Rollen und Berechtigungen für Azure Firewall
Azure Firewall verwendet während Erstellungs- und Verwaltungsvorgängen mehrere Ressourcen, z. B. virtuelle Netzwerke und IP-Adressen. Aus diesem Grund ist es wichtig, die Berechtigungen für alle beteiligten Ressourcen während dieser Vorgänge zu überprüfen.
Integrierte Azure-Rollen
Sie können einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität integrierte Azure-Rollen wie Netzwerkmitwirkender zuweisen, die alle erforderlichen Berechtigungen zum Erstellen des Gateways bieten. Weitere Informationen finden Sie unter Schritte zum Hinzufügen einer Rollenzuweisung.
Benutzerdefinierte Rollen
Wenn die integrierten Azure-Rollen die Anforderungen Ihrer Organisation nicht erfüllen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen. Genauso wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen im Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereich zugewiesen werden. Weitere Informationen finden Sie unter Schritte zum Erstellen einer benutzerdefinierten Rolle.
Zum Sicherstellen der ordnungsgemäßen Funktionalität überprüfen Sie Ihre benutzerdefinierten Rollenberechtigungen, um zu bestätigen, dass Benutzerdienstprinzipale und verwaltete Identitäten, die Azure Firewall betreiben, über die erforderlichen Berechtigungen verfügen. Weitere Informationen zum Hinzufügen fehlender Berechtigungen, die hier aufgeführt sind, finden Sie unter Aktualisieren einer benutzerdefinierten Rolle.
Berechtigungen
Je nachdem, ob Sie neue Ressourcen erstellen oder vorhandene Ressourcen verwenden, fügen Sie die entsprechenden Berechtigungen aus der folgenden Liste für Azure Firewall in einem Hub-VNET hinzu:
| Resource | Ressourcenstatus | Erforderliche Azure-Berechtigungen |
|---|---|---|
| Subnet | Neu erstellen | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | Vorhandenes verwenden | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-Adressen | Neu erstellen | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-Adressen | Vorhandenes verwenden | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | Neue erstellen/Vorhandene aktualisieren | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Wenn Sie eine Instanz von Azure Firewall in Azure Virtual WAN erstellen, fügen Sie die folgende Berechtigung hinzu:
| Resource | Ressourcenstatus | Erforderliche Azure-Berechtigungen |
|---|---|---|
| virtualHubs | Neue erstellen/Vorhandene aktualisieren | Microsoft.Network/virtualHubs/read |
Weitere Informationen finden Sie unter Azure-Berechtigungen für Netzwerke und VNet-Berechtigungen.
Geltungsbereich von Rollen
Während des Definierens benutzerdefinierter Rollen können Sie einen Geltungsbereich für Rollenzuweisungen auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren.
Diese Bereiche sind als Beziehung zwischen über- und untergeordneten Elementen strukturiert, wobei jede Hierarchieebene den Bereich spezifischer macht. Sie können Rollen auf einer dieser Ebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie weiträumig die Rolle angewandt wird.
Beispielsweise kann eine auf Abonnementebene zugewiesene Rolle auf alle Ressourcen innerhalb dieses Abonnements angewandt werden, während eine Rolle, die auf Ressourcengruppenebene zugewiesen wird, nur für Ressourcen innerhalb dieser Gruppe gilt. Weitere Informationen zur Geltungsbereichsebene finden Sie unter Bereichsebenen.
Weitere Dienste
Informationen zu Rollen und Berechtigungen für andere Dienste finden Sie unter den folgenden Links:
Hinweis
Möglicherweise müssen Sie nach Änderungen der Rollenzuweisung einige Zeit für die Aktualisierung des Azure Resource Manager-Caches einplanen.
Nächste Schritte
Was ist die rollenbasierte Zugriffssteuerung in Azure?Rollenbasierte Zugriffssteuerung in Azure