Share via


建立 Azure Stack Hub 註冊的自訂角色

警告

這不是安全性狀態功能。 請在您想要條件約束以避免不小心變更 Azure 訂用帳戶時使用。 使用者被委派這個自訂角色的權限時,使用者有權編輯權限和提高權限。 只能將您信任的使用者指派給自訂角色。

在 Azure Stack Hub 註冊期間,您必須使用Microsoft Entra帳戶登入。 帳戶需要下列Microsoft Entra許可權和 Azure 訂用帳戶許可權:

  • Microsoft Entra租使用者中的應用程式註冊許可權:系統管理員具有應用程式註冊許可權。 使用者的權限是租用戶中的所有使用者的全域設定。 若要檢視或變更設定,請參閱建立可存取資源的Microsoft Entra應用程式和服務主體

    使用者可以註冊應用程式設定必須設為,您才能啟用使用者帳戶來註冊 Azure Stack Hub。 如果應用程式註冊設定設為 [否],您即無法以使用者帳戶來註冊 Azure Stack Hub,而是必須使用全域系統管理員帳戶。

  • 一組足夠的 Azure 訂閱權限:屬於擁有者角色的使用者即具有足夠的權限。 對於其他帳戶,您可以指派自訂角色來指派權限,如下列各節所述。

您不必使用 Azure 訂用帳戶中具有擁有者權限的帳戶,而是可以建立自訂角色,將權限指派給較低權限的使用者帳戶。 此帳戶便可用來註冊 Azure Stack Hub。

使用 PowerShell 建立自訂角色

若要建立自訂角色,您必須擁有所有 AssignableScopesMicrosoft.Authorization/roleDefinitions/write 權限,例如Microsoft.Authorization/roleDefinitions/writeAssignableScopes。 使用下列 JSON 範本來簡化自訂角色的建立。 此範本會建立自訂角色,以便允許 Azure Stack Hub 註冊的必要讀取和寫入權限。

  1. 建立 JSON 檔案。 例如: C:\CustomRoles\registrationrole.json

  2. 將下列 JSON 新增至檔案。 使用您的 Azure 訂用帳戶識別碼來取代 <SubscriptionID>

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. 在 PowerShell 中,連接到 Azure 使用 Azure Resource Manager。 出現提示時,驗證使用的帳戶是否擁有足夠權限,例如擁有者或是使用者存取管理員

    Connect-AzAccount
    
  4. 若要建立自訂角色,請使用 New-AzRoleDefinition 指定 JSON 範本檔案。

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

將使用者指派給登錄角色

建立註冊的自訂角色之後,請將該角色指派給會用於註冊 Azure Stack Hub 的使用者帳戶。

  1. 使用具有 Azure 訂閱足夠權限的帳戶登入,以委派擁有者使用者存取系統管理員等權限。

  2. 在 [訂閱] 中,選取 [存取控制 (IAM)] > [新增角色指派]。

  3. 在 [角色] 中,選擇您建立的自訂角色:Azure Stack Hub 註冊角色

  4. 選取您要指派給角色的使用者。

  5. 選取 [儲存] 將選取的使用者指派至角色。

    在 Azure 入口網站中選取要指派給自訂角色的使用者

如需使用自訂角色的詳細資訊,請參閱使用 RBAC 和 Azure 入口網站來管理存取權

後續步驟

向 Azure 註冊 Azure Stack Hub