Informacje o rolach i uprawnieniach usługi Azure Virtual WAN
Koncentrator usługi Virtual WAN korzysta z wielu zasobów bazowych podczas operacji tworzenia i zarządzania. W związku z tym niezbędne jest zweryfikowanie uprawnień do wszystkich zaangażowanych zasobów podczas tych operacji.
Role wbudowane platformy Azure
Możesz przypisać wbudowane role platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, takiej jak Współautor sieci, który obsługuje wszystkie wymagane uprawnienia do tworzenia zasobów związanych z usługą Virtual WAN.
Aby uzyskać więcej informacji, zobacz Kroki przypisywania roli platformy Azure.
Role niestandardowe
Jeśli wbudowane role platformy Azure nie spełniają konkretnych potrzeb organizacji, możesz utworzyć własne role niestandardowe. Podobnie jak role wbudowane, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach grupy zarządzania, subskrypcji i grupy zasobów. Aby uzyskać więcej informacji, zobacz Kroki tworzenia roli niestandardowej.
Aby zapewnić odpowiednią funkcjonalność, sprawdź uprawnienia roli niestandardowej, aby potwierdzić jednostki usługi użytkownika, a tożsamości zarządzane współdziałające z usługą Virtual WAN mają niezbędne uprawnienia. Aby dodać wszystkie brakujące uprawnienia wymienione tutaj, zobacz Aktualizowanie roli niestandardowej.
Poniższe role niestandardowe to kilka przykładowych ról, które można utworzyć w dzierżawie, jeśli nie chcesz korzystać z bardziej ogólnych wbudowanych ról, takich jak Współautor sieci lub Współautor.
Virtual WAN Administrator
Rola Administrator usługi Virtual WAN ma możliwość wykonywania wszystkich operacji związanych z koncentratorem wirtualnym, w tym zarządzania połączeniami z usługą Virtual WAN i konfigurowania routingu.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Czytnik usługi Virtual WAN
Rola czytelnika usługi Virtual WAN ma możliwość wyświetlania i monitorowania wszystkich zasobów związanych z usługą Virtual WAN, ale nie może wykonywać żadnych aktualizacji.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Wymagane uprawnienia
Tworzenie lub aktualizowanie zasobów usługi Virtual WAN wymaga odpowiednich uprawnień do utworzenia tego typu zasobu usługi Virtual WAN. W niektórych scenariuszach posiadanie uprawnień do tworzenia lub aktualizowania tego typu zasobu jest wystarczające. Jednak w wielu scenariuszach aktualizacja zasobu usługi Virtual WAN, który zawiera odwołanie do innego zasobu platformy Azure, wymaga posiadania uprawnień zarówno do utworzonego zasobu , jak i wszystkich zasobów, do których się odwołujesz.
Komunikat o błędzie
Użytkownik lub jednostka usługi musi mieć wystarczające uprawnienia do wykonywania operacji na zasobie usługi Virtual WAN. Jeśli użytkownik nie ma wystarczających uprawnień do wykonania operacji, operacja zakończy się niepowodzeniem z komunikatem o błędzie podobnym do poniższego.
| Kod błędu | Komunikat |
|---|---|
| LinkedAccessCheckFailed | Klient o identyfikatorze obiektu "xxx" nie ma autoryzacji do wykonania akcji "xxx" w zakresie "zasób zzz" lub zakres jest nieprawidłowy. Aby uzyskać szczegółowe informacje na temat wymaganych uprawnień, odwiedź stronę "zzz". Jeśli dostępu udzielono niedawno, odśwież swoje poświadczenia. |
Uwaga
Użytkownik lub jednostka usługi może nie mieć wielu uprawnień wymaganych do zarządzania zasobem usługi Virtual WAN. Zwrócony komunikat o błędzie odwołuje się tylko do jednego brakującego uprawnienia. W związku z tym po zaktualizowaniu uprawnień przypisanych do jednostki usługi lub użytkownika może zostać wyświetlone inne brakujące uprawnienie.
Aby naprawić ten błąd, przyznaj użytkownikowi lub jednostce usługi zarządzanie zasobami usługi Virtual WAN dodatkowym uprawnieniem opisanym w komunikacie o błędzie i spróbuj ponownie.
Przykład 1
Po utworzeniu połączenia między koncentratorem usługi Virtual WAN i siecią wirtualną będącej szprychą płaszczyzna sterowania usługi Virtual WAN tworzy komunikację równorzędną sieci wirtualnej Virutal Między koncentratorem Usługi Virtual WAN a siecią wirtualną szprychy. Można również określić tabele tras usługi Virtual WAN, do których połączenie sieci wirtualnej jest skojarzone lub propagowane do.
W związku z tym aby utworzyć połączenie sieci wirtualnej z koncentratorem usługi Virtual WAN, musisz mieć następujące uprawnienia:
- Tworzenie połączenia sieci wirtualnej koncentratora (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Tworzenie komunikacji równorzędnej sieci wirtualnej z siecią wirtualną będącej szprychą (Microsoft.Network/virtualNetworks/peer/action)
- Przeczytaj tabele tras, do których odwołują się połączenia sieci wirtualnej (Microsoft.Network/virtualhubs/hubRouteTables/read)
Jeśli chcesz skojarzyć mapę tras dla ruchu przychodzącego lub powiązanego z wychodzącym połączeniem sieci wirtualnej, musisz mieć dodatkowe uprawnienie:
- Przeczytaj mapy tras, które są stosowane do połączenia sieci wirtualnej (Microsoft.Network/virtualHubs/routeMaps/read).
Przykład 2
Aby utworzyć lub zmodyfikować intencję routingu, zasób intencji routingu jest tworzony z odwołaniem do zasobów następnego przeskoku określonych w zasadach routingu intencji routingu. Oznacza to, że aby utworzyć lub zmodyfikować intencję routingu, musisz mieć uprawnienia do wszystkich zasobów usługi Azure Firewall lub wirtualnego urządzenia sieciowego.
Jeśli następny przeskok dla zasad routingu prywatnego centrum jest wirtualnym urządzeniem sieciowym, a następnym przeskokiem dla zasad internetowych centrum jest usługa Azure Firewall, utworzenie lub zaktualizowanie zasobu intencji routingu wymaga następujących ograniczeń.
- Utwórz zasób intencji routingu. (Microsoft.Network/virtualhubs/routingIntents/write)
- Odwołanie (odczyt) zasobu wirtualnego urządzenia sieciowego (Microsoft.Network/networkVirtualAppliances/read)
- Dokumentacja (odczyt) zasobu usługi Azure Firewall (Microsoft.Network/azureFirewalls)
W tym przykładzie nie potrzebujesz uprawnień do odczytu zasobów Microsoft.Network/securityPartnerProviders, ponieważ skonfigurowana intencja routingu nie odwołuje się do zasobu dostawcy zabezpieczeń innej firmy.
Dodatkowe uprawnienia wymagane ze względu na przywołyane zasoby
W poniższej sekcji opisano zestaw możliwych permisisons, które są potrzebne do tworzenia lub modyfikowania zasobów usługi Virtual WAN.
W zależności od konfiguracji usługi Virtual WAN użytkownik lub jednostka usługi, która zarządza wdrożeniami usługi Virtual WAN, może potrzebować wszystkich, podzestawu lub żadnego z poniższych uprawnień dotyczących zasobów, do których się odwołujesz.
Zasoby koncentratora wirtualnego
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Zasoby bramy usługi ExpressRoute
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Zasoby sieci VPN
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Zasoby urządzenia WUS
Urządzenia WUS (wirtualne urządzenia sieciowe) w usłudze Virtual WAN są zwykle wdrażane za pośrednictwem aplikacji zarządzanych przez platformę Azure lub bezpośrednio za pośrednictwem oprogramowania orkiestracji urządzenia WUS. Aby uzyskać więcej informacji na temat prawidłowego przypisywania uprawnień do zarządzanych aplikacji lub oprogramowania orkiestracji urządzenia WUS, zobacz instrukcje tutaj.
| Zasób | Wymagane uprawnienia platformy Azure z powodu odwołań do zasobów |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Aby uzyskać więcej informacji, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.
Zakres ról
W procesie niestandardowej definicji roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie.
Te zakresy są ustrukturyzowane w relacji nadrzędny-podrzędny, z każdym poziomem hierarchii, dzięki czemu zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko jest stosowana rola.
Na przykład rola przypisana na poziomie subskrypcji może być kaskadowa do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie miała zastosowanie tylko do zasobów w ramach tej konkretnej grupy. Dowiedz się więcej o poziomie zakresu Aby uzyskać więcej informacji, zobacz Poziomy zakresu.
Uwaga
Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.
Usługi dodatkowe
Aby wyświetlić role i uprawnienia dla innych usług, zobacz następujące linki: