Informacje o rolach i uprawnieniach dla sieci VPN
Sieć VPN korzysta z wielu zasobów, takich jak sieci wirtualne i adresy IP, podczas operacji tworzenia i zarządzania. W związku z tym niezbędne jest zweryfikowanie uprawnień do wszystkich zaangażowanych zasobów podczas tych operacji.
Role wbudowane platformy Azure
Możesz przypisać wbudowane role platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, takiej jak Współautor sieci, który obsługuje wszystkie wymagane uprawnienia do tworzenia bramy. Aby uzyskać więcej informacji, zobacz Kroki przypisywania roli platformy Azure.
Role niestandardowe
Jeśli wbudowane role platformy Azure nie spełniają konkretnych potrzeb organizacji, możesz utworzyć własne role niestandardowe. Podobnie jak role wbudowane, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach grupy zarządzania, subskrypcji i grupy zasobów. Aby uzyskać więcej informacji, zobacz Kroki tworzenia roli niestandardowej.
Aby zapewnić odpowiednią funkcjonalność, sprawdź uprawnienia roli niestandardowej, aby potwierdzić jednostki usługi użytkownika, a tożsamości zarządzane obsługujące bramę sieci VPN mają niezbędne uprawnienia. Aby dodać wszystkie brakujące uprawnienia wymienione tutaj, zobacz Aktualizowanie roli niestandardowej.
Uprawnienia
W zależności od tego, czy tworzysz nowe zasoby, czy używasz istniejących, dodaj odpowiednie uprawnienia z poniższej listy:
Zasób | Stan zasobu | Wymagane uprawnienia platformy Azure |
---|---|---|
Podsieć | Tworzyć w programie | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
Podsieć | Użyj istniejącej wartości | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
Adresy IP | Tworzyć w programie | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
Adresy IP | Użyj istniejącej wartości | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
Brama sieci lokalnej | Utwórz nową/Zaktualizuj istniejącą | Microsoft.Network/localnetworkgateways/write |
Connection | Utwórz nową/Zaktualizuj istniejącą | Microsoft.Network/connections/write |
Azure VPN Gateway | Utwórz nową/Zaktualizuj istniejącą | Microsoft.Network/localnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Aby uzyskać więcej informacji, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.
Zakres ról
W procesie niestandardowej definicji roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie.
Te zakresy są ustrukturyzowane w relacji nadrzędny-podrzędny, z każdym poziomem hierarchii, dzięki czemu zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko jest stosowana rola.
Na przykład rola przypisana na poziomie subskrypcji może być kaskadowa do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie miała zastosowanie tylko do zasobów w ramach tej konkretnej grupy. Dowiedz się więcej o poziomie zakresu Aby uzyskać więcej informacji, zobacz Poziomy zakresu.
Uwaga
Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.
Usługi dodatkowe
Aby wyświetlić role i uprawnienia dla innych usług, zobacz następujące linki: