Udostępnij za pośrednictwem


Informacje o rolach i uprawnieniach usługi Azure Firewall

Usługa Azure Firewall korzysta z wielu zasobów, takich jak sieci wirtualne i adresy IP, podczas operacji tworzenia i zarządzania. W związku z tym niezbędne jest zweryfikowanie uprawnień do wszystkich zaangażowanych zasobów podczas tych operacji.

Role wbudowane platformy Azure

Możesz przypisać wbudowane role platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, takiej jak Współautor sieci, który obsługuje wszystkie wymagane uprawnienia do tworzenia bramy. Aby uzyskać więcej informacji, zobacz Kroki przypisywania roli platformy Azure.

Role niestandardowe

Jeśli wbudowane role platformy Azure nie spełniają konkretnych potrzeb organizacji, możesz utworzyć własne role niestandardowe. Podobnie jak role wbudowane, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach grupy zarządzania, subskrypcji i grupy zasobów. Aby uzyskać więcej informacji, zobacz Kroki tworzenia roli niestandardowej.

Aby zapewnić odpowiednią funkcjonalność, sprawdź uprawnienia roli niestandardowej, aby potwierdzić jednostki usługi użytkownika, a tożsamości zarządzane działające w usłudze Azure Firewall mają niezbędne uprawnienia. Aby dodać wszystkie brakujące uprawnienia wymienione tutaj, zobacz Aktualizowanie roli niestandardowej.

Uprawnienia

W zależności od tego, czy tworzysz nowe zasoby, czy używasz istniejących, dodaj odpowiednie uprawnienia z poniższej listy dla usługi Azure Firewall w sieci wirtualnej koncentratora:

Zasób Stan zasobu Wymagane uprawnienia platformy Azure
Podsieć Tworzyć w programie Microsoft.Network/virtualNetworks/subnets/write
Microsoft.Network/virtualNetworks/subnets/join/action
Podsieć Użyj istniejącej wartości Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/action
Adresy IP Tworzyć w programie Microsoft.Network/publicIPAddresses/write
Microsoft.Network/publicIPAddresses/join/action
Adresy IP Użyj istniejącej wartości Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/join/action
Azure Firewall Tworzenie nowego/aktualizowanie istniejącego Microsoft.Network/virtualNetworks/subnets/join/action
Microsoft.Network/publicIPAddresses/join/action
Microsoft.Network/virtualHubs/read

Jeśli tworzysz usługę Azure Firewall w usłudze Azure Virtual WAN, dodaj następujące uprawnienie:

Zasób Stan zasobu Wymagane uprawnienia platformy Azure
virtualHubs Tworzenie nowego/aktualizowanie istniejącego Microsoft.Network/virtualHubs/read

Aby uzyskać więcej informacji, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.

Zakres ról

W procesie niestandardowej definicji roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie.

Te zakresy są ustrukturyzowane w relacji nadrzędny-podrzędny, z każdym poziomem hierarchii, dzięki czemu zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko jest stosowana rola.

Na przykład rola przypisana na poziomie subskrypcji może być kaskadowa do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie miała zastosowanie tylko do zasobów w ramach tej konkretnej grupy. Dowiedz się więcej o poziomie zakresu Aby uzyskać więcej informacji, zobacz Poziomy zakresu.

Usługi dodatkowe

Aby wyświetlić role i uprawnienia dla innych usług, zobacz następujące linki:

Uwaga

Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.

Następne kroki

Co to jest kontroladostępu oparta na rolach na platformie Azure