Rollen en machtigingen voor Azure Virtual WAN
De Virtual WAN-hub maakt gebruik van meerdere onderliggende resources tijdens het maken en beheren van bewerkingen. Daarom is het essentieel om machtigingen voor alle betrokken resources te verifiëren tijdens deze bewerkingen.
Ingebouwde Azure-rollen
U kunt ervoor kiezen om ingebouwde Azure-rollen toe te wijzen aan een gebruiker, groep, service-principal of beheerde identiteit, zoals Netwerkinzender, die alle vereiste machtigingen ondersteunen voor het maken van resources met betrekking tot Virtual WAN.
Zie Stappen om een Azure-rol toe te wijzen voor meer informatie.
Aangepaste rollen
Als de ingebouwde rollen van Azure niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste rollen maken. Net als bij ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals binnen het bereik van beheergroepen, abonnementen en resourcegroepen. Voor meer informatie raadpleegt u Stappen voor het maken van een aangepaste rol.
Om de juiste functionaliteit te garanderen, controleert u de machtigingen voor uw aangepaste rol. Zo kunt u bevestigen dat gebruikersservice-principals en beheerde identiteiten, die communiceren met Virtual WAN, over de benodigde machtigingen beschikken. Zie Een aangepaste rol bijwerken om eventuele ontbrekende machtigingen toe te voegen die hier worden vermeld.
De volgende aangepaste rollen zijn enkele voorbeeldrollen die u in uw tenant kunt maken, als u geen gebruik wilt maken van algemene ingebouwde rollen, zoals Netwerkinzender of Inzender. U kunt de voorbeeldrollen downloaden en opslaan als JSON-bestanden en het JSON-bestand uploaden naar Azure Portal bij het maken van aangepaste rollen in uw tenant. Zorg ervoor dat de toewijsbare bereiken voor de aangepaste rollen juist zijn ingesteld voor uw netwerkresourceabonnementen.
Virtual WAN-beheerder
De rol Virtual WAN-beheerder kan alle bewerkingen uitvoeren die betrekking hebben op de virtuele hub, waaronder het beheren van verbindingen met Virtual WAN en het configureren van routering.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Virtual WAN-lezer
De rol Virtual WAN-lezer kan alle Virtual WAN-gerelateerde resources weergeven en bewaken, maar kan geen updates uitvoeren.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Vereiste machtigingen
Voor het maken of bijwerken van Virtual WAN-resources moet u over de juiste machtigingen beschikken, om dat type Virtual WAN-resource te maken. In sommige scenario's is het voldoende als u machtigingen hebt om dat resourcetype te maken of bij te werken. In veel scenario's moet u echter een Virtual WAN-resource bijwerken die een verwijzing naar een andere Azure-resource heeft, machtigingen hebben voor zowel de gemaakte resource als eventuele resources waarnaar wordt verwezen.
Foutbericht
Een gebruiker of service-principal moet over voldoende machtigingen beschikken om een bewerking uit te voeren op een Virtual WAN-resource. Als de gebruiker niet over voldoende machtigingen beschikt om de bewerking uit te voeren, mislukt de bewerking met een foutbericht dat vergelijkbaar is met de onderstaande.
| Foutcode | Bericht |
|---|---|
| LinkedAccessCheckFailed | De client met object-id 'xxx' heeft geen autorisatie om actie 'xxx' uit te voeren via bereik 'zzz-resource' of het bereik is ongeldig. Ga naar zzz voor meer informatie over de vereiste machtigingen. Als onlangs toegang is verleend, vernieuwt u uw referenties. |
Notitie
Een gebruiker of service-principal mist mogelijk meerdere machtigingen, die nodig zijn voor het beheren van een Virtual WAN-resource. Het geretourneerde foutbericht verwijst slechts naar één ontbrekende machtiging. Als gevolg hiervan ziet u mogelijk een andere ontbrekende machtiging, nadat u de machtigingen hebt bijgewerkt die zijn toegewezen aan uw service-principal of gebruiker.
Als u deze fout wilt oplossen, verleent u de gebruiker of service-principal die uw Virtual WAN-resource(s) beheert de aanvullende machtiging die wordt beschreven in het foutbericht en probeert u het opnieuw.
Voorbeeld 1
Wanneer er een verbinding wordt gemaakt tussen een Virtual WAN-hub en een virtueel spoke-netwerk, maakt het besturingsvlak van Virtual WAN een peering van een virtueel netwerk tussen de Virtual WAN-hub en uw spoke Virtual Network. U kunt ook de Virtual WAN-routetabellen opgeven waaraan de virtual network-verbinding wordt gekoppeld of waarnaar de verbinding wordt doorgegeven.
Als u daarom een virtuele netwerkverbinding met de Virtual WAN-hub wilt maken, moet u over de volgende machtigingen beschikken:
- Een Hub Virtual Network-verbinding maken (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Een peering voor een virtueel netwerk maken met het spoke Virtual Network (Microsoft.Network/virtualNetworks/peer/action)
- Lees de routetabel(s) waarnaar de virtuele netwerkverbindingen verwijzen (Microsoft.Network/virtualhubs/hubRouteTables/read)
Als u een binnenkomende of uitgaande routekaart wilt koppelen aan de virtuele netwerkverbinding, hebt u een extra machtiging nodig:
- Lees de routetoewijzingen die worden toegepast op de virtual network-verbinding (Microsoft.Network/virtualHubs/routeMaps/read).
Voorbeeld 2
Als u een routeringsintentie wilt maken of wijzigen, wordt er een resource voor de routeringsintentie gemaakt met een verwijzing naar de volgende hopresources die zijn opgegeven in het routeringsbeleid van de routeringsintentie. Dit betekent dat u voor het maken of wijzigen van de routeringsintentie machtigingen nodig hebt voor een of meer resources van Azure Firewall of Virtueel netwerkapparaat waarnaar wordt verwezen.
Als de volgende hop voor het beleid voor privéroutering van een hub een virtueel netwerkapparaat is en de volgende hop voor het internetbeleid van een hub een Azure Firewall is, zijn de volgende machtigingen vereist voor het maken of bijwerken van een routeringsintentieresource.
- Resource voor routeringsintentie maken. (Microsoft.Network/virtualhubs/routingIntents/write)
- Naslaginformatie (lezen) over de resource virtueel netwerkapparaat (Microsoft.Network/networkVirtualAppliances/read)
- Naslaginformatie (lezen) over de Azure Firewall-resource (Microsoft.Network/azureFirewalls)
In dit voorbeeld hebt u geen machtigingen nodig om resources van Microsoft.Network/securityPartnerProviders te lezen, omdat de geconfigureerde routeringsintentie niet verwijst naar een externe beveiligingsproviderresource.
Aanvullende machtigingen die zijn vereist vanwege resources waarnaar wordt verwezen
In de volgende sectie wordt de set mogelijke machtigingen beschreven die nodig zijn om Virtual WAN-resources te maken of te wijzigen.
Afhankelijk van uw Virtual WAN-configuratie heeft de gebruiker of service-principal die uw Virtual WAN-implementaties beheert mogelijk alle, een subset of geen van de onderstaande machtigingen nodig voor resources waarnaar wordt verwezen.
Resources voor virtuele hubs
| Bron | Vereiste Azure-machtigingen vanwege resourceverwijzingen |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute-gatewayresources
| Bron | Vereiste Azure-machtigingen vanwege resourceverwijzingen |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-resources
| Bron | Vereiste Azure-machtigingen vanwege resourceverwijzingen |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA-resources
NVA's (virtuele netwerkapparaten) in Virtual WAN worden doorgaans geïmplementeerd via door Azure beheerde toepassingen of rechtstreeks via NVA-indelingssoftware. Zie de instructies hier voor meer informatie over het correct toewijzen van machtigingen aan beheerde toepassingen of NVA-indelingssoftware.
| Bron | Vereiste Azure-machtigingen vanwege resourceverwijzingen |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Zie Azure-machtigingen voor netwerk - en virtuele netwerkmachtigingen voor meer informatie.
Rollenbereik
In het proces van aangepaste roldefinitie kunt u een roltoewijzingsbereik opgeven op vier niveaus: beheergroep, abonnement, resourcegroep en resources. Als u toegang wilt verlenen, wijst u rollen toe aan gebruikers, groepen, service-principals of beheerde identiteiten voor een bepaald bereik.
Deze bereiken zijn gestructureerd in een bovenliggende en onderliggende relatie, waarbij elk niveau van de hiërarchie het bereik specifieker maakt. U kunt rollen toewijzen op elk van deze bereikniveaus en het niveau dat u selecteert, bepaalt hoe breed de rol wordt toegepast.
Een rol die op abonnementsniveau is toegewezen, kan bijvoorbeeld trapsgewijs worden toegepast op alle resources binnen dat abonnement, terwijl een rol die is toegewezen op het niveau van de resourcegroep alleen van toepassing is op resources binnen die specifieke groep. Zie Bereikniveaus voor meer informatie over bereikniveau.
Notitie
Geef voldoende tijd om de Azure Resource Manager-cache te vernieuwen nadat de roltoewijzing is gewijzigd.
Extra services
Als u rollen en machtigingen voor andere services wilt weergeven, raadpleegt u de volgende koppelingen: