Acerca de los roles y permisos para Azure Firewall
Azure Firewall utiliza varios recursos, como redes virtuales y direcciones IP, durante las operaciones de creación y administración. Por este motivo, es esencial comprobar los permisos de todos los recursos implicados durante estas operaciones.
Roles integrados en los recursos de Azure
Puede elegir asignar roles integrados de Azure a un usuario, grupo, entidad de servicio o identidad administrada, como un colaborador de red, que admite todos los permisos necesarios para crear la puerta de enlace. Para más información, consulte Pasos para asignar roles de Azure.
Roles personalizados
Si los roles integrados de Azure no cumplen las necesidades específicas de su organización, puede crear los suyos propios. Al igual que en el caso de los roles integrados, se pueden asignar roles personalizados a usuarios, grupos y entidades de servicio en los ámbitos del grupo de administración, de la suscripción y del grupo de recursos. Para obtener más información, consulte Pasos para crear un rol personalizado.
Para garantizar una funcionalidad adecuada, compruebe los permisos de rol personalizados para confirmar que las entidades de servicio de usuario y las identidades administradas que operan Azure Firewall tengan los permisos necesarios. Para agregar los permisos que faltan aquí, consulte Actualización de un rol personalizado.
Permisos
En función de si va a crear nuevos recursos o usar los existentes, agregue los permisos adecuados de la lista siguiente para Azure Firewall en una red virtual de concentrador:
| Resource | Estado del recurso | Permisos de Azure necesarios |
|---|---|---|
| Subnet | Crear nuevo | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | Utilizar existente | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Direcciones IP | Crear nuevo | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Direcciones IP | Utilizar existente | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | Crear nuevo o actualizar existente | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Si va a crear una instancia de Azure Firewall en Azure Virtual WAN, agregue el permiso siguiente:
| Resource | Estado del recurso | Permisos de Azure necesarios |
|---|---|---|
| virtualHubs | Crear nuevo o actualizar existente | Microsoft.Network/virtualHubs/read |
Para obtener más información, consulte Permisos de Azure para redes y Permisos de red virtual.
Ámbito de roles
En el proceso de definición de roles personalizados, puede especificar un ámbito de asignación de roles en cuatro niveles: grupo de administración, suscripción, grupo de recursos y recursos. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado.
Estos ámbitos se estructuran en una relación de elementos primarios y secundarios, donde cada nivel de jerarquía hace que el ámbito sea más específico. Puede asignar roles en cualquiera de estos niveles de ámbito y el nivel que seleccione determina la amplitud de la aplicación del rol.
Por ejemplo, un rol asignado en el nivel de suscripción se puede propagar a todos los recursos de esa suscripción, mientras que un rol asignado en el nivel de grupo de recursos solo se aplicará a los recursos de ese grupo específico. Obtenga más información sobre el nivel de ámbito. Para obtener más información, consulte Niveles de ámbito.
Servicios adicionales
Para ver roles y permisos para otros servicios, consulte los vínculos siguientes:
Nota:
Permita el tiempo suficiente para la actualización de la memoria caché de Azure Resource Manager después de que cambie la asignación de roles.
Pasos siguientes
¿Qué es el control de acceso basado en rol de Azure?Control de acceso basado en roles de Azure