Acerca de los roles y los permisos para Azure Virtual WAN
El centro de Virtual WAN utiliza varios recursos subyacentes durante las operaciones de creación y administración. Por este motivo, es esencial comprobar los permisos de todos los recursos implicados durante estas operaciones.
Roles integrados en los recursos de Azure
Puede elegir asignar roles integrados de Azure a un usuario, grupo, entidad de servicio o identidad administrada, como un colaborador de red, que admite todos los permisos necesarios para crear la puerta de enlace. Para más información, consulte Pasos para asignar roles de Azure.
Roles personalizados
Si los roles integrados de Azure no cumplen las necesidades específicas de su organización, puede crear los suyos propios. Al igual que en el caso de los roles integrados, se pueden asignar roles personalizados a usuarios, grupos y entidades de servicio en los ámbitos del grupo de administración, de la suscripción y del grupo de recursos. Para obtener más información, consulte Pasos para crear un rol personalizado.
Para garantizar una funcionalidad adecuada, compruebe los permisos de rol personalizados para confirmar que las entidades de servicio de usuario y las identidades administradas que operan la puerta de enlace de VPN tengan los permisos necesarios. Para agregar los permisos que faltan aquí, consulte Actualización de un rol personalizado.
Permisos
Al crear o actualizar los recursos siguientes, agregue los permisos adecuados de la lista siguiente:
Recursos del centro de conectividad virtual
| Resource | Permisos de Azure necesarios |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Recursos de puerta de enlace de ExpressRoute
| Resource | Permisos de Azure necesarios |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Recursos de VPN
| Resource | Permisos de Azure necesarios |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
Recursos de NVA
Las NVA (aplicaciones virtuales de red) en Virtual WAN normalmente se implementan a través de aplicaciones administradas de Azure o directamente a través del software de orquestación de NVA. Para obtener más información sobre cómo asignar correctamente permisos a aplicaciones administradas o software de orquestación de NVA, consulte las instrucciones aquí.
| Resource | Permisos de Azure necesarios |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Para obtener más información, consulte Permisos de Azure para redes y Permisos de red virtual.
Ámbito de roles
En el proceso de definición de roles personalizados, puede especificar un ámbito de asignación de roles en cuatro niveles: grupo de administración, suscripción, grupo de recursos y recursos. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado.
Estos ámbitos se estructuran en una relación de elementos primarios y secundarios, donde cada nivel de jerarquía hace que el ámbito sea más específico. Puede asignar roles en cualquiera de estos niveles de ámbito y el nivel que seleccione determina la amplitud de la aplicación del rol.
Por ejemplo, un rol asignado en el nivel de suscripción se puede propagar a todos los recursos de esa suscripción, mientras que un rol asignado en el nivel de grupo de recursos solo se aplicará a los recursos de ese grupo específico. Obtenga más información sobre el nivel de ámbito. Para obtener más información, consulte Niveles de ámbito.
Nota:
Permita el tiempo suficiente para la actualización de la memoria caché de Azure Resource Manager después de que cambie la asignación de roles.
Servicios adicionales
Para ver roles y permisos para otros servicios, consulte los vínculos siguientes: