Azure Virtual WAN のロールとアクセス許可について
Virtual WAN ハブでは、作成と管理の両方の操作で複数の基になるリソースを利用します。 このため、これらの操作中に関係するすべてのリソースに対するアクセス許可を確認することが不可欠です。
Azure 組み込みロール
Azure 組み込みロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID (ゲートウェイの作成に必要なすべてのアクセス許可をサポートするネットワーク共同作成者など) に割り当てることができます。 詳細については、Azure ロールを割り当てる手順を参照してください。
カスタム ロール
Azure の組み込みロールが組織の特定のニーズを満たさない場合は、独自のカスタム ロールを作成することができます。 組み込みロールと同様に、カスタム ロールは、ユーザー、グループ、サービス プリンシパルに対して、管理グループ、サブスクリプション、およびリソース グループのスコープで割り当てることができます。 詳細については、カスタム ロールを作成する手順を参照してください。
適切な機能を確保するため、ご自分のカスタム ロールのアクセス許可をチェックして、ユーザー サービス プリンシパルと、VPN ゲートウェイを操作するマネージド ID に必要なアクセス許可があることを確認してください。 ここに記載されている不足しているアクセス許可を追加するには、「カスタム ロールの更新」を参照してください。
アクセス許可
以下のリソースを作成または更新する場合は、次の一覧から適切なアクセス許可を追加します。
仮想ハブ リソース
| リソース | 必要な Azure アクセス許可 |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute ゲートウェイ リソース
| リソース | 必要な Azure アクセス許可 |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN リソース
| リソース | 必要な Azure アクセス許可 |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
NVA リソース
Virtual WAN の NVA (ネットワーク仮想アプライアンス) は、通常、Azure マネージド アプリケーションを介して、または NVA オーケストレーション ソフトウェア経由で直接デプロイされます。 マネージド アプリケーションまたは NVA オーケストレーション ソフトウェアにアクセス許可を適切に割り当てる方法の詳細については、こちらの手順を参照してください。
| リソース | 必要な Azure アクセス許可 |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
詳細については、「ネットワーク用の Azure のアクセス許可」と仮想ネットワークのアクセス許可に関する記事を参照してください。
ロールのスコープ
カスタム ロール定義のプロセスでは、管理グループ、サブスクリプション、リソース グループ、リソースの 4 つのレベルでロールの割り当てスコープを指定できます。 アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。
これらのスコープは親子関係で構成され、階層の各レベルによってスコープがより具体的になります。 これらのスコープ レベルのいずれかでロールを割り当てることができ、選択したレベルによって、ロールの適用範囲が決まります。
たとえば、サブスクリプション レベルで割り当てられたロールは、そのサブスクリプション内のすべてのリソースにカスケードダウンできますが、リソース グループ レベルで割り当てられたロールは、その特定のグループ内のリソースにのみ適用されます。 スコープ レベルについて詳しく学びます。詳細については、「スコープ レベル」を参照してください。
Note
ロールの割り当てが変更された後、Azure Resource Manager のキャッシュの更新には、十分な時間を確保してください。
追加サービス
他のサービスのロールとアクセス許可を表示するには、次のリンクを参照してください。