Atribuir permissões necessárias para implantação local do Azure

Aplica-se a: implantações hiperconvergadas do Azure Local

Este artigo descreve como configurar as permissões necessárias em sua assinatura para implantar o Azure Local.

Prerequisites

Pré-requisitos do computador local do Azure

Pré-requisitos do Azure

  • Registre os provedores de recursos necessários. Verifique se sua assinatura do Azure está registrada nos provedores de recursos necessários. Para se registrar, você deve ser um proprietário ou colaborador em sua assinatura. Você também pode solicitar que um administrador se registre.

    Execute os seguintes comandos do PowerShell para registrar:

    Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"
Register-AzResourceProvider -ProviderNamespace "Microsoft.KeyVault"

    Note

    • A suposição é que a pessoa que registra a assinatura do Azure com os provedores de recursos é uma pessoa diferente daquela que está registrando os computadores locais do Azure com o Arc.
    • Microsoft.Insights O provedor de recursos é necessário para monitoramento e registro em log. Se esse RP não estiver registrado, a conta de diagnóstico e o log de auditoria do Key Vault falharão durante a validação.

  • Crie um grupo de recursos. Siga as etapas para criar um grupo de recursos em que você deseja registrar seus computadores. Anote o nome do grupo de recursos e a ID da assinatura associada.

  • Obtenha a ID do locatário. Siga as etapas para obter a ID do locatário do Microsoft Entra por meio do portal do Azure:

    1. No portal do Azure, acesse Microsoft Entra ID>Propriedades.

    2. Role para baixo até a seção ID do Locatário e copie o valor da ID do Locatário a ser usado posteriormente.

  • Verificar permissões. Ao registrar computadores como recursos do Arc, verifique se você é o proprietário do grupo de recursos ou tem as seguintes permissões no grupo de recursos em que os computadores são provisionados:

    • Azure Connected Machine Onboarding.
    • Azure Connected Machine Resource Administrator.

    Para verificar se você tem essas funções, siga estas etapas no portal do Azure:

    1. Acesse a assinatura usada para a implantação local do Azure.

    2. Vá para o grupo de recursos no qual você planeja registrar o computador.

    3. No painel esquerdo, vá para Controle de Acesso (IAM).

    4. No painel direito, vá para atribuições de função. Verifique se você tem Azure Connected Machine Onboarding e Azure Connected Machine Resource Administrator funções atribuídas.

  • Verifique suas políticas do Azure. Certifique-se de que:

    • As políticas do Azure não estão bloqueando a instalação de extensões.
    • As políticas do Azure não estão bloqueando a criação de determinados tipos de recursos em um grupo de recursos.
    • As políticas do Azure não estão bloqueando a implantação de recursos em determinados locais.

Atribuir permissões do Azure para implantação

Siga estas etapas para atribuir permissões do Azure para implantação no portal do Azure.

  1. No portal do Azure, acesse a assinatura usada para registrar os computadores. No painel esquerdo, selecione Controle de acesso (IAM) . No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

    Captura de tela da atribuição de função Adicionar no Controle de acesso na assinatura para implantação do Azure Local.

  2. Percorra as guias e atribua as seguintes permissões de função ao usuário que implanta a instância:

    • Administrador do Azure Stack HCI
    • Reader

  3. No portal do Azure, acesse o grupo de recursos usado para registrar os computadores em sua assinatura. No painel esquerdo, selecione Controle de acesso (IAM) . No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

    Captura de tela da adição de atribuição de função no Controle de Acesso no grupo de recursos para implantação local do Azure.

  4. Percorra as guias e atribua as seguintes permissões ao usuário que implanta a instância:

    • Administrador de Acesso a Dados do Key Vault: essa permissão é necessária para gerenciar permissões do plano de dados para o cofre de chaves usado para implantação.
    • Oficial de Segredos do Key Vault: essa permissão é necessária para ler e gravar segredos no cofre de chaves utilizado para implantação.
    • Colaborador do Key Vault: essa permissão é necessária para criar o cofre de chaves usado para implantação.
    • Colaborador da Conta de Armazenamento: essa permissão é necessária para criar a conta de armazenamento usada para implantação.

  5. No painel direito, vá para Atribuições de função. Verifique se o usuário de implantação tem todas as funções configuradas.

Note

Depois de selecionar uma assinatura e implantar o cluster, o único método para alterar a assinatura é reimplantar o cluster.

Próximas etapas

Depois de configurar as permissões de assinatura, você pode registrar seus computadores locais do Azure com o Azure Arc.

  • Last updated on