Sobre as funções e permissões do Servidor do Firewall do Azure
O Firewall do Azure utiliza vários recursos, como redes virtuais e endereços IP, durante operações de criação e gerenciamento. Por isso, é essencial verificar permissões em todos os recursos envolvidos durante essas operações.
Funções internas do Azure
Você pode optar por atribuir funções internas do Azure a um usuário, grupo, entidade de serviço ou identidade gerenciada, como Colaborador de rede, que dá suporte a todas as permissões necessárias para criar o gateway. Para obter mais informações, confira Etapas para atribuir uma função do Azure.
Funções personalizadas
Se as funções internas do Azure não atenderem às necessidades específicas de sua organização, você poderá criar funções personalizadas próprias. Assim como as funções internas, é possível atribuir funções personalizadas a usuários, grupos e entidades de serviço no gerenciamento de grupo, assinatura e nos escopos de grupo de recursos. Para obter mais informações, consulte Etapas para criar uma função personalizada.
Para garantir que funcione de forma adequada, verifique as permissões de função personalizada para confirmar se as entidades de serviço do usuário e as identidades gerenciadas que operam o Firewall do Azure têm as permissões necessárias. Para adicionar as permissões ausentes listadas aqui, consulte Atualizar uma função personalizada.
Permissões
Dependendo se você estar criando novos recursos ou usando os existentes, adicione as permissões apropriadas da seguinte lista para Firewall do Azure no Hub VNET:
| Recurso | Status do recurso | Permissões necessárias do Azure |
|---|---|---|
| Sub-rede | Criar novo | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Sub-rede | Usar existente | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Endereços IP | Criar novo | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Endereços IP | Usar existente | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Firewall do Azure | Criar novo/atualizar existente | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Se você estiver criando um Firewall do Azure na WAN Virtual do Azure, adicione a seguinte permissão:
| Recurso | Status do recurso | Permissões necessárias do Azure |
|---|---|---|
| virtualWans | Criar novo/atualizar existente | Microsoft.Network/virtualHubs/read |
Para obter mais informações, consulte Permissões do Azure para sistema de rede e Permissões de rede virtual.
Escopo de funções
No processo de definição de função personalizada, você pode especificar um escopo de atribuição de função em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.
Esses escopos são estruturados em uma relação pai-filho, com cada nível de hierarquia tornando o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo e o nível selecionado determina a ampla aplicação da função.
Por exemplo, uma função atribuída no nível da assinatura pode ser propagar para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos só se aplicará aos recursos dentro desse grupo específico. Saiba mais sobre o nível do escopo. Para obter mais informações, consulte Níveis de escopo.
Serviços adicionais
Para ver funções e permissões de outros serviços, confira os links a seguir:
Observação
Aguarde tempo suficiente para o cache do Azure Resource Manager atualizar após as alterações de atribuição de função.
Próximas etapas
O que é o controle de acesso baseado em função do AzureControle de acesso baseado em função do Azure