Role a oprávnění pro Azure Virtual WAN
Centrum Virtual WAN využívá během operací vytváření a správy více podkladových prostředků. Z tohoto důvodu je nezbytné ověřit oprávnění ke všem zahrnutým prostředkům během těchto operací.
Předdefinované role v Azure
Můžete se rozhodnout přiřadit předdefinované role Azure uživateli, skupině, instančnímu objektu nebo spravované identitě, jako je přispěvatel sítě, což podporuje všechna požadovaná oprávnění pro vytváření prostředků souvisejících s Virtual WAN.
Další informace najdete v tématu Postup přiřazení role Azure.
Vlastní role
Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v oborech skupin pro správu, předplatného a skupin prostředků. Další informace naleznete v tématu Kroky k vytvoření vlastní role .
Pokud chcete zajistit správnou funkčnost, zkontrolujte vlastní oprávnění role, abyste potvrdili instanční objekty uživatelů a spravované identity, které komunikují s Virtual WAN, mají potřebná oprávnění. Pokud chcete přidat všechna chybějící oprávnění uvedená tady, přečtěte si téma Aktualizace vlastní role.
Následující vlastní role představují několik ukázkových rolí, které můžete vytvořit ve svém tenantovi, pokud nechcete využívat obecnější předdefinované role, jako je přispěvatel sítě nebo přispěvatel.
Správce služby Virtual WAN
Role správce služby Virtual WAN má možnost provádět všechny operace související s virtuálním centrem, včetně správy připojení ke službě Virtual WAN a konfigurace směrování.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Čtečka virtuální sítě WAN
Role čtenáře služby Virtual WAN má možnost zobrazit a monitorovat všechny prostředky související se službou Virtual WAN, ale nemůže provádět žádné aktualizace.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Požadovaná oprávnění
Vytvoření nebo aktualizace prostředků Virtual WAN vyžaduje, abyste měli správná oprávnění k vytvoření daného typu prostředku Virtual WAN. V některých scénářích stačí mít oprávnění k vytvoření nebo aktualizaci daného typu prostředku. V mnoha scénářích ale aktualizace prostředku Virtual WAN, který má odkaz na jiný prostředek Azure, vyžaduje, abyste měli oprávnění k vytvořenému prostředku i všem odkazovaným prostředkům.
Příklad 1
Když se vytvoří připojení mezi centrem Virtual WAN a paprskovou virtuální sítí, řídicí rovina služby Virtual WAN vytvoří partnerský vztah virtuální sítě mezi centrem Virtual WAN a hvězdicovou virtuální sítí. Můžete také zadat směrovací tabulky služby Virtual WAN, ke kterým se připojení k virtuální síti přidružuje nebo se k nimž šíří.
Pokud tedy chcete vytvořit připojení virtuální sítě k centru Virtual WAN, musíte mít následující oprávnění:
- Vytvoření připojení virtuální sítě centra (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Vytvoření partnerského vztahu virtuálních sítí s paprskovou virtuální sítí (Microsoft.Network/virtualNetworks/peer/action)
- Přečtěte si směrovací tabulky, na které odkazují připojení virtuální sítě (Microsoft.Network/virtualhubs/hubRouteTables/read).
Pokud chcete přidružit příchozí nebo odchozí trasovou mapu k připojení k virtuální síti, potřebujete další oprávnění:
- Přečtěte si mapy tras, které se použijí pro připojení k virtuální síti (Microsoft.Network/virtualHubs/routeMaps/read).
Příklad 2
Pokud chcete vytvořit nebo upravit záměr směrování, vytvoří se prostředek záměru směrování s odkazem na prostředky dalšího směrování zadané v zásadách směrování záměru směrování. To znamená, že k vytvoření nebo úpravě záměru směrování potřebujete oprávnění ke všem odkazovaným prostředkům služby Azure Firewall nebo síťovým virtuálním zařízením.
Pokud je dalším segmentem směrování zásady záměru privátního směrování centra síťové virtuální zařízení a dalším segmentem směrování pro zásady internetu centra je brána Azure Firewall, vytvoření nebo aktualizace prostředku záměru směrování vyžaduje následující oprávnění.
- Vytvořte prostředek záměru směrování. (Microsoft.Network/virtualhubs/routingIntents/write)
- Referenční informace (čtení) prostředku síťového virtuálního zařízení (Microsoft.Network/networkVirtual Appliance/read)
- Referenční informace (čtení) prostředku služby Azure Firewall (Microsoft.Network/azureFirewalls)
V tomto příkladu nepotřebujete oprávnění ke čtení prostředků Microsoft.Network/securityPartnerProviders, protože nakonfigurovaný záměr směrování neodkazuje na prostředek zprostředkovatele zabezpečení třetí strany.
Další požadovaná oprávnění kvůli odkazovaným prostředkům
Následující část popisuje sadu možných oprávnění potřebných k vytvoření nebo úpravě prostředků Virtual WAN.
V závislosti na konfiguraci služby Virtual WAN může uživatel nebo instanční objekt, který spravuje nasazení služby Virtual WAN, potřebovat veškerou podmnožinu nebo žádnou z následujících oprávnění.
Prostředky virtuálního centra
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtual Appliance/read Microsoft.Network/azurefirewalls/read |
| virtualHubs /routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtual Appliance/read Microsoft.Network/azurefirewalls/read |
Prostředky brány ExpressRoute
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Prostředky VPN
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Prostředky síťového virtuálního zařízení
Síťová virtuální zařízení (síťová virtuální zařízení) ve službě Virtual WAN se obvykle nasazují prostřednictvím spravovaných aplikací Azure nebo přímo prostřednictvím softwaru pro orchestraci síťového virtuálního zařízení. Další informace o tom, jak správně přiřadit oprávnění ke spravovaným aplikacím nebo softwaru pro orchestraci síťového virtuálního zařízení, najdete zde pokyny.
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| networkVirtual Appliance | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Další informace najdete v tématu Oprávnění Azure pro oprávnění sítě a virtuální sítě.
Obor rolí
V procesu definice vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředky. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu.
Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije.
Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.
Poznámka:
Počkejte dostatek času na aktualizaci mezipaměti Azure Resource Manageru po změně přiřazení role.
Chyba oprávnění
Pokud se zobrazí chyba v následujícím formátu, ujistěte se, že máte správně nakonfigurovaná výše uvedená oprávnění.
Formát chybové zprávy: Klient s ID {} objektu nemá autorizaci k provedení akce {} v oboru {} nebo obor je neplatný. Pokud byl přístup nedávno udělen, aktualizujte přihlašovací údaje.
Další služby
Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy: