Rollen en machtigingen voor ExpressRoute-circuits en -gateways
ExpressRoute-circuits en -gateways maken gebruik van meerdere resources, zoals virtuele netwerken en IP-adressen, tijdens het maken en beheren van bewerkingen. Daarom is het essentieel om machtigingen voor alle betrokken resources tijdens deze bewerkingen te verifiëren.
Ingebouwde Azure-rollen
U kunt ervoor kiezen om ingebouwde Azure-rollen toe te wijzen aan een gebruiker, groep, service-principal of beheerde identiteit, zoals Inzender voor netwerken, die ondersteuning bieden voor alle vereiste machtigingen voor het maken van de gateway. Zie Stappen voor het toewijzen van een Azure-rol voor meer informatie.
Aangepaste rollen
Als de ingebouwde rollen van Azure niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste rollen maken. Net als bij ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals voor beheergroepen, abonnementen en resourcegroepbereiken. Zie Stappen voor het maken van een aangepaste rol voor meer informatie.
Controleer uw aangepaste rolmachtigingen om de service-principals van de gebruiker te bevestigen en beheerde identiteiten die de VPN-gateway gebruiken, beschikken over de benodigde machtigingen om de juiste functionaliteit te garanderen. Zie Een aangepaste rol bijwerken om eventuele ontbrekende machtigingen toe te voegen die hier worden vermeld.
Machtigingen
Afhankelijk van of u nieuwe resources maakt of bestaande resources gebruikt, voegt u de juiste machtigingen toe uit de volgende lijst:
| Bron | Resourcestatus | Vereiste machtigingen voor Azure |
|---|---|---|
| Subnet | Nieuwe | Microsoft.Network/virtualNetworks/subnetten/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | Bestaande gebruiken | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-adressen | Nieuwe | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-adressen | Bestaande gebruiken | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Connection | Nieuwe maken/bestaande bijwerken | Microsoft.Network/connections/write Microsoft.Network/virtualNetworkGateways/join/action Microsoft.Network/expressRouteCircuits/join/action |
| Azure Virtual Network Gateway | Nieuwe maken/bestaande bijwerken | Microsoft.Network/virtualnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
| ExpressRoute-circuits | Nieuwe maken/bestaande gebruiken | Microsoft.Network/expressRouteCircuits/write |
| ExpressRoute DirectPort | Nieuwe /use-bestaande maken | Microsoft.Network/expressRoutePorts/join/action |
Zie Azure-machtigingen voor netwerk - en virtuele netwerkmachtigingen voor meer informatie.
Rollenbereik
In het proces van aangepaste roldefinitie kunt u een roltoewijzingsbereik opgeven op vier niveaus: beheergroep, abonnement, resourcegroep en resources. Als u toegang wilt verlenen, wijst u rollen toe aan gebruikers, groepen, service-principals of beheerde identiteiten voor een bepaald bereik.
Deze bereiken zijn gestructureerd in een bovenliggende en onderliggende relatie, waarbij elk niveau van de hiërarchie het bereik specifieker maakt. U kunt rollen toewijzen op elk van deze bereikniveaus en het niveau dat u selecteert, bepaalt hoe breed de rol wordt toegepast.
Een rol die op abonnementsniveau is toegewezen, kan bijvoorbeeld trapsgewijs worden toegepast op alle resources binnen dat abonnement, terwijl een rol die is toegewezen op het niveau van de resourcegroep alleen van toepassing is op resources binnen die specifieke groep. Zie Bereikniveaus voor meer informatie over bereikniveau.
Notitie
Geef voldoende tijd om de Azure Resource Manager-cache te vernieuwen nadat de roltoewijzing is gewijzigd.
Extra services
Als u rollen en machtigingen voor andere services wilt weergeven, raadpleegt u de volgende koppelingen: