Přiřazení požadovaných oprávnění pro místní nasazení Azure

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak nastavit požadovaná oprávnění k vašemu předplatnému pro nasazení Azure Local.

Prerequisites

Požadavky na místní počítač Azure

• Dokončete požadavky a dokončete kontrolní seznam nasazení pro vaše prostředí.
• Připravte prostředí Active Directory.
• Stáhněte si software a nainstalujte operační systém Azure Stack HCI verze 23H2 na každý počítač.

Požadavky Azure

• Zaregistrujte požadované poskytovatele prostředků. Ujistěte se, že je vaše předplatné Azure zaregistrované vůči požadovaným poskytovatelům prostředků. Pokud se chcete zaregistrovat, musíte být vlastníkem nebo přispěvatelem vašeho předplatného. Můžete také požádat správce, aby se zaregistroval.

  Spusťte následující příkazy PowerShellu k registraci:

  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"
  

  Note

  • Předpokladem je, že osoba, která registruje předplatné Azure u poskytovatelů prostředků, je jiná osoba než osoba, která registruje místní počítače Azure ve službě Arc.
  • Microsoft.Insights Poskytovatel prostředků je vyžadován pro monitorování a zaznamenávání. Pokud tento poskytovatel prostředků není zaregistrovaný, diagnostický účet a protokolování auditu v Key Vault během ověřování selžou.

• Vytvořte skupinu prostředků. Postupujte podle následujících kroků, abyste vytvořili skupinu prostředků, ve které chcete zaregistrovat své počítače. Poznamenejte si název skupiny prostředků a ID přidruženého předplatného.

• Získejte ID tenanta. Postupujte podle kroků v části Získání ID tenanta Microsoft Entra prostřednictvím webu Azure Portal:

  1. V Azure portálu přejděte na Microsoft Entra ID>Vlastnosti.

  2. Posuňte se dolů do části ID tenanta a zkopírujte hodnotu ID tenanta , kterou chcete použít později.

• Ověřte oprávnění. Při registraci počítačů jako prostředků Arc se ujistěte, že jste vlastníkem skupiny prostředků nebo máte následující oprávnění ke skupině prostředků, ve které jsou počítače zřízené:

  • Azure Connected Machine Onboarding.
  • Azure Connected Machine Resource Administrator.

  Pokud chcete ověřit, že máte tyto role, postupujte podle těchto kroků na webu Azure Portal:

  1. Přejděte k předplatnému, které jste použili pro místní nasazení Azure.

  2. Přejděte do skupiny prostředků, ve které chcete počítač zaregistrovat.

  3. V levém podokně přejděte na Řízení přístupu (IAM).

  4. V pravém podokně přejděte na Přiřazení rolí. Ověřte, že máte přiřazené role Azure Connected Machine Onboarding a Azure Connected Machine Resource Administrator.

• Zkontrolujte zásady Azure. Ujistěte se, že:

  • Zásady Azure neblokují instalaci rozšíření.
  • Zásady Azure neblokují vytváření určitých typů prostředků ve skupině prostředků.
  • Zásady Azure neblokují nasazení prostředků v určitých umístěních.

Přiřazení oprávnění Azure pro nasazení

Pomocí těchto kroků přiřaďte oprávnění Azure pro nasazení z webu Azure Portal.

1. Na webu Azure Portal přejděte k předplatnému použitému k registraci počítačů. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

2. Projděte si záložky a přiřaďte následující oprávnění role uživateli, který nasazuje instanci.

   • Správce Azure Stack HCI
   • Reader

3. Na webu Azure Portal přejděte do skupiny prostředků použité k registraci počítačů ve vašem předplatném. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

4. Projděte karty a přiřaďte následující oprávnění uživateli, který spouští instanci:

   • Správce přístupu k datům služby Key Vault: Toto oprávnění se vyžaduje ke správě oprávnění roviny dat k trezoru klíčů používanému k nasazení.
   • Key Vault Secrets Officer: Toto oprávnění se vyžaduje ke čtení a zápisu tajných kódů v trezoru klíčů používaném k nasazení.
   • Přispěvatel služby Key Vault: Toto oprávnění se vyžaduje k vytvoření trezoru klíčů používaného k nasazení.
   • Přispěvatel účtu úložiště: Toto oprávnění se vyžaduje k vytvoření účtu úložiště použitého k nasazení.

5. V pravém podokně přejděte na přiřazení rolí. Ověřte, že má uživatel nasazení všechny nakonfigurované role.

Note

Jakmile vyberete předplatné a nasadíte cluster, jedinou metodou změny předplatného je opětovné nasazení clusteru.

Další kroky

Po nastavení oprávnění předplatného můžete své místní počítače Azure zaregistrovat ve službě Azure Arc.

• Registrace pomocí brány Azure Arc
• Zaregistrujte se pomocí Azure Arc.