Acerca de los roles y los permisos para Azure Virtual WAN
El centro de Virtual WAN utiliza varios recursos subyacentes durante las operaciones de creación y administración. Por este motivo, es esencial comprobar los permisos de todos los recursos implicados durante estas operaciones.
Roles integrados en los recursos de Azure
Puede optar por asignar roles integrados de Azure a un usuario, grupo, entidad de servicio o identidad administrada, como Colaborador de red, que admiten todos los permisos necesarios para crear recursos relacionados con Virtual WAN.
Para más información, consulte Pasos para asignar roles de Azure.
Roles personalizados
Si los roles integrados de Azure no cumplen las necesidades específicas de su organización, puede crear los suyos propios. Al igual que en el caso de los roles integrados, se pueden asignar roles personalizados a usuarios, grupos y entidades de servicio en los ámbitos del grupo de administración, de la suscripción y del grupo de recursos. Para obtener más información, consulte Pasos para crear un rol personalizado.
Para garantizar una funcionalidad adecuada, compruebe los permisos de rol personalizados para confirmar que las entidades de servicio de usuario y las identidades administradas que interactúan con Virtual WAN tienen los permisos necesarios. Para agregar los permisos que faltan aquí, consulte Actualización de un rol personalizado.
Los siguientes roles personalizados son algunos roles de ejemplo que puede crear en el inquilino si no desea aprovechar roles integrados más genéricos, como Colaborador de red o Colaborador.
Administrador de Virtual WAN
El rol Administrador de Virtual WAN tiene la capacidad de realizar todas las operaciones relacionadas con el centro virtual, incluida la administración de conexiones a Virtual WAN y la configuración del enrutamiento.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Lector de Virtual WAN
El rol lector de Virtual WAN tiene la capacidad de ver y supervisar todos los recursos relacionados con Virtual WAN, pero no puede realizar ninguna actualización.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Permisos necesarios
La creación o actualización de recursos de Virtual WAN requiere que tenga los permisos adecuados para crear ese tipo de recurso de Virtual WAN. En algunos escenarios, tener permisos para crear o actualizar ese tipo de recurso es suficiente. Sin embargo, en muchos escenarios, la actualización de un recurso de Virtual WAN que tiene una referencia a otro recurso de Azure requiere que tenga permisos sobre el recurso creado y los recursos a los que se hace referencia.
Mensaje de error
Un usuario o entidad de servicio debe tener permisos suficientes para ejecutar una operación en un recurso de Virtual WAN. Si el usuario no tiene permisos suficientes para realizar la operación, se producirá un error en la operación con un mensaje de error similar al siguiente.
| Código de error | Message |
|---|---|
| LinkedAccessCheckFailed | El cliente con el identificador de objeto 'xxx' no tiene autorización para realizar la acción 'xxx' en el ámbito 'zzz resource' o el ámbito no es válido. Para obtener más información sobre los permisos necesarios, visite "zzz". Si el acceso se ha concedido recientemente, actualice las credenciales. |
Nota:
Es posible que un usuario o una entidad de servicio falten varios permisos necesarios para administrar un recurso de Virtual WAN. El mensaje de error devuelto solo hace referencia a un permiso que falta. Como resultado, es posible que vea un permiso que falta diferente después de actualizar los permisos asignados a la entidad de servicio o al usuario.
Para corregir este error, conceda al usuario o a la entidad de servicio que administra los recursos de Virtual WAN el permiso adicional descrito en el mensaje de error y vuelva a intentarlo.
Ejemplo 1
Al crear una conexión entre un centro de Virtual WAN y una red virtual de radio, el plano de control de Virtual WAN crea un emparejamiento de red virtual entre el centro de Virtual WAN y la red virtual de radio. También puede especificar las tablas de rutas de Virtual WAN a las que se asocia o propaga la conexión de red virtual.
Por lo tanto, para crear una conexión de red virtual al centro de Virtual WAN, debe tener los permisos siguientes:
- Creación de una conexión de red virtual de concentrador (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Creación de un emparejamiento de red virtual con la red virtual de radio (Microsoft.Network/virtualNetworks/peer/action)
- Lea las tablas de rutas a las que hacen referencia las conexiones de red virtual (Microsoft.Network/virtualhubs/hubRouteTables/read).
Si desea asociar un mapa de rutas entrante o enlazado a salida está asociado a la conexión de red virtual, necesita un permiso adicional:
- Lea los mapas de ruta que se aplican a la conexión de red virtual (Microsoft.Network/virtualHubs/routeMaps/read).
Ejemplo 2
Para crear o modificar la intención de enrutamiento, se crea un recurso de intención de enrutamiento con una referencia a los recursos de próximo salto especificados en la directiva de enrutamiento de la intención de enrutamiento. Esto significa que para crear o modificar la intención de enrutamiento, necesita permisos sobre cualquier recurso de aplicación virtual de red o Azure Firewall al que se haga referencia.
Si el próximo salto para la directiva de intención de enrutamiento privado de un centro es una aplicación virtual de red y el próximo salto para la directiva de Internet de un centro es Azure Firewall, la creación o actualización de un recurso de intención de enrutamiento requiere los permisos siguientes.
- Cree un recurso de intención de enrutamiento. (Microsoft.Network/virtualhubs/routingIntents/write)
- Referencia (lectura) del recurso Aplicación virtual de red (Microsoft.Network/networkVirtualAppliances/read)
- Referencia (lectura) del recurso de Azure Firewall (Microsoft.Network/azureFirewalls)
En este ejemplo, no necesita permisos para leer los recursos Microsoft.Network/securityPartnerProviders porque la intención de enrutamiento configurada no hace referencia a un recurso de proveedor de seguridad de terceros.
Permisos adicionales necesarios debido a recursos a los que se hace referencia
En la sección siguiente se describe el conjunto de posibles permisos que son necesarios para crear o modificar recursos de Virtual WAN.
Según la configuración de Virtual WAN, el usuario o la entidad de servicio que administra las implementaciones de Virtual WAN pueden necesitar todos, un subconjunto o ninguno de los permisos siguientes sobre los recursos a los que se hace referencia.
Recursos del centro de conectividad virtual
| Resource | Permisos de Azure necesarios debido a referencias de recursos |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Recursos de puerta de enlace de ExpressRoute
| Resource | Permisos de Azure necesarios debido a referencias de recursos |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Recursos de VPN
| Resource | Permisos de Azure necesarios debido a referencias de recursos |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Recursos de NVA
Las NVA (aplicaciones virtuales de red) en Virtual WAN normalmente se implementan a través de aplicaciones administradas de Azure o directamente a través del software de orquestación de NVA. Para obtener más información sobre cómo asignar correctamente permisos a aplicaciones administradas o software de orquestación de NVA, consulte las instrucciones aquí.
| Resource | Permisos de Azure necesarios debido a referencias de recursos |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Para obtener más información, consulte Permisos de Azure para redes y Permisos de red virtual.
Ámbito de roles
En el proceso de definición de roles personalizados, puede especificar un ámbito de asignación de roles en cuatro niveles: grupo de administración, suscripción, grupo de recursos y recursos. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado.
Estos ámbitos se estructuran en una relación de elementos primarios y secundarios, donde cada nivel de jerarquía hace que el ámbito sea más específico. Puede asignar roles en cualquiera de estos niveles de ámbito y el nivel que seleccione determina la amplitud de la aplicación del rol.
Por ejemplo, un rol asignado en el nivel de suscripción se puede propagar a todos los recursos de esa suscripción, mientras que un rol asignado en el nivel de grupo de recursos solo se aplicará a los recursos de ese grupo específico. Obtenga más información sobre el nivel de ámbito. Para obtener más información, consulte Niveles de ámbito.
Nota:
Permita el tiempo suficiente para la actualización de la memoria caché de Azure Resource Manager después de que cambie la asignación de roles.
Servicios adicionales
Para ver roles y permisos para otros servicios, consulte los vínculos siguientes: