Sobre as funções e permissões do WAN Virtual do Azure
O hub do WAN Virtual utiliza vários recursos subjacentes durante as operações de criação e gerenciamento. Por isso, é essencial verificar permissões em todos os recursos envolvidos durante essas operações.
Funções internas do Azure
Você pode optar por atribuir Funções internas do Azure a um usuário, grupo, entidade de serviço ou identidade gerenciada, como Colaborador de rede, que dá suporte a todas as permissões necessárias para criar recursos relacionados à WAN Virtual.
Para obter mais informações, confira Etapas para atribuir uma função do Azure.
Funções personalizadas
Se as funções internas do Azure não atenderem às necessidades específicas de sua organização, você poderá criar funções personalizadas próprias. Assim como as funções internas, é possível atribuir funções personalizadas a usuários, grupos e entidades de serviço no gerenciamento de grupo, assinatura e nos escopos de grupo de recursos. Para obter mais informações, consulte Etapas para criar uma função personalizada.
Para garantir que funcione de forma adequada, verifique as permissões de função personalizada para confirmar se as entidades de serviço do usuário e as identidades gerenciadas que interagem com a WAN Virtual têm as permissões necessárias. Para adicionar as permissões ausentes listadas aqui, consulte Atualizar uma função personalizada.
As funções personalizadas a seguir são algumas funções de exemplo que você pode criar no seu locatário caso não queira aproveitar funções internas mais genéricas, como Colaborador de rede ou Colaborador. Você pode baixar e salvar as funções de amostra como arquivos JSON e carregar o arquivo JSON no portal do Azure ao criar funções personalizadas em seu locatário. Verifique se os escopos atribuíveis para as funções personalizadas estão definidos corretamente para suas assinaturas de recurso de rede.
Administrador de WAN Virtual
A função Administrador de WAN Virtual tem a capacidade de execução de todas as operações relacionadas ao Hub virtual, incluindo o gerenciamento de conexões com a WAN Virtual e a configuração do roteamento.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Leitor de WAN Virtual
A função de leitor de WAN Virtual tem a capacidade de exibir e monitorar todos os recursos relacionados à WAN Virtual, mas não pode executar nenhuma atualização.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Permissões necessárias
Para criar ou atualizar recursos de WAN Virtual, você deve ter as permissões apropriadas para criar esse tipo de recurso de WAN Virtual. Em alguns cenários, já é suficiente ter permissões para criar ou atualizar esse tipo de recurso. No entanto, em muitos cenários, para atualizar um recurso de WAN Virtual que tenha uma referência a outro recurso do Azure, é preciso que você tenha permissões sobre o recurso criado e todos os recursos referenciados.
Mensagem de Erro
Um usuário ou entidade de serviço deve ter permissões suficientes para executar uma operação em um recurso de WAN Virtual. Se o usuário não tiver permissões suficientes para executar a operação, a operação falhará com uma mensagem de erro semelhante à abaixo.
| Código do Erro | Mensagem |
|---|---|
| LinkedAccessCheckFailed | O cliente com ID de objeto “xxx” não tem autorização para executar a ação “xxx” no escopo “zzz recurso” ou o escopo é inválido. Para obter detalhes sobre as permissões necessárias, visite “zzz”. Se o acesso foi concedido recentemente, atualize suas credenciais. |
Observação
Um usuário ou entidade de serviço pode não ter diversas permissões necessárias para gerenciar um recurso de WAN Virtual. A mensagem de erro retornada faz referência apenas a uma permissão ausente. Como resultado, você poderá ver uma permissão ausente diferente após atualizar as permissões atribuídas ao seu principal de serviço ou usuário.
Para corrigir esse erro, conceda ao usuário ou entidade de serviço que está gerenciando seus recursos de WAN Virtual a permissão adicional descrita na mensagem de erro e tente novamente.
Exemplo 1
Quando uma conexão é criada entre um hub de WAN Virtual e uma Rede Virtual spoke, o plano de controle da WAN Virtual cria um emparelhamento de Rede Virtual entre o hub de WAN Virtual e sua Rede Virtual spoke. Você também pode especificar as tabelas de rotas da WAN Virtual às quais a conexão de Rede Virtual está se associando ou para as quais está se propagando.
Portanto, para criar uma conexão de Rede Virtual com o hub de WAN Virtual, você deve ter as seguintes permissões:
- Criar uma conexão de Rede Virtual do Hub (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Criar um emparelhamento de Rede Virtual com a Rede Virtual spoke (Microsoft.Network/virtualNetworks/peer/action)
- Ler as tabelas de rotas às quais as conexões de Rede Virtual estão fazendo referência (Microsoft.Network/virtualhubs/hubRouteTables/read)
Se você quiser associar um mapa de rotas de entrada ou saída associado à conexão de Rede Virtual, precisará de uma permissão adicional:
- Ler os mapas de rotas aplicados à conexão de Rede Virtual (Microsoft.Network/virtualHubs/routeMaps/read).
Exemplo 2
Para criar ou modificar a intenção de roteamento, é criado um recurso de intenção de roteamento com uma referência aos recursos do próximo salto especificados na política de roteamento da intenção de roteamento. Isso significa que, para criar ou modificar a intenção de roteamento, você precisa ter permissões sobre quaisquer recursos de Firewall do Azure ou de Solução de Virtualização de Rede referenciados.
Se o próximo salto para a política de intenção de roteamento privado de um hub for uma Solução de Virtualização de Rede e o próximo salto para a política de Internet de um hub for um Firewall do Azure, para criar ou atualizar um recurso de intenção de roteamento, serão necessárias as permissões a seguir.
- Criar recurso de intenção de roteamento (Microsoft.Network/virtualhubs/routingIntents/write)
- Consultar (ler) o recurso de Solução de Virtualização de Rede (Microsoft.Network/networkVirtualAppliances/read)
- Consultar (ler) o recurso do Firewall do Azure (Microsoft.Network/azureFirewalls)
Neste exemplo, você não precisa de permissões para ler recursos Microsoft.Network/securityPartnerProviders porque a intenção de roteamento configurada não faz referência a um recurso de provedor de segurança de terceiros.
Permissões adicionais necessárias devido aos recursos referenciados
A seção a seguir descreve o conjunto de permissões possíveis necessárias para criar ou modificar recursos de WAN Virtual.
Dependendo da sua configuração de WAN Virtual, o usuário ou entidade de serviço que está gerenciando suas implantações de WAN Virtual pode precisar de todas, um subconjunto ou nenhuma das permissões abaixo sobre os recursos referenciados.
Recursos do hub virtual
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| virtualWans | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Recursos do gateway do ExpressRoute
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Recursos da VPN
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Recursos da NVA
As NVAs (Dispositivos Virtuais de Rede) na WAN Virtual normalmente são implantadas por meio de Aplicativos Gerenciados do Azure ou diretamente por meio do software de orquestração da NVA. Para obter mais informações sobre como atribuir corretamente permissões a aplicativos gerenciados ou software de orquestração da NVA, confira as instruções aqui.
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Para obter mais informações, consulte Permissões do Azure para sistema de rede e Permissões de rede virtual.
Escopo de funções
No processo de definição de função personalizada, você pode especificar um escopo de atribuição de função em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.
Esses escopos são estruturados em uma relação pai-filho, com cada nível de hierarquia tornando o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo e o nível selecionado determina a ampla aplicação da função.
Por exemplo, uma função atribuída no nível da assinatura pode ser propagar para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos só se aplicará aos recursos dentro desse grupo específico. Saiba mais sobre o nível do escopo. Para obter mais informações, consulte Níveis de escopo.
Observação
Aguarde tempo suficiente para o cache do Azure Resource Manager atualizar após as alterações de atribuição de função.
Serviços adicionais
Para ver funções e permissões de outros serviços, confira os links a seguir: