Creación de un rol personalizado para el registro de Azure Stack Hub
Advertencia
Esto no es una característica de la postura de seguridad. Úsela en escenarios donde quiera que las restricciones eviten cambios accidentales en la suscripción a Azure. Cuando un usuario tiene derechos delegados a este rol personalizado, también tendrá derechos para modificar los permisos y elevar derechos. Solo asigne usuarios en los que confía al rol personalizado.
Durante el registro de Azure Stack Hub, debe iniciar sesión con una cuenta de Microsoft Entra. La cuenta requiere los siguientes permisos de Microsoft Entra y permisos de suscripción de Azure:
Permisos de registro de aplicaciones en el inquilino de Microsoft Entra: los administradores tienen permisos de registro de aplicaciones. El permiso para los usuarios es una configuración global para todos los usuarios en el inquilino. Para ver o cambiar la configuración, consulte Creación de una aplicación de Microsoft Entra y una entidad de servicio que puedan acceder a los recursos.
La opción de configuración Los usuarios pueden registrar aplicaciones debe establecerse en Sí para habilitar una cuenta de usuario para registrar Azure Stack Hub. Si la opción de configuración del registro de la aplicación se establece en No, no puede usar una cuenta de usuario para registrar Azure Stack Hub, sino que debe utilizar una cuenta de administrador global.
Conjunto de permisos suficientes de suscripción a Azure: Los usuarios que pertenecen al rol de propietario tienen permisos suficientes. Para otras cuentas, puede asignar el conjunto de permisos mediante la asignación de un rol personalizado tal como se describe en las secciones siguientes.
En lugar de usar una cuenta que tenga permisos de propietario en la suscripción de Azure, puede crear un rol personalizado para asignar permisos a una cuenta de usuario menos privilegiada. Esta cuenta se puede utilizar entonces para registrar la instancia de Azure Stack Hub.
Creación de un rol personalizado con PowerShell
Para crear un rol personalizado, debe tener el permiso Microsoft.Authorization/roleDefinitions/write
en todos los AssignableScopes
, como Propietario o Administrador de acceso de usuario. Use la siguiente plantilla JSON para simplificar la creación del rol personalizado. La plantilla crea un rol personalizado que permite el acceso de lectura y escritura necesarios para el registro de Azure Stack Hub.
Cree un archivo JSON. Por ejemplo,
C:\CustomRoles\registrationrole.json
.Agregue el siguiente JSON al archivo. Reemplace
<SubscriptionID>
con la identificación de su suscripción de Azure.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }
En PowerShell, conéctese a Azure para usar Azure Resource Manager. Cuando se le solicite, autentíquese con una cuenta con permisos suficientes como Propietario o Administrador de acceso de usuario.
Connect-AzAccount
Para crear el rol personalizado, utilice New-AzRoleDefinition mediante la especificación del archivo de plantilla JSON.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Asignación de un usuario al rol de registro
Después de crear el rol personalizado de registro, asigne el rol a la cuenta de usuario que se usará para registrar Azure Stack Hub.
Inicie sesión con la cuenta que tenga permisos suficientes en la suscripción a Azure para delegar derechos, como Propietario o Administrador de acceso de usuario.
En Suscripciones, seleccione Control de acceso (IAM) > Agregar asignación de roles.
En Rol, elija el rol personalizado que ha creado: Rol de registro de Azure Stack Hub.
Seleccione los usuarios que quiere asignar al rol.
Seleccione Guardar para asignar los usuarios seleccionados al rol.
Para saber más sobre los roles personalizados, vea Administración del acceso mediante RBAC y Azure Portal.