Informacje o rolach i uprawnieniach usługi Azure Firewall
Usługa Azure Firewall korzysta z wielu zasobów, takich jak sieci wirtualne i adresy IP, podczas operacji tworzenia i zarządzania. W związku z tym niezbędne jest zweryfikowanie uprawnień do wszystkich zaangażowanych zasobów podczas tych operacji.
Role wbudowane platformy Azure
Możesz przypisać wbudowane role platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, takiej jak Współautor sieci, który obsługuje wszystkie wymagane uprawnienia do tworzenia bramy. Aby uzyskać więcej informacji, zobacz Kroki przypisywania roli platformy Azure.
Role niestandardowe
Jeśli wbudowane role platformy Azure nie spełniają konkretnych potrzeb organizacji, możesz utworzyć własne role niestandardowe. Podobnie jak role wbudowane, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach grupy zarządzania, subskrypcji i grupy zasobów. Aby uzyskać więcej informacji, zobacz Kroki tworzenia roli niestandardowej.
Aby zapewnić odpowiednią funkcjonalność, sprawdź uprawnienia roli niestandardowej, aby potwierdzić jednostki usługi użytkownika, a tożsamości zarządzane działające w usłudze Azure Firewall mają niezbędne uprawnienia. Aby dodać wszystkie brakujące uprawnienia wymienione tutaj, zobacz Aktualizowanie roli niestandardowej.
Uprawnienia
W zależności od tego, czy tworzysz nowe zasoby, czy używasz istniejących, dodaj odpowiednie uprawnienia z poniższej listy dla usługi Azure Firewall w sieci wirtualnej koncentratora:
Zasób | Stan zasobu | Wymagane uprawnienia platformy Azure |
---|---|---|
Podsieć | Tworzyć w programie | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
Podsieć | Użyj istniejącej wartości | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
Adresy IP | Tworzyć w programie | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
Adresy IP | Użyj istniejącej wartości | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
Azure Firewall | Tworzenie nowego/aktualizowanie istniejącego | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Jeśli tworzysz usługę Azure Firewall w usłudze Azure Virtual WAN, dodaj następujące uprawnienie:
Zasób | Stan zasobu | Wymagane uprawnienia platformy Azure |
---|---|---|
virtualHubs | Tworzenie nowego/aktualizowanie istniejącego | Microsoft.Network/virtualHubs/read |
Aby uzyskać więcej informacji, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.
Zakres ról
W procesie niestandardowej definicji roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie.
Te zakresy są ustrukturyzowane w relacji nadrzędny-podrzędny, z każdym poziomem hierarchii, dzięki czemu zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko jest stosowana rola.
Na przykład rola przypisana na poziomie subskrypcji może być kaskadowa do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie miała zastosowanie tylko do zasobów w ramach tej konkretnej grupy. Dowiedz się więcej o poziomie zakresu Aby uzyskać więcej informacji, zobacz Poziomy zakresu.
Usługi dodatkowe
Aby wyświetlić role i uprawnienia dla innych usług, zobacz następujące linki:
Uwaga
Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.
Następne kroki
Co to jest kontroladostępu oparta na rolach na platformie Azure