建立 Azure Stack Hub 註冊的自訂角色

警告

這不是安全性狀態功能。 請在您想要條件約束以避免不小心變更 Azure 訂用帳戶時使用。 使用者被委派這個自訂角色的權限時，使用者有權編輯權限和提高權限。 只能將您信任的使用者指派給自訂角色。

在 Azure Stack Hub 註冊期間，您必須使用Microsoft Entra帳戶登入。 帳戶需要下列Microsoft Entra許可權和 Azure 訂用帳戶許可權：

• Microsoft Entra租使用者中的應用程式註冊許可權：系統管理員具有應用程式註冊許可權。 使用者的權限是租用戶中的所有使用者的全域設定。 若要檢視或變更設定，請參閱建立可存取資源的Microsoft Entra應用程式和服務主體。

  使用者可以註冊應用程式設定必須設為是，您才能啟用使用者帳戶來註冊 Azure Stack Hub。 如果應用程式註冊設定設為 [否]，您即無法以使用者帳戶來註冊 Azure Stack Hub，而是必須使用全域系統管理員帳戶。

• 一組足夠的 Azure 訂閱權限：屬於擁有者角色的使用者即具有足夠的權限。 對於其他帳戶，您可以指派自訂角色來指派權限，如下列各節所述。

您不必使用 Azure 訂用帳戶中具有擁有者權限的帳戶，而是可以建立自訂角色，將權限指派給較低權限的使用者帳戶。 此帳戶便可用來註冊 Azure Stack Hub。

使用 PowerShell 建立自訂角色

若要建立自訂角色，您必須擁有所有 AssignableScopes 的 Microsoft.Authorization/roleDefinitions/write 權限，例如Microsoft.Authorization/roleDefinitions/write或AssignableScopes。 使用下列 JSON 範本來簡化自訂角色的建立。 此範本會建立自訂角色，以便允許 Azure Stack Hub 註冊的必要讀取和寫入權限。

1. 建立 JSON 檔案。 例如： C:\CustomRoles\registrationrole.json 。

2. 將下列 JSON 新增至檔案。 使用您的 Azure 訂用帳戶識別碼來取代 <SubscriptionID> 。

   {
     "Name": "Azure Stack Hub registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Allows access to register Azure Stack Hub",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStack/registrations/*",
       "Microsoft.AzureStack/register/action",
       "Microsoft.Authorization/roleAssignments/read",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/delete",
       "Microsoft.Authorization/permissions/read",
       "Microsoft.Authorization/locks/read",
       "Microsoft.Authorization/locks/write"
     ],
     "NotActions": [
     ],
     "AssignableScopes": [
       "/subscriptions/<SubscriptionID>"
     ]
   }
   

3. 在 PowerShell 中，連接到 Azure 使用 Azure Resource Manager。 出現提示時，驗證使用的帳戶是否擁有足夠權限，例如擁有者或是使用者存取管理員。

   Connect-AzAccount
   

4. 若要建立自訂角色，請使用 New-AzRoleDefinition 指定 JSON 範本檔案。

   New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
   

將使用者指派給登錄角色

建立註冊的自訂角色之後，請將該角色指派給會用於註冊 Azure Stack Hub 的使用者帳戶。

1. 使用具有 Azure 訂閱足夠權限的帳戶登入，以委派擁有者或使用者存取系統管理員等權限。

2. 在 [訂閱] 中，選取 [存取控制 (IAM)] > [新增角色指派]。

3. 在 [角色] 中，選擇您建立的自訂角色：Azure Stack Hub 註冊角色。

4. 選取您要指派給角色的使用者。

5. 選取 [儲存] 將選取的使用者指派至角色。

   

如需使用自訂角色的詳細資訊，請參閱使用 RBAC 和 Azure 入口網站來管理存取權。

後續步驟

向 Azure 註冊 Azure Stack Hub