Criar uma função personalizada para o registo do Azure Stack Hub

Aviso

Esta não é uma funcionalidade de postura de segurança. Utilize-o em cenários em que pretenda restrições para evitar alterações acidentais à Subscrição do Azure. Quando um utilizador é delegado a esta função personalizada, o utilizador tem direitos para editar permissões e elevar direitos. Atribua apenas os utilizadores em que confia à função personalizada.

Durante o registo do Azure Stack Hub, tem de iniciar sessão com uma conta Microsoft Entra. A conta requer as seguintes permissões de Microsoft Entra e permissões de Subscrição do Azure:

• Permissões de registo de aplicações no inquilino Microsoft Entra: os administradores têm permissões de registo de aplicações. A permissão para utilizadores é uma definição global para todos os utilizadores no inquilino. Para ver ou alterar a definição, veja Criar uma aplicação Microsoft Entra e principal de serviço que possa aceder aos recursos.

  O utilizador pode registar a definição de aplicações tem de estar definida como Sim para permitir que uma conta de utilizador registe o Azure Stack Hub. Se a definição de registos de aplicações estiver definida como Não, não pode utilizar uma conta de utilizador para registar o Azure Stack Hub- tem de utilizar uma conta de administrador global.

• Um conjunto de permissões de Subscrição do Azure suficientes: Os utilizadores que pertencem à função proprietário têm permissões suficientes. Para outras contas, pode atribuir o conjunto de permissões ao atribuir uma função personalizada, conforme descrito nas secções seguintes.

Em vez de utilizar uma conta que tenha permissões de Proprietário na subscrição do Azure, pode criar uma função personalizada para atribuir permissões a uma conta de utilizador com menos privilégios. Em seguida, esta conta pode ser utilizada para registar o Azure Stack Hub.

Criar uma função personalizada com o PowerShell

Para criar uma função personalizada, tem de ter a Microsoft.Authorization/roleDefinitions/write permissão em todos , AssignableScopescomo Proprietário ou Administrador de Acesso de Utilizador. Utilize o seguinte modelo JSON para simplificar a criação da função personalizada. O modelo cria uma função personalizada que permite o acesso de leitura e escrita necessário para o registo do Azure Stack Hub.

1. Crie um ficheiro JSON. Por exemplo, C:\CustomRoles\registrationrole.json.

2. Adicione o seguinte JSON ao ficheiro. Substitua <SubscriptionID> pelo seu ID da subscrição do Azure.

   {
     "Name": "Azure Stack Hub registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Allows access to register Azure Stack Hub",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStack/registrations/*",
       "Microsoft.AzureStack/register/action",
       "Microsoft.Authorization/roleAssignments/read",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/delete",
       "Microsoft.Authorization/permissions/read",
       "Microsoft.Authorization/locks/read",
       "Microsoft.Authorization/locks/write"
     ],
     "NotActions": [
     ],
     "AssignableScopes": [
       "/subscriptions/<SubscriptionID>"
     ]
   }
   

3. No PowerShell, ligue-se ao Azure para utilizar o Azure Resource Manager. Quando lhe for pedido, autentique-se com uma conta com permissões suficientes, como Proprietário ou Administrador de Acesso de Utilizador.

   Connect-AzAccount
   

4. Para criar a função personalizada, utilize New-AzRoleDefinition para especificar o ficheiro de modelo JSON.

   New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
   

Atribuir um utilizador à função de registo

Após a criação da função personalizada de registo, atribua a função à conta de utilizador que será utilizada para registar o Azure Stack Hub.

1. Inicie sessão com a conta com permissão suficiente na subscrição do Azure para delegar direitos, como Proprietário ou Administrador de Acesso de Utilizador.

2. Em Subscrições, selecione Controlo de acesso (IAM) > Adicionar atribuição de função.

3. Em Função, escolha a função personalizada que criou: função de registo do Azure Stack Hub.

4. Selecione os utilizadores que pretende atribuir à função.

5. Selecione Guardar para atribuir os utilizadores selecionados à função.

   

Para obter mais informações sobre como utilizar funções personalizadas, veja Gerir o acesso com o RBAC e o portal do Azure.

Passos seguintes

Registar o Azure Stack Hub no Azure