Rollen und Berechtigungen für Azure Virtual WAN
Der Virtual WAN-Hub nutzt mehrere zugrunde liegende Ressourcen sowohl bei Erstellungs- als auch bei Verwaltungsvorgängen. Aus diesem Grund ist es wichtig, die Berechtigungen für alle beteiligten Ressourcen während dieser Vorgänge zu überprüfen.
Integrierte Azure-Rollen
Sie können einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität integrierte Azure-Rollen wie Netzwerkmitwirkender zuweisen, die alle erforderlichen Berechtigungen zum Erstellen von Ressourcen für Virtual WAN bieten.
Weitere Informationen finden Sie unter Schritte zum Hinzufügen einer Rollenzuweisung.
Benutzerdefinierte Rollen
Wenn die integrierten Azure-Rollen die Anforderungen Ihrer Organisation nicht erfüllen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen. Genauso wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen im Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereich zugewiesen werden. Weitere Informationen finden Sie unter Schritte zum Erstellen einer benutzerdefinierten Rolle.
Zum Sicherstellen der ordnungsgemäßen Funktionalität überprüfen Sie Ihre benutzerdefinierten Rollenberechtigungen, damit Benutzerdienstprinzipale und verwaltete Identitäten, die Virtual WAN verwenden, über die erforderlichen Berechtigungen verfügen. Weitere Informationen zum Hinzufügen fehlender Berechtigungen, die hier aufgeführt sind, finden Sie unter Aktualisieren einer benutzerdefinierten Rolle.
Die folgenden benutzerdefinierten Rollen sind Beispiele, die Sie in Ihrem Mandanten erstellen können, wenn Sie nicht die generischen integrierten Rollen wie „Netzwerkmitwirkender“ oder „Mitwirkender“ verwenden möchten. Sie können die Beispielrollen als JSON-Dateien herunterladen und speichern und die JSON-Datei in das Azure-Portal hochladen, wenn Sie benutzerdefinierte Rollen in Ihrem Mandanten erstellen. Stellen Sie sicher, dass die zuweisbaren Bereiche für die benutzerdefinierten Rollen für Ihr(e) Netzwerkressourcen-Abonnement(s) richtig eingestellt sind.
Virtual WAN-Administrator
Die Rolle „Virtual WAN-Administrator“ verfügt über die Möglichkeit, alle Vorgänge im Zusammenhang mit Virtual Hub auszuführen, einschließlich der Verwaltung von Verbindungen mit Virtual WAN und der Konfiguration des Routings.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Virtual WAN-Leser
Die Rolle „Virtual WAN-Leser“ verfügt über die Berechtigung, alle Virtual WAN-bezogenen Ressourcen anzuzeigen und zu überwachen, sie kann jedoch keine Updates ausführen.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Erforderliche Berechtigungen
Zum Erstellen oder Aktualisieren von Virtual WAN-Ressourcen müssen Sie über die entsprechenden Berechtigungen zum Erstellen dieses Virtual WAN-Ressourcentyps verfügen. In einigen Szenarien sind die Berechtigung zum Erstellen oder Aktualisieren dieses Ressourcentyps ausreichend. In vielen Szenarien erfordert das Aktualisieren einer Virtual WAN-Ressource mit einem Verweis auf eine andere Azure-Ressource jedoch Berechtigungen für die erstellte Ressource und alle referenzierten Ressourcen.
Fehlermeldung
Benutzende oder Dienstprinzipale müssen über ausreichende Berechtigungen zum Ausführen eines Vorgangs für eine Virtual WAN-Ressource verfügen. Wenn Benutzer nicht über ausreichende Berechtigungen zum Ausführen des Vorgangs verfügen, tritt beim Vorgang ein Fehler auf, und eine Fehlermeldung wie die folgende wird angezeigt.
| Fehlercode | Nachricht |
|---|---|
| LinkedAccessCheckFailed | Der Client mit der Objekt-ID „xxx“ verfügt nicht über die Berechtigung zum Ausführen der Aktion „xxx“ im Bereich „zzz resource“, oder der Bereich ist ungültig. Weitere Einzelheiten zu den erforderlichen Berechtigungen finden Sie unter „zzz“. Wenn der Zugriff erst vor Kurzem gewährt wurde, aktualisieren Sie Ihre Anmeldeinformationen. |
Hinweis
Benutzenden oder Dienstprinzipalen fehlen möglicherweise mehrere Berechtigungen zum Verwalten einer Virtual WAN-Ressource. Die zurückgegebene Fehlermeldung verweist nur auf eine fehlende Berechtigung. Daher wird möglicherweise eine andere fehlende Berechtigung angezeigt, nachdem Sie die Ihren Dienstprinzipalen oder Benutzenden zugewiesenen Berechtigungen aktualisiert haben.
Um diesen Fehler zu beheben, gewähren Sie den Benutzenden oder Dienstprinzipalen, die Ihre Virtual WAN-Ressourcen verwalten, die zusätzliche Berechtigung, die in der Fehlermeldung beschrieben ist, und wiederholen Sie den Vorgang.
Beispiel 1
Wenn eine Verbindung zwischen einem Virtual WAN-Hub- und einem -Spoke-VNet erstellt wird, wird auf Steuerungsebene von Virtual WAN ein Peering virtueller Netzwerke zwischen dem Hub-VNet und den Spoke-VNets von Virtual WAN erstellt. Sie können auch die Virtual WAN-Routingtabellen angeben, denen die VNet-Verbindung zugeordnet oder an die sie weitergegeben wird.
Um eine VNet-Verbindung mit dem Virtual WAN-Hub zu erstellen, benötigen Sie die folgenden Berechtigungen:
- Erstellen einer Hub-VNet-Verbindung (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Erstellen eines Peerings virtueller Netzwerke mit einem Spoke-VNet (Microsoft.Network/virtualNetworks/peer/action)
- Lesen von Routingtabellen, auf die die VNet-Verbindungen verweisen (Microsoft.Network/virtualhubs/hubRouteTables/read)
Wenn Sie mit der VNet-Verbindung eine ein- oder ausgehende Routenzuordnung verknüpfen möchten, benötigen Sie eine zusätzliche Berechtigung:
- Lesen von Routenzuordnungen, die auf die VNet-Verbindung angewendet werden (Microsoft.Network/virtualHubs/routeMaps/read)
Beispiel 2
Zum Erstellen oder Ändern der Routingabsicht wird eine Routingabsichtsressource mit einem Verweis auf die Ressource am nächsten Hop erstellt, der in der Routingrichtlinie der Routingabsicht angegeben ist. Dies bedeutet, dass Sie zum Erstellen oder Ändern der Routingabsicht Berechtigungen für alle referenzierten Azure Firewall- oder NVA-Ressourcen (Network Virtual Appliance) benötigen.
Wenn der nächste Hop für die private Richtlinie der Routingabsicht eines Hubs eine NVA (virtuelle Netzwerkappliance) und der nächste Hop für die Internetrichtlinie eines Hubs eine Azure Firewall-Instanz ist, benötigen Sie für das Erstellen oder Aktualisieren einer Routingabsichtsressource die folgenden Berechtigungen.
- Erstellen einer Routingabsichtsressource (Microsoft.Network/virtualhubs/routingIntents/write)
- Verweisen (Lesen) auf NVA-Ressource (Network Virtual Appliance) (Microsoft.Network/networkVirtualAppliances/read)
- Verweisen (Lesen) auf die Azure Firewall-Ressource (Microsoft.Network/azureFirewalls)
In diesem Beispiel benötigen Sie keine Berechtigungen zum Lesen von Microsoft.Network/securityPartnerProviders-Ressourcen, da die konfigurierte Routingabsicht auf keine Ressource eines Sicherheitsdrittanbieters verweist.
Zusätzlich erforderliche Berechtigungen aufgrund von referenzierten Ressourcen
Im folgenden Abschnitt werden die möglichen Berechtigungen beschrieben, die zum Erstellen oder Ändern von Virtual WAN-Ressourcen erforderlich sind.
Je nach Ihrer Virtual WAN-Konfiguration benötigen Benutzende oder Dienstprinzipale, die Ihre Virtual WAN-Bereitstellungen verwalten, möglicherweise alle, einige oder keine der folgenden Berechtigungen für die genannten Ressourcen.
Ressourcen für virtuellen Hub
| Resource | Erforderliche Azure-Berechtigungen aufgrund von Ressourcenverweisen |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute-Gatewayressourcen
| Resource | Erforderliche Azure-Berechtigungen aufgrund von Ressourcenverweisen |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-Ressourcen
| Resource | Erforderliche Azure-Berechtigungen aufgrund von Ressourcenverweisen |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA-Ressourcen
NVAs (Network Virtual Appliances, virtuelle Netzwerkappliances) werden in Virtual WAN in der Regel über mit Azure verwaltete Anwendungen oder direkt über die NVA-Orchestrierungssoftware bereitgestellt. Weitere Informationen zum ordnungsgemäßen Zuweisen von Berechtigungen für verwaltete Anwendungen oder NVA-Orchestrierungssoftware finden Sie in den Anweisungen hier.
| Resource | Erforderliche Azure-Berechtigungen aufgrund von Ressourcenverweisen |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Weitere Informationen finden Sie unter Azure-Berechtigungen für Netzwerke und VNet-Berechtigungen.
Geltungsbereich von Rollen
Während des Definierens benutzerdefinierter Rollen können Sie einen Geltungsbereich für Rollenzuweisungen auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren.
Diese Bereiche sind als Beziehung zwischen über- und untergeordneten Elementen strukturiert, wobei jede Hierarchieebene den Bereich spezifischer macht. Sie können Rollen auf einer dieser Ebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie weiträumig die Rolle angewandt wird.
Beispielsweise kann eine auf Abonnementebene zugewiesene Rolle auf alle Ressourcen innerhalb dieses Abonnements angewandt werden, während eine Rolle, die auf Ressourcengruppenebene zugewiesen wird, nur für Ressourcen innerhalb dieser Gruppe gilt. Weitere Informationen zur Geltungsbereichsebene finden Sie unter Bereichsebenen.
Hinweis
Möglicherweise müssen Sie nach Änderungen der Rollenzuweisung einige Zeit für die Aktualisierung des Azure Resource Manager-Caches einplanen.
Weitere Dienste
Informationen zu Rollen und Berechtigungen für andere Dienste finden Sie unter den folgenden Links: