Azure Virtual WAN のロールとアクセス許可について
Virtual WAN ハブでは、作成と管理の両方の操作で複数の基になるリソースを利用します。 このため、これらの操作中に関係するすべてのリソースに対するアクセス許可を確認することが不可欠です。
Azure 組み込みロール
Azure 組み込みロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID (Virtual WAN に関連したリソースの作成に必要なすべてのアクセス許可をサポートするネットワーク共同作成者など) に割り当てることができます。
詳細については、Azure ロールを割り当てる手順を参照してください。
カスタム ロール
Azure の組み込みロールが組織の特定のニーズを満たさない場合は、独自のカスタム ロールを作成することができます。 組み込みロールと同様に、カスタム ロールは、ユーザー、グループ、サービス プリンシパルに対して、管理グループ、サブスクリプション、およびリソース グループのスコープで割り当てることができます。 詳細については、カスタム ロールを作成する手順を参照してください。
適切な機能を確保するため、ご自分のカスタム ロールのアクセス許可をチェックして、ユーザー サービス プリンシパルと、Virtual WAN を操作するマネージド ID に、必要なアクセス許可があることを確認してください。 ここに記載されている不足しているアクセス許可を追加するには、「カスタム ロールの更新」を参照してください。
次のカスタム ロールは、ネットワーク共同作成者や共同作成者などの、より汎用的な組み込みロールを利用しない場合に、テナントで作成できるロールの例です。 サンプル ロールを JSON ファイルとしてダウンロードして保存し、テナントでカスタム ロールを作成するときに JSON ファイルを Azure portal にアップロードできます。 カスタム ロールの割り当て可能なスコープが、ネットワーク リソース サブスクリプションに対して適切に設定されていることを確認します。
Virtual WAN 管理者
Virtual WAN 管理者ロールでは、Virtual WAN への接続の管理やルーティングの構成など、仮想ハブに関連するすべての操作を実行できます。
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Virtual WAN 閲覧者
Virtual WAN 閲覧者ロールでは、Virtual WAN 関連のすべてのリソースを表示および監視できますが、更新を実行することはできません。
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
必要なアクセス許可
Virtual WAN リソースを作成または更新するには、その Virtual WAN リソースの種類を作成するための適切なアクセス許可が必要です。 一部のシナリオでは、そのリソースの種類を作成または更新するためのアクセス許可で十分です。 ただし、多くのシナリオでは、別の Azure リソースへの参照を含む Virtual WAN リソースを更新するには、作成したリソースと参照されているリソースの両方に対するアクセス許可が必要です。
エラー メッセージ
ユーザーまたはサービス プリンシパルには、Virtual WAN リソースに対して操作を実行するための十分なアクセス許可が必要です。 そのユーザーに操作を実行するための十分なアクセス許可がない場合、その操作は失敗し、以下のようなエラー メッセージが表示されます。
| エラー コード | Message |
|---|---|
| LinkedAccessCheckFailed | オブジェクト ID が 'xxx' のクライアントには、スコープ 'zzz リソース' に対してアクション 'xxx' を実行するための認可がない、またはそのスコープが無効です。 必要なアクセス許可に関する詳細については、'zzz' にアクセスしてください。 アクセス権が最近付与された場合には、資格情報を更新してください。 |
Note
ユーザーまたはサービス プリンシパルに、Virtual WAN リソースを管理するために必要な複数のアクセス許可が不足している可能性があります。 返されたエラー メッセージは、不足しているアクセス許可の 1 つのみを参照しています。 そのため、サービス プリンシパルまたはユーザーに割り当てられたアクセス許可を更新しても、別のアクセス許可が不足している可能性があります。
このエラーを解決するには、Virtual WAN リソースを管理しているユーザーまたはサービス プリンシパルに、エラー メッセージの中に記載されている追加のアクセス許可を許可して再試行します。
例 1
Virtual WAN ハブとスポーク仮想ネットワークの間に接続が作成されると、Virtual WAN のコントロール プレーンによって、Virtual WAN ハブとスポーク仮想ネットワークの間に仮想ネットワーク ピアリングが作成されます。 仮想ネットワーク接続の関連付け先または伝播先の Virtual WAN ルート テーブルを指定することもできます。
そのため、Virtual WAN ハブへの仮想ネットワーク接続を作成するには、次のアクセス許可が必要です。
- ハブ仮想ネットワーク接続の作成 (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- スポーク仮想ネットワークを使用した仮想ネットワーク ピアリングの作成 (Microsoft.Network/virtualNetworks/peer/action)
- 仮想ネットワーク接続が参照しているルート テーブルの読み取り (Microsoft.Network/virtualhubs/hubRouteTables/read)
受信または送信ルート マップを仮想ネットワーク接続に関連付ける場合は、追加のアクセス許可が必要です。
- 仮想ネットワーク接続に適用されているルート マップの読み取り (Microsoft.Network/virtualHubs/routeMaps/read)。
例 2
ルーティング インテントを作成または変更するために、ルーティング インテントのルーティング ポリシーで指定されたネクスト ホップ リソースへの参照を使用して、ルーティング インテント リソースが作成されます。 つまり、ルーティング インテントを作成または変更するには、参照されている Azure Firewall またはネットワーク仮想アプライアンスのリソースに対するアクセス許可が必要です。
ハブのプライベート ルーティング インテント ポリシーのネクスト ホップがネットワーク仮想アプライアンスであり、ハブのインターネット ポリシーのネクスト ホップが Azure Firewall である場合、ルーティング インテント リソースを作成または更新するには、次のアクセス許可が必要です。
- ルーティング インテント リソースの作成。 (Microsoft.Network/virtualhubs/routingIntents/write)
- ネットワーク仮想アプライアンス リソースの参照 (読み取り) (Microsoft.Network/networkVirtualAppliances/read)
- Azure Firewall リソースの参照 (読み取り) (Microsoft.Network/azureFirewalls)
この例では、構成されているルーティング インテントがサード パーティのセキュリティ プロバイダー リソースを参照していないので、Microsoft.Network/securityPartnerProviders リソースを読み取るためのアクセス許可は不要です。
参照されているリソースのために必要な追加のアクセス許可
次のセクションでは、Virtual WAN リソースを作成または変更するために必要になる可能性がある一連のアクセス許可について説明します。
Virtual WAN の構成によっては、Virtual WAN デプロイを管理しているユーザーまたはサービス プリンシパルには、参照されるリソースに対して以下のアクセス許可のすべてまたはサブセットが必要な場合と、どれも必要ない場合があります。
仮想ハブ リソース
| リソース | リソース参照のために必要な Azure アクセス許可 |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute ゲートウェイ リソース
| リソース | リソース参照のために必要な Azure アクセス許可 |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN リソース
| リソース | リソース参照のために必要な Azure アクセス許可 |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA リソース
Virtual WAN の NVA (ネットワーク仮想アプライアンス) は、通常、Azure マネージド アプリケーションを介して、または NVA オーケストレーション ソフトウェア経由で直接デプロイされます。 マネージド アプリケーションまたは NVA オーケストレーション ソフトウェアにアクセス許可を適切に割り当てる方法の詳細については、こちらの手順を参照してください。
| リソース | リソース参照のために必要な Azure アクセス許可 |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
詳細については、「ネットワーク用の Azure のアクセス許可」と仮想ネットワークのアクセス許可に関する記事を参照してください。
ロールのスコープ
カスタム ロール定義のプロセスでは、管理グループ、サブスクリプション、リソース グループ、リソースの 4 つのレベルでロールの割り当てスコープを指定できます。 アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。
これらのスコープは親子関係で構成され、階層の各レベルによってスコープがより具体的になります。 これらのスコープ レベルのいずれかでロールを割り当てることができ、選択したレベルによって、ロールの適用範囲が決まります。
たとえば、サブスクリプション レベルで割り当てられたロールは、そのサブスクリプション内のすべてのリソースにカスケードダウンできますが、リソース グループ レベルで割り当てられたロールは、その特定のグループ内のリソースにのみ適用されます。 スコープ レベルについて詳しく学びます。詳細については、「スコープ レベル」を参照してください。
Note
ロールの割り当てが変更された後、Azure Resource Manager のキャッシュの更新には、十分な時間を確保してください。
追加サービス
他のサービスのロールとアクセス許可を表示するには、以下のリンクを参照してください。