Informacje o rolach i uprawnieniach usługi Azure Virtual WAN
Koncentrator usługi Virtual WAN korzysta z wielu zasobów podstawowych podczas operacji tworzenia i zarządzania. W związku z tym niezbędne jest zweryfikowanie uprawnień do wszystkich potrzebnych zasobów podczas wykonywania tych operacji.
Role wbudowane platformy Azure
Możesz przypisać wbudowane role platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, takiej jak Współautor sieci, który obsługuje wszystkie wymagane uprawnienia do tworzenia zasobów związanych z usługą Virtual WAN.
Aby uzyskać więcej informacji, zobacz Kroki, które należy wykonać, aby przypisać role platformy Azure.
Role niestandardowe
Jeśli wbudowane role platformy Azure nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe kontroli dostępu na podstawie ról. Podobnie jak w przypadku ról wbudowanych, można przypisywać role niestandardowe do użytkowników, grup i jednostek usługi w zakresach grup zarządzania, subskrypcji i grup zasobów. Aby uzyskać więcej informacji, zapoznaj się z artykułem Kroki tworzenia roli niestandardowej.
Aby zapewnić odpowiednią funkcjonalność, sprawdź uprawnienia roli niestandardowej w celu potwierdzenia, że jednostki usługi użytkownika i zarządzane tożsamości wchodzące w interakcje z usługą Virtual WAN posiadają niezbędne uprawnienia. Aby dodać wszystkie brakujące uprawnienia wymienione tutaj, zapoznaj się z artykułem Aktualizowanie roli niestandardowej.
Poniższe role niestandardowe to kilka przykładowych ról, które można utworzyć w dzierżawie, jeśli nie chcesz korzystać z bardziej ogólnych wbudowanych ról, takich jak Współautor sieci lub Współautor. Możesz pobrać i zapisać przykładowe role jako pliki JSON i przekazać plik JSON do witryny Azure Portal podczas tworzenia ról niestandardowych w dzierżawie. Upewnij się, że możliwe do przypisania zakresy ról niestandardowych są prawidłowo ustawione dla subskrypcji zasobów sieciowych.
Virtual WAN Administrator
Rola Administrator usługi Virtual WAN umożliwia wykonywanie wszystkich operacji związanych z koncentratorem wirtualnym, w tym zarządzanie połączeniami z usługą Virtual WAN i konfigurowanie routingu.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Czytnik usługi Virtual WAN
Rola czytelnika usługi Virtual WAN umożliwia wyświetlanie i monitorowanie wszystkich zasobów związanych z usługą Virtual WAN, ale nie uprawnia do wykonywania żadnych aktualizacji.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Wymagane uprawnienia
Tworzenie lub aktualizowanie zasobów usługi Virtual WAN wymaga odpowiednich uprawnień do utworzenia konkretnego typu zasobu usługi Virtual WAN. W niektórych scenariuszach posiadanie uprawnień do tworzenia lub aktualizowania tego typu zasobu jest wystarczające. Jednak w wielu scenariuszach aktualizacja zasobu usługi Virtual WAN, który zawiera odwołanie do innego zasobu platformy Azure, wymaga posiadania uprawnień zarówno do utworzonego zasobu , jak i wszystkich zasobów, do których się odwołujesz.
Komunikat o błędzie
Użytkownik lub jednostka usługi musi mieć wystarczające uprawnienia do wykonywania operacji na zasobie usługi Virtual WAN. Jeśli użytkownik nie ma wystarczających uprawnień do wykonania operacji, operacja zakończy się niepowodzeniem z komunikatem o błędzie podobnym do poniższego.
| Kod błędu | Komunikat |
|---|---|
| LinkedAccessCheckFailed | Klient o identyfikatorze obiektu "xxx" nie ma autoryzacji do wykonania akcji "xxx" w zakresie "zasób zzz" lub zakres jest nieprawidłowy. Aby uzyskać szczegółowe informacje na temat wymaganych uprawnień, odwiedź stronę "zzz". Jeśli dostępu udzielono niedawno, odśwież swoje poświadczenia. |
Uwaga
Użytkownik lub jednostka usługi może nie mieć wielu uprawnień wymaganych do zarządzania zasobem usługi Virtual WAN. Zwrócony komunikat o błędzie odwołuje się tylko do jednego brakującego uprawnienia. W związku z tym po zaktualizowaniu uprawnień przypisanych do jednostki usługi lub użytkownika może zostać wyświetlone inne brakujące uprawnienie.
Aby naprawić ten błąd, przyznaj użytkownikowi lub jednostce usługi zarządzanie zasobami usługi Virtual WAN dodatkowym uprawnieniem opisanym w komunikacie o błędzie i spróbuj ponownie.
Przykład 1
Po utworzeniu połączenia między koncentratorem usługi Virtual WAN i siecią wirtualną będącej szprychą płaszczyzna sterowania usługi Virtual WAN tworzy komunikację równorzędną sieci wirtualnej między koncentratorem usługi Virtual WAN i siecią wirtualną szprychy. Można również określić tabele tras usługi Virtual WAN, do których połączenie sieci wirtualnej jest skojarzone lub propagowane do.
W związku z tym aby utworzyć połączenie sieci wirtualnej z koncentratorem usługi Virtual WAN, musisz mieć następujące uprawnienia:
- Tworzenie połączenia sieci wirtualnej koncentratora (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Tworzenie komunikacji równorzędnej sieci wirtualnej z siecią wirtualną będącej szprychą (Microsoft.Network/virtualNetworks/peer/action)
- Przeczytaj tabele tras, do których odwołują się połączenia sieci wirtualnej (Microsoft.Network/virtualhubs/hubRouteTables/read)
Jeśli chcesz skojarzyć mapę tras dla ruchu przychodzącego lub powiązanego z wychodzącym połączeniem sieci wirtualnej, musisz mieć dodatkowe uprawnienie:
- Przeczytaj mapy tras, które są stosowane do połączenia sieci wirtualnej (Microsoft.Network/virtualHubs/routeMaps/read).
Przykład 2
Aby utworzyć lub zmodyfikować intencję routingu, zasób intencji routingu jest tworzony z odwołaniem do zasobów następnego przeskoku określonych w zasadach routingu intencji routingu. Oznacza to, że aby utworzyć lub zmodyfikować intencję routingu, musisz mieć uprawnienia do wszystkich zasobów usługi Azure Firewall lub wirtualnego urządzenia sieciowego.
Jeśli następny przeskok dla zasad routingu prywatnego centrum jest wirtualnym urządzeniem sieciowym, a następnym przeskokiem dla zasad internetowych centrum jest usługa Azure Firewall, utworzenie lub zaktualizowanie zasobu intencji routingu wymaga następujących uprawnień.
- Utwórz zasób intencji routingu. (Microsoft.Network/virtualhubs/routingIntents/write)
- Odwołanie (odczyt) zasobu wirtualnego urządzenia sieciowego (Microsoft.Network/networkVirtualAppliances/read)
- Dokumentacja (odczyt) zasobu usługi Azure Firewall (Microsoft.Network/azureFirewalls)
W tym przykładzie nie potrzebujesz uprawnień do odczytu zasobów Microsoft.Network/securityPartnerProviders, ponieważ skonfigurowana intencja routingu nie odwołuje się do zasobu dostawcy zabezpieczeń innej firmy.
Dodatkowe uprawnienia wymagane ze względu na przywołyane zasoby
W poniższej sekcji opisano zestaw możliwych uprawnień potrzebnych do tworzenia lub modyfikowania zasobów usługi Virtual WAN.
W zależności od konfiguracji usługi Virtual WAN użytkownik lub jednostka usługi, która zarządza wdrożeniami usługi Virtual WAN, może potrzebować wszystkich, podzestawu lub żadnego z poniższych uprawnień dotyczących zasobów, do których się odwołujesz.
Zasoby koncentratora wirtualnego
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Zasoby bramy usługi ExpressRoute
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Zasoby sieci VPN
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Zasoby urządzenia WUS
Urządzenia WUS (wirtualne urządzenia sieciowe) w usłudze Virtual WAN są zwykle wdrażane za pośrednictwem aplikacji zarządzanych przez platformę Azure lub bezpośrednio za pośrednictwem oprogramowania orkiestracji urządzenia WUS. Aby uzyskać więcej informacji na temat prawidłowego przypisywania uprawnień do zarządzanych aplikacji lub oprogramowania orkiestracji urządzenia WUS, zobacz instrukcje tutaj.
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Aby uzyskać więcej informacji, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.
Zakres ról
W procesie niestandardowej definicji roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie.
Te zakresy są ustrukturyzowane w relacji nadrzędny-podrzędny, z każdym poziomem hierarchii, dzięki czemu zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko jest stosowana rola.
Na przykład rola przypisana na poziomie subskrypcji może być kaskadowa do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie miała zastosowanie tylko do zasobów w ramach tej konkretnej grupy. Dowiedz się więcej o poziomie zakresu Aby uzyskać więcej informacji, zobacz Poziomy zakresu.
Uwaga
Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.
Usługi dodatkowe
Aby wyświetlić role i uprawnienia dla innych usług, zobacz następujące linki: