Role a oprávnění pro službu Azure Firewall
Azure Firewall využívá během operací vytváření a správy více prostředků, jako jsou virtuální sítě a IP adresy. Z tohoto důvodu je nezbytné ověřit oprávnění ke všem zahrnutým prostředkům během těchto operací.
Předdefinované role v Azure
Můžete se rozhodnout přiřadit předdefinované role Azure uživateli, skupině, instančnímu objektu nebo spravované identitě, jako je přispěvatel sítě, které podporují všechna požadovaná oprávnění k vytvoření brány. Další informace najdete v tématu Postup přiřazení role Azure.
Vlastní role
Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v oborech skupin pro správu, předplatného a skupin prostředků. Další informace naleznete v tématu Kroky k vytvoření vlastní role .
Pokud chcete zajistit správnou funkčnost, zkontrolujte vlastní oprávnění role a ověřte, že instanční objekty uživatelů a spravované identity provozující bránu Azure Firewall mají potřebná oprávnění. Pokud chcete přidat všechna chybějící oprávnění uvedená tady, přečtěte si téma Aktualizace vlastní role.
Oprávnění
V závislosti na tom, jestli vytváříte nové prostředky nebo používáte existující prostředky, přidejte příslušná oprávnění z následujícího seznamu pro službu Azure Firewall ve virtuální síti centra:
| Prostředek | Stav prostředku | Vyžadovaná oprávnění Azure |
|---|---|---|
| Podsíť | vytvoření nových | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Podsíť | Použít existující | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Adresy IP | vytvoření nových | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Adresy IP | Použít existující | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | Vytvoření nové nebo existující aktualizace | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Pokud vytváříte bránu Azure Firewall ve službě Azure Virtual WAN, přidejte následující oprávnění:
| Prostředek | Stav prostředku | Vyžadovaná oprávnění Azure |
|---|---|---|
| virtualHubs | Vytvoření nové nebo existující aktualizace | Microsoft.Network/virtualHubs/read |
Další informace najdete v tématu Oprávnění Azure pro oprávnění sítě a virtuální sítě.
Obor rolí
V procesu definice vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředky. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu.
Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije.
Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.
Další služby
Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy:
Poznámka:
Počkejte dostatek času na aktualizaci mezipaměti Azure Resource Manageru po změně přiřazení role.