Azure Virtual WAN에 대한 역할 및 권한 정보
Virtual WAN 허브는 만들기 및 관리 작업 중에 여러 기본 리소스를 활용합니다. 이 때문에 이러한 작업 중에 관련된 모든 리소스에 대한 권한을 확인해야 합니다.
Azure 기본 제공 역할
Virtual WAN과 관련된 리소스를 만드는 데 필요한 모든 권한을 지원하는 네트워크 기여자 같은 사용자, 그룹, 서비스 주체 또는 관리 ID에 Azure 기본 제공 역할을 할당하도록 선택할 수 있습니다.
자세한 내용은 Azure 역할을 할당하는 단계를 참조하세요.
사용자 지정 역할
Azure 기본 제공 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들면 됩니다. 기본 제공 역할처럼 관리 그룹, 구독 및 리소스 그룹 범위에서 사용자, 그룹 및 서비스 사용자에게 사용자 지정 역할을 할당할 수 있습니다. 자세한 내용은 사용자 지정 역할을 만드는 단계를 참조 하세요 .
적절한 기능을 보장하려면 사용자 지정 역할 권한을 확인하여 사용자 서비스 주체를 확인하고 Virtual WAN과 상호 작용하는 관리 ID에 필요한 권한이 있는지 확인합니다. 여기에 나열된 누락된 권한을 추가하려면 사용자 지정 역할 업데이트를 참조하세요.
다음 사용자 지정 역할은 네트워크 기여자 또는 참가자와 같은 일반적인 기본 제공 역할을 활용하지 않으려는 경우 테넌트에서 만들 수 있는 몇 가지 예제 역할입니다.
Virtual WAN 관리자
Virtual WAN 관리자 역할은 Virtual WAN에 대한 연결 관리 및 라우팅 구성을 포함하여 가상 허브와 관련된 모든 작업을 수행할 수 있습니다.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Virtual WAN 판독기
Virtual WAN 판독기 역할은 모든 Virtual WAN 관련 리소스를 보고 모니터링할 수 있지만 업데이트를 수행할 수는 없습니다.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
필요한 권한
Virtual WAN 리소스를 만들거나 업데이트하려면 해당 Virtual WAN 리소스 유형을 만들 수 있는 적절한 권한이 있어야 합니다. 일부 시나리오에서는 해당 리소스 유형을 만들거나 업데이트할 수 있는 권한이 있는 것으로 충분합니다. 그러나 많은 시나리오에서 다른 Azure 리소스에 대한 참조가 있는 Virtual WAN 리소스를 업데이트하려면 만든 리소스와 참조된 리소스 모두에 대한 권한이 있어야 합니다.
오류 메시지
사용자 또는 서비스 주체는 Virtual WAN 리소스에 대한 작업을 실행할 수 있는 충분한 권한이 있어야 합니다. 사용자에게 작업을 수행할 수 있는 충분한 권한이 없는 경우 아래와 유사한 오류 메시지와 함께 작업이 실패합니다.
| 오류 코드 | 메시지 |
|---|---|
| LinkedAccessCheckFailed | 개체 ID가 'xxx'인 클라이언트에는 범위 'zzz 리소스'에 대해 'xxx' 작업을 수행할 권한이 없거나 범위가 잘못되었습니다. 필요한 권한에 대한 자세한 내용은 'zzz'를 방문하세요. 액세스 권한이 최근에 부여된 경우 자격 증명을 새로 고치세요. |
참고 항목
사용자 또는 서비스 주체가 Virtual WAN 리소스를 관리하는 데 필요한 여러 권한이 누락되었을 수 있습니다. 반환된 오류 메시지는 누락된 권한 하나만 참조합니다. 따라서 서비스 주체 또는 사용자에게 할당된 권한을 업데이트한 후 다른 누락된 사용 권한이 표시될 수 있습니다.
이 오류를 해결하려면 Virtual WAN 리소스를 관리하는 사용자 또는 서비스 주체에게 오류 메시지에 설명된 추가 권한을 부여하고 다시 시도합니다.
예 1
Virtual WAN 허브와 스포크 Virtual Network 간에 연결이 만들어지면 Virtual WAN의 컨트롤 플레인은 Virtual WAN 허브와 스포크 Virtual Network 간에 Virutal Network 피어링을 만듭니다. Virtual Network 연결이 연결되거나 전파되는 Virtual WAN 경로 테이블을 지정할 수도 있습니다.
따라서 Virtual WAN 허브에 대한 Virtual Network 연결을 만들려면 다음 권한이 있어야 합니다.
- 허브 Virtual Network 연결 만들기(Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- 스포크 Virtual Network를 사용하여 Virtual Network 피어링 만들기(Microsoft.Network/virtualNetworks/peer/action)
- Virtual Network 연결이 참조하는 경로 테이블 읽기(Microsoft.Network/virtualhubs/hubRouteTables/read)
인바운드 또는 아웃바운드 경로 맵을 Virtual Network 연결과 연결하려면 추가 권한이 필요합니다.
- Virtual Network 연결에 적용되는 경로 맵을 읽습니다(Microsoft.Network/virtualHubs/routeMaps/read).
예제 2
라우팅 의도를 만들거나 수정하기 위해 라우팅 의도의 라우팅 정책에 지정된 다음 홉 리소스에 대한 참조를 사용하여 라우팅 의도 리소스를 만듭니다. 즉, 라우팅 의도를 만들거나 수정하려면 참조된 Azure Firewall 또는 네트워크 가상 어플라이언스 리소스에 대한 권한이 필요합니다.
허브의 프라이빗 라우팅 의도 정책에 대한 다음 홉이 네트워크 가상 어플라이언스이고 허브의 인터넷 정책에 대한 다음 홉이 Azure Firewall인 경우 라우팅 의도 리소스를 만들거나 업데이트하려면 다음 허용이 필요합니다.
- 라우팅 의도 리소스를 만듭니다. (Microsoft.Network/virtualhubs/routingIntents/write)
- 네트워크 가상 어플라이언스 리소스 참조(읽기) (Microsoft.Network/networkVirtualAppliances/read)
- Azure Firewall 리소스 참조(읽기) (Microsoft.Network/azureFirewalls)
이 예제 에서는 구성된 라우팅 의도가 타사 보안 공급자 리소스를 참조하지 않으므로 Microsoft.Network/securityPartnerProviders 리소스를 읽을 수 있는 권한이 필요하지 않습니다.
참조된 리소스로 인해 필요한 추가 권한
다음 섹션에서는 Virtual WAN 리소스를 만들거나 수정하는 데 필요한 가능한 허용 항목 집합에 대해 설명합니다.
Virtual WAN 구성에 따라 Virtual WAN 배포를 관리하는 사용자 또는 서비스 주체에는 참조된 리소스에 대한 아래 권한 중 일부 또는 하위 집합이 모두 필요할 수 있습니다.
가상 허브 리소스
| 리소스 | 리소스 참조로 인한 필수 Azure 권한 |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute 게이트웨이 리소스
| 리소스 | 리소스 참조로 인한 필수 Azure 권한 |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN 리소스
| 리소스 | 리소스 참조로 인한 필수 Azure 권한 |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA 리소스
Virtual WAN의 NVA(네트워크 가상 어플라이언스)는 일반적으로 Azure 관리형 애플리케이션을 통해 또는 NVA 오케스트레이션 소프트웨어를 통해 직접 배포됩니다. 관리되는 애플리케이션 또는 NVA 오케스트레이션 소프트웨어에 권한을 올바르게 할당하는 방법에 대한 자세한 내용은 여기 지침을 참조하세요.
| 리소스 | 리소스 참조로 인한 필수 Azure 권한 |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
자세한 내용은 네트워킹 및 가상 네트워크 권한에 대한 Azure 권한을 참조하세요.
역할 범위
사용자 지정 역할 정의 프로세스에서 관리 그룹, 구독, 리소스 그룹 및 리소스의 네 가지 수준에서 역할 할당 범위를 지정할 수 있습니다. 액세스 권한을 부여하려면 역할을 특정 범위의 사용자, 그룹, 서비스 주체 또는 관리 ID에 할당합니다.
이러한 범위는 부모-자식 관계로 구성되며 각 계층 구조 수준으로 범위를 보다 구체적으로 만듭니다. 이러한 범위 수준에서 역할을 할당할 수 있으며 선택한 수준에 따라 역할이 적용되는 범위가 결정됩니다.
예를 들어 구독 수준에서 할당된 역할은 해당 구독 내의 모든 리소스로 연계될 수 있지만 리소스 그룹 수준에서 할당된 역할은 해당 특정 그룹 내의 리소스에만 적용됩니다. 범위 수준에 대한 자세한 내용은 범위 수준을 참조 하세요.
참고 항목
역할 할당이 변경된 후 Azure Resource Manager 캐시를 새로 고칠 수 있는 충분한 시간을 허용합니다.
추가 서비스
다른 서비스에 대한 역할 및 권한을 보려면 다음 링크를 참조하세요.