Role a oprávnění pro Azure Virtual WAN
Centrum Virtual WAN využívá během operací vytváření a správy více podkladových prostředků. Z tohoto důvodu je nezbytné ověřit oprávnění ke všem zahrnutým prostředkům během těchto operací.
Předdefinované role v Azure
Můžete se rozhodnout přiřadit předdefinované role Azure uživateli, skupině, instančnímu objektu nebo spravované identitě, jako je přispěvatel sítě, které podporují všechna požadovaná oprávnění k vytvoření brány. Další informace najdete v tématu Postup přiřazení role Azure.
Vlastní role
Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v oborech skupin pro správu, předplatného a skupin prostředků. Další informace naleznete v tématu Kroky k vytvoření vlastní role .
Pokud chcete zajistit správnou funkčnost, zkontrolujte oprávnění vlastní role a ověřte, že instanční objekty uživatelů a spravované identity provozující bránu VPN mají potřebná oprávnění. Pokud chcete přidat všechna chybějící oprávnění uvedená tady, přečtěte si téma Aktualizace vlastní role.
Oprávnění
Při vytváření nebo aktualizaci následujících prostředků přidejte příslušná oprávnění z následujícího seznamu:
Prostředky virtuálního centra
| Prostředek | Vyžadovaná oprávnění Azure |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtual Appliance/read Microsoft.Network/azurefirewalls/read |
| virtualHubs /routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtual Appliance/read Microsoft.Network/azurefirewalls/read |
Prostředky brány ExpressRoute
| Prostředek | Vyžadovaná oprávnění Azure |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Prostředky VPN
| Prostředek | Vyžadovaná oprávnění Azure |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
Prostředky síťového virtuálního zařízení
Síťová virtuální zařízení (síťová virtuální zařízení) ve službě Virtual WAN se obvykle nasazují prostřednictvím spravovaných aplikací Azure nebo přímo prostřednictvím softwaru pro orchestraci síťového virtuálního zařízení. Další informace o tom, jak správně přiřadit oprávnění ke spravovaným aplikacím nebo softwaru pro orchestraci síťového virtuálního zařízení, najdete zde pokyny.
| Prostředek | Vyžadovaná oprávnění Azure |
|---|---|
| networkVirtual Appliance | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Další informace najdete v tématu Oprávnění Azure pro oprávnění sítě a virtuální sítě.
Obor rolí
V procesu definice vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředky. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu.
Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije.
Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.
Poznámka:
Počkejte dostatek času na aktualizaci mezipaměti Azure Resource Manageru po změně přiřazení role.
Další služby
Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy: