Role a oprávnění pro Azure Virtual WAN
Centrum Virtual WAN využívá během operací vytváření a správy více podkladových prostředků. Z tohoto důvodu je nezbytné během těchto operací ověřit oprávnění ke všem zahrnutým prostředkům.
Předdefinované role v Azure
Můžete přiřadit integrované role Azure uživateli, skupině, instančnímu objektu nebo spravované identitě, jako je Přispěvatel sítě, které podporují všechna požadovaná oprávnění pro vytváření prostředků souvisejících s Virtual WAN.
Další informace najdete v tématu Postup přiřazení role Azure.
Vlastní role
Pokud předdefinované role Azure nesplňují konkrétní požadavky vaší organizace, můžete si vytvořit vlastní role RBAC. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v oborech skupin pro správu, předplatného a skupin prostředků. Další informace naleznete v tématu Postup vytvoření vlastní role.
Pokud chcete zajistit správnou funkčnost, zkontrolujte vlastní oprávnění role a ověřte, že instanční objekty uživatelů a spravované identity, které komunikují s Virtual WAN, mají potřebná oprávnění. Pokud chcete přidat některá zde uvedená chybějící oprávnění, přečtěte si téma Aktualizace vlastní role.
Následující vlastní role představují několik ukázkových rolí, které můžete vytvořit ve svém tenantovi, pokud nechcete využívat obecnější předdefinované role, jako je Přispěvatel sítě nebo Přispěvatel. Ukázkové role si můžete stáhnout a uložit jako soubory JSON a nahrát soubor JSON na Azure Portal při vytváření vlastních rolí ve vašem tenantovi. Ujistěte se, že jsou pro vaše předplatná síťových prostředků správně nastavené přiřaditelné obory pro vlastní role.
Správce služby Virtual WAN
Role správce služby Virtual WAN má možnost provádět všechny operace související s virtuálním centrem, včetně správy připojení ke službě Virtual WAN a konfigurace směrování.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Čtečka virtuální sítě WAN
Role čtenáře služby Virtual WAN má možnost zobrazit a monitorovat všechny prostředky související se službou Virtual WAN, ale nemůže provádět žádné aktualizace.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Požadovaná oprávnění
Vytvoření nebo aktualizace prostředků Virtual WAN vyžaduje, abyste měli správná oprávnění k vytvoření daného typu prostředku Virtual WAN. V některých scénářích stačí mít oprávnění k vytvoření nebo aktualizaci daného typu prostředku. V mnoha scénářích ale aktualizace prostředku Virtual WAN, který má odkaz na jiný prostředek Azure, vyžaduje, abyste měli oprávnění k vytvořenému prostředku i všem odkazovaným prostředkům.
Chybová zpráva
Uživatel nebo instanční objekt musí mít dostatečná oprávnění ke spuštění operace u prostředku virtual WAN. Pokud uživatel nemá dostatečná oprávnění k provedení operace, operace selže s chybovou zprávou podobnou následující.
| Kód chyby | Zpráva |
|---|---|
| LinkedAccessCheckFailed | Klient s ID objektu xxx nemá autorizaci k provedení akce xxx v oboru prostředku zzz nebo je neplatný obor. Podrobnosti o požadovaných oprávněních najdete na stránce zzz. Pokud byl přístup nedávno udělen, aktualizujte přihlašovací údaje. |
Poznámka:
Uživateli nebo instančnímu objektu může chybět více oprávnění potřebných ke správě prostředku Virtual WAN. Vrácená chybová zpráva odkazuje pouze na jedno chybějící oprávnění. V důsledku toho se po aktualizaci oprávnění přiřazených k instančnímu objektu nebo uživateli může zobrazit jiné chybějící oprávnění.
Pokud chcete tuto chybu opravit, udělte uživateli nebo instančnímu objektu, který spravuje vaše prostředky virtual WAN, další oprávnění popsaná v chybové zprávě a zkuste to znovu.
Příklad 1
Když se vytvoří připojení mezi centrem Virtual WAN a paprskovou virtuální sítí, řídicí rovina služby Virtual WAN vytvoří partnerský vztah virtuální sítě mezi centrem Virtual WAN a hvězdicovou virtuální sítí. Můžete také zadat směrovací tabulky služby Virtual WAN, ke kterým se připojení k virtuální síti přidružuje nebo se k nimž šíří.
Pokud tedy chcete vytvořit připojení virtuální sítě k centru Virtual WAN, musíte mít následující oprávnění:
- Vytvoření připojení virtuální sítě centra (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Vytvoření partnerského vztahu virtuálních sítí s paprskovou virtuální sítí (Microsoft.Network/virtualNetworks/peer/action)
- Přečtěte si směrovací tabulky, na které odkazují připojení virtuální sítě (Microsoft.Network/virtualhubs/hubRouteTables/read).
Pokud chcete přidružit příchozí nebo odchozí trasovou mapu k připojení k virtuální síti, potřebujete další oprávnění:
- Přečtěte si mapy tras, které se použijí pro připojení k virtuální síti (Microsoft.Network/virtualHubs/routeMaps/read).
Příklad 2
Pokud chcete vytvořit nebo upravit záměr směrování, vytvoří se prostředek záměru směrování s odkazem na prostředky dalšího směrování zadané v zásadách směrování záměru směrování. To znamená, že k vytvoření nebo úpravě záměru směrování potřebujete oprávnění ke všem odkazovaným prostředkům služby Azure Firewall nebo síťovým virtuálním zařízením.
Pokud je dalším segmentem směrování zásady záměru privátního směrování centra síťové virtuální zařízení a dalším segmentem směrování pro zásady internetu centra je brána Azure Firewall, vytvoření nebo aktualizace prostředku záměru směrování vyžaduje následující oprávnění.
- Vytvořte prostředek záměru směrování. (Microsoft.Network/virtualhubs/routingIntents/write)
- Referenční informace (čtení) prostředku síťového virtuálního zařízení (Microsoft.Network/networkVirtual Appliance/read)
- Referenční informace (čtení) prostředku služby Azure Firewall (Microsoft.Network/azureFirewalls)
V tomto příkladu nepotřebujete oprávnění ke čtení prostředků Microsoft.Network/securityPartnerProviders, protože záměr směrování nakonfigurovaný neodkazuje na prostředek zprostředkovatele zabezpečení třetí strany.
Další požadovaná oprávnění kvůli odkazovaným prostředkům
Následující část popisuje sadu možných oprávnění potřebných k vytvoření nebo úpravě prostředků Virtual WAN.
V závislosti na konfiguraci služby Virtual WAN může uživatel nebo instanční objekt, který spravuje vaše nasazení virtual WAN, potřebovat všechny, podmnožinu nebo žádnou z následujících oprávnění pro odkazované prostředky.
Prostředky virtuálního centra
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtual Appliance/read Microsoft.Network/azurefirewalls/read |
| virtualHubs /routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtual Appliance/read Microsoft.Network/azurefirewalls/read |
Prostředky brány ExpressRoute
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Prostředky VPN
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Prostředky síťového virtuálního zařízení
Síťová virtuální zařízení (síťová virtuální zařízení) ve službě Virtual WAN se obvykle nasazují prostřednictvím spravovaných aplikací Azure nebo přímo prostřednictvím softwaru pro orchestraci síťového virtuálního zařízení. Další informace o tom, jak správně přiřadit oprávnění ke spravovaným aplikacím nebo softwaru pro orchestraci síťového virtuálního zařízení, najdete zde pokyny.
| Prostředek | Požadovaná oprávnění Azure kvůli odkazům na prostředky |
|---|---|
| networkVirtual Appliance | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Další informace najdete v tématu Oprávnění Azure pro oprávnění sítě a virtuální sítě.
Obor rolí
V procesu definice vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředky. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu.
Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije.
Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.
Poznámka:
Počkejte dostatek času na aktualizaci mezipaměti Azure Resource Manageru po změně přiřazení role.
Další služby
Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy: