Sobre funções e permissões para a WAN Virtual do Azure
O hub WAN Virtual utiliza vários recursos subjacentes durante as operações de criação e gerenciamento. Por isso, é essencial verificar as permissões em todos os recursos envolvidos durante essas operações.
Funções incorporadas do Azure
Você pode optar por atribuir funções internas do Azure a um usuário, grupo, entidade de serviço ou identidade gerenciada, como colaborador de rede, que dão suporte a todas as permissões necessárias para criar recursos relacionados à WAN Virtual.
Para obter mais informações, consulte Etapas para atribuir uma função do Azure.
Funções personalizadas
Se as funções internas do Azure não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas. Assim como as funções internas, você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço nos escopos de grupo de gerenciamento, assinatura e grupo de recursos. Para obter mais informações, consulte Etapas para criar uma função personalizada .
Para garantir a funcionalidade adequada, verifique suas permissões de função personalizada para confirmar se as entidades de serviço do usuário e as identidades gerenciadas que interagem com a WAN Virtual têm as permissões necessárias. Para adicionar as permissões ausentes listadas aqui, consulte Atualizar uma função personalizada.
As funções personalizadas a seguir são alguns exemplos de funções que você pode criar em seu locatário se não quiser aproveitar funções internas mais genéricas, como Colaborador de Rede ou Colaborador.
Administrador de WAN Virtual
A função de Administrador de WAN Virtual tem a capacidade de executar todas as operações relacionadas ao Hub Virtual, incluindo o gerenciamento de conexões com a WAN Virtual e a configuração do roteamento.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Leitor WAN Virtual
A função de leitor de WAN Virtual tem a capacidade de exibir e monitorar todos os recursos relacionados à WAN Virtual, mas não pode executar atualizações.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Permissões necessárias
Criar ou atualizar recursos de WAN Virtual requer que você tenha a(s) permissão(ões) adequada(s) para criar esse tipo de recurso de WAN Virtual. Em alguns cenários, ter permissões para criar ou atualizar esse tipo de recurso é suficiente. No entanto, em muitos cenários, atualizar um recurso de WAN Virtual que tenha uma referência a outro recurso do Azure exige que você tenha permissões sobre o recurso criado e quaisquer recursos referenciados.
Mensagem de Erro
Um usuário ou entidade de serviço deve ter permissões suficientes para executar uma operação em um recurso de WAN Virtual. Se o usuário não tiver permissões suficientes para executar a operação, a operação falhará com uma mensagem de erro semelhante à abaixo.
| Código de Erro | Mensagem |
|---|---|
| LinkedAccessCheckFailed | O cliente com id de objeto 'xxx' não tem autorização para executar a ação 'xxx' sobre o escopo 'zzz resource' ou o escopo é inválido. Para obter detalhes sobre as permissões necessárias, visite 'zzz'. Se o acesso tiver sido concedido recentemente, atualize as credenciais. |
Nota
Um usuário ou entidade de serviço pode estar faltando várias permissões necessárias para gerenciar um recurso de WAN Virtual. A mensagem de erro retornada faz referência apenas a uma permissão ausente. Como resultado, você pode ver uma permissão ausente diferente depois de atualizar as permissões atribuídas à sua entidade de serviço ou usuário.
Para corrigir esse erro, conceda ao usuário ou entidade de serviço que está gerenciando o(s) seu(s) recurso(s) de WAN Virtual a permissão adicional descrita na mensagem de erro e tente novamente.
Exemplo 1
Quando uma conexão é criada entre um hub WAN Virtual e uma Rede Virtual falada, o plano de controle da WAN Virtual cria um emparelhamento de Rede Virutal entre o hub WAN Virtual e sua Rede Virtual falada. Você também pode especificar as tabelas de rotas da WAN Virtual às quais a conexão de Rede Virtual está se associando ou propagando.
Portanto, para criar uma conexão de rede virtual para o hub WAN virtual, você deve ter as seguintes permissões:
- Criar uma conexão de Rede Virtual de Hub (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Criar um emparelhamento de Rede Virtual com a Rede Virtual falada (Microsoft.Network/virtualNetworks/peer/action)
- Leia a(s) tabela(s) de rotas a que as conexões de Rede Virtual estão fazendo referência (Microsoft.Network/virtualhubs/hubRouteTables/read)
Se você quiser associar um mapa de rota de entrada ou saída associado à conexão de Rede Virtual, precisará de uma permissão adicional:
- Leia o(s) mapa(s) de rota aplicado(s) à conexão de Rede Virtual (Microsoft.Network/virtualHubs/routeMaps/read).
Exemplo 2
Para criar ou modificar a intenção de roteamento, um recurso de intenção de roteamento é criado com uma referência aos recursos do próximo salto especificados na política de roteamento da intenção de roteamento. Isso significa que, para criar ou modificar a intenção de roteamento, você precisa de permissões sobre qualquer recurso referenciado do Firewall do Azure ou do Dispositivo Virtual de Rede.
Se o próximo salto para a política de intenção de roteamento privado de um hub for um Dispositivo Virtual de Rede e o próximo salto para a política de Internet de um hub for um Firewall do Azure, criar ou atualizar um recurso de intenção de roteamento exigirá as seguintes permisisons.
- Crie um recurso de intenção de roteamento. (Microsoft.Network/virtualhubs/routingIntents/write)
- Referência (leitura) ao recurso Network Virtual Appliance (Microsoft.Network/networkVirtualAppliances/read)
- Fazer referência (ler) ao recurso Firewall do Azure (Microsoft.Network/azureFirewalls)
Neste exemplo, você não precisa de permissões para ler recursos Microsoft.Network/securityPartnerProviders porque a intenção de roteamento configurada não faz referência a um recurso de provedor de segurança de terceiros.
Permissões adicionais necessárias devido a recursos referenciados
A seção a seguir descreve o conjunto de possíveis permisisons que são necessários para criar ou modificar recursos de WAN Virtual.
Dependendo da configuração da WAN Virtual, o usuário ou entidade de serviço que está gerenciando suas implantações de WAN Virtual pode precisar de todas, um subconjunto ou nenhuma das permissões abaixo sobre os recursos referenciados.
Recursos do hub virtual
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| Hubs virtuais | Microsoft.Network/virtualNetworks/par/ação Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/par/ação Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/virtualHubs/hubRouteTables/ler |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/ler |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/ler Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/ler Microsoft.Network/networkVirtualAppliances/leitura Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/ler Microsoft.Network/networkVirtualAppliances/leitura Microsoft.Network/azurefirewalls/read |
Recursos de gateway de Rota Expressa
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| ExpressRouteGateways | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/expressRouteGateways/expressRouteConnections/leitura Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/expressRouteCircuits/join/action |
Recursos VPN
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/vpnServerConfigurations/leitura |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler |
| vpnGateways | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler |
Recursos NVA
Os NVAs (Network Virtual Appliances) na WAN Virtual normalmente são implantados por meio de aplicativos gerenciados do Azure ou diretamente por meio do software de orquestração NVA. Para obter mais informações sobre como atribuir permissões corretamente a aplicativos gerenciados ou software de orquestração NVA, consulte as instruções aqui.
| Recurso | Permissões necessárias do Azure devido a referências de recursos |
|---|---|
| redeVirtualAppliances | Microsoft.Network/virtualHubs/leitura |
| networkVirtualAppliances/redeVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/virtualHubs/hubRouteTables/ler |
Para obter mais informações, consulte Permissões do Azure para permissões de rede e rede virtual.
Escopo de funções
No processo de definição de função personalizada, você pode especificar um escopo de atribuição de função em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos. Para conceder acesso, atribua funções a utilizadores, grupos, principais de serviço ou identidades geridas num determinado âmbito.
Esses escopos são estruturados em uma relação pai-filho, com cada nível de hierarquia tornando o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo, e o nível selecionado determina a extensão da função aplicada.
Por exemplo, uma função atribuída no nível de assinatura pode ser transferida em cascata para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos só se aplicará a recursos dentro desse grupo específico. Saiba mais sobre o nível de escopo Para obter mais informações, consulte Níveis de escopo.
Nota
Permita tempo suficiente para que o cache do Azure Resource Manager seja atualizado após as alterações de atribuição de função.
Serviços adicionais
Para exibir funções e permissões para outros serviços, consulte os seguintes links: