Informazioni su ruoli e autorizzazioni per Azure rete WAN virtuale
L'hub della rete WAN virtuale usa più risorse sottostanti durante le operazioni di creazione e gestione. Per questo motivo, è essenziale verificare le autorizzazioni per tutte le risorse interessate durante queste operazioni.
Ruoli predefiniti di Azure
È possibile scegliere di assegnare ruoli predefiniti di Azure a un utente, a un gruppo, a un'entità servizio o a un'identità gestita, ad esempio Collaboratore rete, che supportano tutte le autorizzazioni necessarie per la creazione di risorse correlate alla rete WAN virtuale.
Per maggiori informazioni, vedere Procedura per l’assegnazione di un ruolo Azure.
Ruoli personalizzati
Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione, della sottoscrizione e del gruppo di risorse. Per altre informazioni, vedere Passaggi per la creazione di un ruolo personalizzato.
Per garantire il corretto funzionamento, controllare le autorizzazioni di ruolo personalizzate per verificare che le entità servizio dell'utente e le identità gestite che interagiscono con la rete WAN virtuale dispongano delle autorizzazioni necessarie. Per aggiungere eventuali autorizzazioni mancanti elencate qui, vedere Aggiornare un ruolo personalizzato.
I ruoli personalizzati seguenti sono alcuni esempi che è possibile creare nel tenant se non si vogliono usare ruoli predefiniti più generici, ad esempio Collaboratore rete o Collaboratore. È possibile scaricare e salvare i ruoli di esempio come file JSON e caricare il file JSON in portale di Azure durante la creazione di ruoli personalizzati nel tenant. Assicurarsi che gli ambiti assegnabili per i ruoli personalizzati siano impostati correttamente per le sottoscrizioni delle risorse di rete.
amministratore rete WAN virtuale
Il ruolo amministratore della rete WAN virtuale può eseguire tutte le operazioni correlate all'hub virtuale, inclusa la gestione delle connessioni alla rete WAN virtuale e la configurazione del routing.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Lettore rete WAN virtuale
Il ruolo lettore della rete WAN virtuale può visualizzare e monitorare tutte le risorse correlate alla rete WAN virtuale, ma non eseguire aggiornamenti.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Autorizzazioni necessarie
Per creare o aggiornare le risorse della rete WAN virtuale, è necessario disporre delle autorizzazioni appropriate per creare il tipo di risorsa della rete WAN virtuale. In alcuni scenari è sufficiente disporre delle autorizzazioni per creare o aggiornare il tipo di risorsa. Tuttavia, in molti scenari, l'aggiornamento di una risorsa rete WAN virtuale con un riferimento a un'altra risorsa di Azure richiede l'autorizzazione sia per la risorsa creata che per le risorse a cui si fa riferimento.
Messaggio di errore
Un utente o un'entità servizio deve disporre di autorizzazioni sufficienti per eseguire un'operazione su una risorsa della rete WAN virtuale. Se l'utente non dispone di autorizzazioni sufficienti per eseguire l'operazione, l'operazione avrà esito negativo con un messaggio di errore simile a quello riportato di seguito.
| Codice di errore | Message |
|---|---|
| LinkedAccessCheckFailed | Il client con ID oggetto 'xxx' non dispone dell'autorizzazione per eseguire l'azione 'xxx' sull'ambito 'zzz resource' o l'ambito non è valido. Per informazioni dettagliate sulle autorizzazioni necessarie, visitare 'zzz'. Se l'accesso è stato concesso di recente, aggiornare le credenziali. |
Nota
Un utente o un'entità servizio potrebbe non disporre più delle autorizzazioni necessarie per gestire una risorsa della rete WAN virtuale. Il messaggio di errore restituito fa riferimento solo a un'autorizzazione mancante. Di conseguenza, è possibile che venga visualizzata un'autorizzazione mancante diversa dopo l'aggiornamento delle autorizzazioni assegnate all'entità servizio o all'utente.
Per correggere questo errore, concedere all'utente o all'entità servizio che gestisce le risorse rete WAN virtuale l'autorizzazione aggiuntiva descritta nel messaggio di errore e riprovare.
Esempio 1
Quando viene creata una connessione tra un hub rete WAN virtuale e un Rete virtuale spoke, il piano di controllo di rete WAN virtuale crea un peering Rete virtuale tra l'hub rete WAN virtuale e lo spoke Rete virtuale. È anche possibile specificare le tabelle di route rete WAN virtuale a cui la connessione Rete virtuale è associata o propagata.
Pertanto, per creare una connessione Rete virtuale all'hub rete WAN virtuale, è necessario disporre delle autorizzazioni seguenti:
- Creare una connessione Rete virtuale hub (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Creare un peering Rete virtuale con il Rete virtuale spoke (Microsoft.Network/virtualNetworks/peer/action)
- Leggere le tabelle di route a cui fanno riferimento le connessioni Rete virtuale (Microsoft.Network/virtualhubs/hubRouteTables/read)
Se si vuole associare una mappa di route in ingresso o in uscita è associata alla connessione Rete virtuale, è necessaria un'autorizzazione aggiuntiva:
- Leggere le mappe di route applicate alla connessione Rete virtuale (Microsoft.Network/virtualHubs/routeMaps/read).
Esempio 2
Per creare o modificare la finalità di routing, viene creata una risorsa della finalità di routing con un riferimento alle risorse hop successive specificate nei criteri di routing della finalità di routing. Ciò significa che per creare o modificare la finalità di routing sono necessarie autorizzazioni su qualsiasi risorsa di Firewall di Azure o appliance virtuale di rete a cui si fa riferimento.
Se l'hop successivo per i criteri di finalità di routing privato di un hub è un'appliance virtuale di rete e l'hop successivo per i criteri Internet di un hub è un Firewall di Azure, la creazione o l'aggiornamento di una risorsa delle finalità di routing richiede le autorizzazioni seguenti.
- Creare una risorsa finalità di routing. (Microsoft.Network/virtualhubs/routingIntents/write)
- Informazioni di riferimento (lettura) sulla risorsa Appliance virtuale di rete (Microsoft.Network/networkVirtualAppliances/read)
- Informazioni di riferimento (lettura) sulla risorsa Firewall di Azure (Microsoft.Network/azureFirewalls)
In questo esempio non sono necessarie autorizzazioni per leggere le risorse Microsoft.Network/securityPartnerProviders perché la finalità di routing configurata non fa riferimento a una risorsa del provider di sicurezza di terze parti.
Autorizzazioni aggiuntive necessarie a causa delle risorse a cui si fa riferimento
Nella sezione seguente viene descritto il set di autorizzazioni possibili necessarie per creare o modificare rete WAN virtuale risorse.
A seconda della configurazione rete WAN virtuale, l'utente o l'entità servizio che gestisce le distribuzioni di rete WAN virtuale potrebbero richiedere tutto, un subset o nessuna delle autorizzazioni seguenti sulle risorse a cui si fa riferimento.
Risorse dell'hub virtuale
| Conto risorse | Autorizzazioni di Azure necessarie a causa di riferimenti alle risorse |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Risorse del gateway ExpressRoute
| Conto risorse | Autorizzazioni di Azure necessarie a causa di riferimenti alle risorse |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Risorse VPN
| Conto risorse | Autorizzazioni di Azure necessarie a causa di riferimenti alle risorse |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Risorse dell'appliance virtuale di rete
Le appliance virtuali di rete (Appliance virtuali di rete) in rete WAN virtuale vengono in genere distribuite tramite applicazioni gestite da Azure o direttamente tramite il software di orchestrazione dell'appliance virtuale di rete. Per altre informazioni su come assegnare correttamente le autorizzazioni alle applicazioni gestite o al software di orchestrazione dell'appliance virtuale di rete, vedere le istruzioni qui.
| Conto risorse | Autorizzazioni di Azure necessarie a causa di riferimenti alle risorse |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Per altre informazioni, vedere Autorizzazioni di Azure per le autorizzazioni di rete e rete virtuale.
Ambito ruoli
Nel processo di definizione del ruolo personalizzato è possibile specificare un ambito di assegnazione di ruolo a quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorse. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.
Questi ambiti sono strutturati in una relazione padre-figlio, con ogni livello di gerarchia che rende l'ambito più specifico. È possibile assegnare ruoli a uno di questi livelli di ambito e il livello selezionato determina la quantità di applicazione del ruolo.
Ad esempio, un ruolo assegnato a livello di sottoscrizione può essere propagato a tutte le risorse all'interno di tale sottoscrizione, mentre un ruolo assegnato a livello di gruppo di risorse verrà applicato solo alle risorse all'interno di tale gruppo specifico. Altre informazioni sul livello di ambito Per altre informazioni, vedere Livelli di ambito.
Nota
Attendere tempo sufficiente per l'aggiornamento della cache di Azure Resource Manager dopo la modifica dell'assegnazione di ruolo.
Servizi aggiuntivi
Per visualizzare ruoli e autorizzazioni per altri servizi, vedere i collegamenti seguenti: