À propos des rôles et des autorisations pour Azure Virtual WAN
Le hub Virtual WAN utilise plusieurs ressources sous-jacentes pendant les opérations de création et de gestion. En raison de cela, il est essentiel de vérifier les autorisations sur toutes les ressources impliquées pendant ces opérations.
Rôles intégrés Azure
Vous pouvez choisir d’attribuer rôles intégrés Azure à un utilisateur, un groupe, un principal de service ou une identité managée, comme contributeur réseau, qui prennent en charge toutes les autorisations requises pour la création de ressources liées à Virtual WAN.
Pour plus d’informations, consultez Étapes pour attribuer un rôle Azure.
Rôles personnalisés
Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à des utilisateurs, à des groupes et à des principaux de service dans des étendues de groupe d’administration, d’abonnement et de groupe de ressources. Pour plus d’informations, consultez Étapes de création d’un rôle personnalisé.
Pour garantir une fonctionnalité appropriée, vérifiez vos autorisations de rôle personnalisées pour confirmer les principaux du service utilisateur et les identités managées qui interagissent avec Virtual WAN disposent des autorisations nécessaires. Pour ajouter les autorisations manquantes répertoriées ici, consultez Mettre à jour un rôle personnalisé.
Les rôles personnalisés suivants sont quelques exemples de rôles que vous pouvez créer dans votre locataire si vous ne souhaitez pas tirer parti de rôles intégrés plus génériques tels que Contributeur réseau ou Contributeur.
Administrateur Virtual WAN
Le rôle Administrateur Virtual WAN a la possibilité d’effectuer toutes les opérations liées au hub virtuel, notamment la gestion des connexions à Virtual WAN et la configuration du routage.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Lecteur Virtual WAN
Le rôle lecteur Virtual WAN a la possibilité d’afficher et de surveiller toutes les ressources liées à Virtual WAN, mais ne peut pas effectuer de mises à jour.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Autorisations requises
La création ou la mise à jour de ressources Virtual WAN vous oblige à disposer des autorisations appropriées pour créer ce type de ressource Virtual WAN. Dans certains scénarios, avoir des autorisations pour créer ou mettre à jour ce type de ressource est suffisant. Toutefois, dans de nombreux scénarios, la mise à jour d’une ressource Virtual WAN qui a une référence à une autre ressource Azure nécessite que vous disposiez d’autorisations sur la ressource créée et toutes les ressources référencées.
Message d’erreur
Un utilisateur ou un principal de service doit disposer des autorisations suffisantes pour exécuter une opération sur une ressource Virtual WAN. Si l’utilisateur n’a pas les autorisations suffisantes pour effectuer l’opération, celle-ci échoue avec un message d’erreur similaire à celui ci-dessous.
| Code d’erreur | Message |
|---|---|
| LinkedAccessCheckFailed | Le client avec l’ID d’objet « xxx » n’est pas autorisé à effectuer l’action « xxx » sur l’étendue « ressource zzz » ou l’étendue n’est pas valide. Pour obtenir des détails sur les autorisations requises, consultez « zzz ». Si l’accès a été accordé récemment, actualisez vos informations d’identification. |
Remarque
Il peut manquer à l’utilisateur ou au principal de service plusieurs autorisations nécessaires pour gérer une ressource Virtual WAN. Le message d’erreur retourné ne fait référence qu’à une seule autorisation manquante. Par conséquent, vous pouvez voir une autre autorisation manquante après avoir mis à jour les autorisations affectées à votre principal de service ou à votre utilisateur.
Pour corriger cette erreur, accordez à l’utilisateur ou au principal de service qui gère votre ou vos ressources Virtual WAN l’autorisation supplémentaire décrite dans le message d’erreur et réessayez.
Exemple 1
Lorsqu’une connexion est établie entre un hub Virtual WAN et un réseau virtuel spoke, le plan de contrôle de Virtual WAN crée un appairage de réseaux virtuels entre le hub Virtual WAN et votre réseau virtuel spoke. Vous pouvez également spécifier les tables de routage Virtual WAN auxquelles la connexion de réseau virtuel associe ou se propage.
Par conséquent, pour créer une connexion de réseau virtuel au hub Virtual WAN, vous devez disposer des autorisations suivantes :
- Créer une connexion de réseau virtuel hub (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Créer un appairage de réseaux virtuels avec le réseau virtuel étendu (Microsoft.Network/virtualNetworks/peer/action)
- Lire la ou les tables de routage référencées par les connexions de réseau virtuel (Microsoft.Network/virtualhubs/hubRouteTables/read)
Si vous souhaitez associer une carte de routage entrante ou sortante est associée à la connexion de réseau virtuel, vous avez besoin d’une autorisation supplémentaire :
- Lisez la ou les cartes de routage appliquées à la connexion de réseau virtuel (Microsoft.Network/virtualHubs/routeMaps/read).
Exemple 2
Pour créer ou modifier l’intention de routage, une ressource d’intention de routage est créée avec une référence aux ressources de tronçon suivantes spécifiées dans la stratégie de routage de l’intention de routage. Cela signifie que pour créer ou modifier une intention de routage, vous avez besoin d’autorisations sur les ressources de pare-feu Azure ou d’appliance virtuelle réseau référencées.
Si le tronçon suivant de la stratégie d’intention de routage privé d’un hub est une appliance virtuelle réseau et que le tronçon suivant de la stratégie Internet d’un hub est un Pare-feu Azure, la création ou la mise à jour d’une ressource d’intention de routage nécessite les autorisations suivantes.
- Créez une ressource d’intention de routage. (Microsoft.Network/virtualhubs/routingIntents/write)
- Référence (lecture) de la ressource d’appliance virtuelle réseau (Microsoft.Network/networkVirtualAppliances/read)
- Référence (lecture) de la ressource pare-feu Azure (Microsoft.Network/azureFirewalls)
Dans cet exemple, vous n’avez pas besoin d’autorisations pour lire les ressources Microsoft.Network/securityPartnerProviders, car l’intention de routage configurée ne fait pas référence à une ressource de fournisseur de sécurité tierce.
Autorisations supplémentaires requises en raison de ressources référencées
La section suivante décrit l’ensemble des autorisations possibles nécessaires pour créer ou modifier des ressources Virtual WAN.
Selon votre configuration Virtual WAN, l’utilisateur ou le principal de service qui gère vos déploiements Virtual WAN peuvent avoir besoin de toutes les autorisations ci-dessous, d’une partie ou d’aucune sur les ressources référencées.
Ressources de hub virtuel
| Ressource | Autorisations Azure requises en raison de références de ressources |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Ressources de passerelle ExpressRoute
| Ressource | Autorisations Azure requises en raison de références de ressources |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Ressources VPN
| Ressource | Autorisations Azure requises en raison de références de ressources |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Ressources de l’appliance virtuelle réseau
Les appliances virtuelles réseau dans Virtual WAN sont généralement déployées via des applications managées Azure ou directement à partir de logiciels d’orchestration NVA. Pour plus d’informations sur la façon d’attribuer correctement des autorisations à des applications managées ou à un logiciel d’orchestration NVA, consultez les instructions fournies ici.
| Ressource | Autorisations Azure requises en raison de références de ressources |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Pour plus d’informations, consultez Autorisations Azure pour la mise en réseau et Autorisations pour les réseaux virtuels.
Étendue des rôles
Dans le processus de définition de rôle personnalisée, vous pouvez spécifier une étendue d’attribution de rôle à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressources. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux principaux de service ou aux identités managées avec une étendue particulière.
Ces étendues sont structurées dans une relation parent-enfant, chaque niveau de hiérarchie rendant l’étendue plus spécifique. Vous pouvez attribuer des rôles à l’un de ces niveaux d’étendue, et le niveau que vous sélectionnez détermine la largeur de l’application du rôle.
Par exemple, un rôle attribué au niveau de l’abonnement peut descendre en cascade vers toutes les ressources de cet abonnement, tandis qu’un rôle affecté au niveau du groupe de ressources s’applique uniquement aux ressources au sein de ce groupe spécifique. En savoir plus sur le niveau d’étendue. Pour plus d’informations, consultez Niveaux d’étendue.
Remarque
Laissez suffisamment de temps pour l’actualisation du cache Azure Resource Manager après les modifications de l’attribution de rôle.
Services supplémentaires
Si vous souhaitez afficher les rôles et autorisations pour d’autres services, consultez les liens suivants :