À propos des rôles et des autorisations pour le Pare-feu Azure
Le Pare-feu Azure utilise plusieurs ressources, telles que des réseaux virtuels et des adresses IP, lors des opérations de création et de gestion. En raison de cela, il est essentiel de vérifier les autorisations sur toutes les ressources impliquées pendant ces opérations.
Rôles intégrés Azure
Vous pouvez choisir d’attribuer des rôles intégrés Azure à un utilisateur, un groupe, un principal de service ou une identité managée, comme le contributeur réseau, qui prend en charge toutes les autorisations requises pour la création de la passerelle. Pour plus d’informations, consultez Étapes pour attribuer un rôle Azure.
Rôles personnalisés
Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à des utilisateurs, à des groupes et à des principaux de service dans des étendues de groupe d’administration, d’abonnement et de groupe de ressources. Pour plus d’informations, consultez Étapes de création d’un rôle personnalisé.
Pour garantir un bon fonctionnement, vérifiez vos autorisations de rôle personnalisées pour confirmer que les principaux de service utilisateur et les identités gérées exploitant le Pare-feu Azure disposent des autorisations nécessaires. Pour ajouter les autorisations manquantes répertoriées ici, consultez Mettre à jour un rôle personnalisé.
autorisations
Selon que vous créez de nouvelles ressources ou que vous utilisez des ressources existantes, ajoutez les autorisations appropriées à partir de la liste suivante pour le Pare-feu Azure dans un VNET Hub :
| Ressource | État de la ressource | Autorisations Azure nécessaires |
|---|---|---|
| Sous-réseau | Création | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Sous-réseau | Utiliser existant | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Adresses IP | Création | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Adresses IP | Utiliser existant | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Pare-feu Azure | Créer/Mettre à jour | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Si vous créez un Pare-feu Azure dans Azure Virtual WAN, ajoutez l’autorisation suivante :
| Ressource | État de la ressource | Autorisations Azure nécessaires |
|---|---|---|
| virtualHubs | Créer/Mettre à jour | Microsoft.Network/virtualHubs/read |
Pour plus d’informations, consultez Autorisations Azure pour la mise en réseau et Autorisations pour les réseaux virtuels.
Étendue des rôles
Dans le processus de définition de rôle personnalisée, vous pouvez spécifier une étendue d’attribution de rôle à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressources. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux principaux de service ou aux identités managées avec une étendue particulière.
Ces étendues sont structurées dans une relation parent-enfant, chaque niveau de hiérarchie rendant l’étendue plus spécifique. Vous pouvez attribuer des rôles à l’un de ces niveaux d’étendue, et le niveau que vous sélectionnez détermine la largeur de l’application du rôle.
Par exemple, un rôle attribué au niveau de l’abonnement peut descendre en cascade vers toutes les ressources de cet abonnement, tandis qu’un rôle affecté au niveau du groupe de ressources s’applique uniquement aux ressources au sein de ce groupe spécifique. En savoir plus sur le niveau d’étendue. Pour plus d’informations, consultez Niveaux d’étendue.
Services supplémentaires
Si vous souhaitez afficher les rôles et autorisations pour d’autres services, consultez les liens suivants :
Remarque
Laissez suffisamment de temps pour l’actualisation du cache Azure Resource Manager après les modifications de l’attribution de rôle.
Étapes suivantes
Qu’est-ce que le contrôle d’accès en fonction du rôle Azure ?Contrôle d’accès en fonction du rôle Azure