souboru následující kód JSON.
<SubscriptionID>
nahraďte ID vašeho předplatného Azure.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }
V PowerShellu se připojte k Azure a použijte Azure Resource Manager. Po zobrazení výzvy proveďte ověření pomocí účtu s dostatečnými oprávněními, jako je vlastník nebo správce uživatelských přístupů.
Connect-AzAccount
Pokud chcete vytvořit vlastní roli, použijte New-AzRoleDefinition určující soubor šablony JSON.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Přiřazení role registrace uživatele
Po vytvoření vlastní role registrace přiřaďte roli uživatelskému účtu, který se použije k registraci služby Azure Stack Hub.
Přihlaste se pomocí účtu s dostatečným oprávněním k předplatnému Azure, abyste mohli delegovat práva – například vlastníka nebo správce uživatelských přístupů.
V části Předplatná vyberte Řízení přístupu (IAM) > Přidat přiřazení role.
V části Role zvolte vlastní roli, kterou jste vytvořili: Registrační role služby Azure Stack Hub.
Vyberte uživatele, které chcete přiřadit k roli.
Vyberte Uložit a přiřaďte vybrané uživatele k roli.
Další informace o používání vlastních rolí najdete v tématu Správa přístupu pomocí RBAC a Azure Portal.