Egyéni szerepkör létrehozása az Azure Stack Hub-regisztrációhoz

Figyelmeztetés

Ez nem biztonsági helyzeti funkció. Olyan forgatókönyvekben használja, ahol kényszereket szeretne használni az Azure-előfizetés véletlen módosításának megakadályozásához. Ha egy felhasználóhoz delegált jogosultságok vannak ehhez az egyéni szerepkörhöz, a felhasználónak jogosultságai vannak a szerkesztésre és a jogosultságok emelésére. Csak a megbízható felhasználókat rendelje hozzá az egyéni szerepkörhöz.

Az Azure Stack Hub regisztrációja során Azure Active Directory (Azure AD) fiókkal kell bejelentkeznie. A fiókhoz a következő Azure AD-engedélyek és Azure-előfizetési engedélyek szükségesek:

  • Alkalmazásregisztrációs engedélyek az Azure AD-bérlőben: A rendszergazdák alkalmazásregisztrációs engedélyekkel rendelkeznek. A felhasználók engedélye globális beállítás a bérlő összes felhasználója számára. A beállítás megtekintéséhez vagy módosításához tekintse meg az erőforrásokhoz hozzáférő Azure AD-alkalmazás és szolgáltatásnév létrehozását.

    Az alkalmazásregisztrációt regisztráló felhasználónakIgen értékre kell állítania ahhoz, hogy egy felhasználói fiók regisztrálhassa az Azure Stack Hubot. Ha az alkalmazásregisztrációk beállítása Nem, akkor nem használhat felhasználói fiókot az Azure Stack Hub regisztrálásához – globális rendszergazdai fiókot kell használnia.

  • Megfelelő Azure-előfizetési engedélyek készlete: A Tulajdonos szerepkörhöz tartozó felhasználók megfelelő engedélyekkel rendelkeznek. Más fiókok esetében az engedélykészlet hozzárendeléséhez rendeljen hozzá egy egyéni szerepkört az alábbi szakaszokban leírtak szerint.

Ahelyett, hogy tulajdonosi engedélyekkel rendelkező fiókot használ az Azure-előfizetésben, létrehozhat egy egyéni szerepkört, amely engedélyeket rendel egy kevésbé kiemelt jogosultságú felhasználói fiókhoz. Ezzel a fiókkal regisztrálhatja az Azure Stack Hubot.

Egyéni szerepkör létrehozása a PowerShell használatával

Egyéni szerepkör létrehozásához rendelkeznie kell az Microsoft.Authorization/roleDefinitions/write összes AssignableScopesengedélyével, például tulajdonossal vagy felhasználói hozzáférés-rendszergazdával. Az alábbi JSON-sablonnal egyszerűsítheti az egyéni szerepkör létrehozását. A sablon létrehoz egy egyéni szerepkört, amely lehetővé teszi az Azure Stack Hub regisztrációjához szükséges olvasási és írási hozzáférést.

  1. Hozzon létre egy JSON-fájlt. Például: C:\CustomRoles\registrationrole.json.

  2. Adja hozzá az alábbi JSON-kódot a fájlhoz. Cserélje le a <SubscriptionID> értékét a saját Azure-előfizetése azonosítójára.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. A PowerShellben csatlakozzon az Azure-hoz az Azure Resource Manager használatához. Amikor a rendszer kéri, végezzen hitelesítést megfelelő engedélyekkel rendelkező fiókkal, például tulajdonossal vagy felhasználói hozzáférés-rendszergazdával.

    Connect-AzAccount
    
  4. Az egyéni szerepkör létrehozásához használja a New-AzRoleDefinition parancsot a JSON-sablonfájl megadásával.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Felhasználó hozzárendelése regisztrációs szerepkörhöz

A regisztrációs egyéni szerepkör létrehozása után rendelje hozzá a szerepkört az Azure Stack Hub regisztrálásához használt felhasználói fiókhoz.

  1. Jelentkezzen be azzal a fiókkal, amely megfelelő engedéllyel rendelkezik az Azure-előfizetéshez a jogosultságok delegálásához , például tulajdonosi vagy felhasználói hozzáférés-rendszergazdai jogosultságokkal.

  2. Az Előfizetések területen válassza a Hozzáférés-vezérlés (IAM) > Szerepkör-hozzárendelés hozzáadása lehetőséget.

  3. A Szerepkör területen válassza ki a létrehozott egyéni szerepkört: Az Azure Stack Hub regisztrációs szerepkörét.

  4. Jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

  5. A Mentés gombra kattintva hozzárendelheti a kijelölt felhasználókat a szerepkörhöz.

    Select users to assign to custom role in Azure portal

Az egyéni szerepkörök használatáról további információt az RBAC és a Azure Portal használatával történő hozzáférés-kezelésről talál.

Következő lépések

Az Azure Stack Hub regisztrálása az Azure-ral