Partilhar via


Sobre funções e permissões para a WAN Virtual do Azure

O hub WAN Virtual utiliza vários recursos subjacentes durante as operações de criação e gestão. Por isso, é essencial verificar as permissões em todos os recursos envolvidos durante estas operações.

Funções incorporadas do Azure

Pode optar por atribuir funções incorporadas do Azure a um utilizador, um grupo, um principal de serviço ou uma identidade gerida, como Contribuidor de rede, o que suporta todas as permissões necessárias para criar recursos relacionados com a WAN Virtual.

Para obter mais informações, consulte Passos para atribuir uma função do Azure.

Funções personalizadas

Se as funções incorporadas do Azure não suprirem as necessidades específicas da sua organização, pode criar as suas próprias funções personalizadas. Tal como as funções incorporadas, pode atribuir funções personalizadas a utilizadores, grupos e principais de serviço nos âmbitos do grupo de gestão, subscrição e grupo de recursos. Para obter mais informações, consulte Passos para criar uma função personalizada.

Para garantir a funcionalidade adequada, verifique as suas permissões de função personalizadas para confirmar se os principais de serviço do utilizador e as identidades geridas que interagem com a WAN Virtual têm as permissões necessárias. Para adicionar as permissões em falta listadas aqui, consulte Atualizar uma função personalizada.

As funções personalizadas a seguir são alguns exemplos de funções que pode criar no seu inquilino se não quiser tirar partido de funções incorporadas mais genéricas, como Contribuidor de Rede ou Contribuidor. Você pode baixar e salvar as funções de exemplo como arquivos JSON e carregar o arquivo JSON no portal do Azure ao criar funções personalizadas em seu locatário. Verifique se os escopos atribuíveis para as funções personalizadas estão definidos corretamente para sua(s) assinatura(s) de recursos de rede.

Administrador de WAN Virtual

A função Administrador de WAN Virtual tem a capacidade de executar todas as operações relacionadas com o Hub Virtual, incluindo gerir ligações com a WAN Virtual e configurar o encaminhamento.

{
    "properties": {
        "roleName": "Virtual WAN Administrator",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Leitor WAN Virtual

A função Leitor de WAN Virtual tem a capacidade de ver e monitorizar todos os recursos relacionados com a WAN Virtual, mas não pode executar atualizações.

{
    "properties": {
        "roleName": "Virtual WAN reader",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Permissões necessárias

Criar ou atualizar recursos de WAN Virtual requer que tenha as permissões adequadas para criar esse tipo de recurso de WAN Virtual. Em alguns cenários, ter permissões para criar ou atualizar esse tipo de recurso é suficiente. No entanto, em muitos cenários, atualizar um recurso de WAN Virtual que tenha uma referência a outro recurso do Azure exige que você tenha permissões sobre o recurso criado e quaisquer recursos referenciados.

Mensagem de Erro

Um utilizador ou um principal de serviço deve ter permissões suficientes para executar uma operação num recurso de WAN Virtual. Se o usuário não tiver permissões suficientes para executar a operação, a operação falhará com uma mensagem de erro semelhante à abaixo.

Código de Erro Mensagem
LinkedAccessCheckFailed O cliente com id de objeto 'xxx' não tem autorização para executar a ação 'xxx' sobre o escopo 'zzz resource' ou o escopo é inválido. Para obter detalhes sobre as permissões necessárias, visite 'zzz'. Se o acesso tiver sido concedido recentemente, atualize as credenciais.

Nota

Um utilizador ou principal de serviço pode não ter as várias permissões necessárias para gerir um recurso de WAN Virtual. A mensagem de erro devolvida faz referência apenas a uma permissão em falta. Por conseguinte, pode ver uma permissão em falta diferente depois de atualizar as permissões atribuídas ao seu principal de serviço ou utilizador.

Para corrigir esse erro, conceda ao usuário ou entidade de serviço que está gerenciando o(s) seu(s) recurso(s) de WAN Virtual a permissão adicional descrita na mensagem de erro e tente novamente.

Exemplo 1

Quando uma conexão é criada entre um hub WAN Virtual e uma Rede Virtual falada, o plano de controle da WAN Virtual cria um emparelhamento de Rede Virtual entre o hub WAN Virtual e sua Rede Virtual falada. Você também pode especificar as tabelas de rotas da WAN Virtual às quais a conexão de Rede Virtual está se associando ou propagando.

Portanto, para criar uma conexão de rede virtual para o hub WAN virtual, você deve ter as seguintes permissões:

  • Criar uma conexão de Rede Virtual de Hub (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
  • Criar um emparelhamento de Rede Virtual com a Rede Virtual falada (Microsoft.Network/virtualNetworks/peer/action)
  • Leia a(s) tabela(s) de rotas a que as conexões de Rede Virtual estão fazendo referência (Microsoft.Network/virtualhubs/hubRouteTables/read)

Se você quiser associar um mapa de rota de entrada ou saída associado à conexão de Rede Virtual, precisará de uma permissão adicional:

  • Leia o(s) mapa(s) de rota aplicado(s) à conexão de Rede Virtual (Microsoft.Network/virtualHubs/routeMaps/read).

Exemplo 2

Para criar ou modificar a intenção de roteamento, um recurso de intenção de roteamento é criado com uma referência aos recursos do próximo salto especificados na política de roteamento da intenção de roteamento. Isso significa que, para criar ou modificar a intenção de roteamento, você precisa de permissões sobre qualquer recurso referenciado do Firewall do Azure ou do Dispositivo Virtual de Rede.

Se o próximo salto para a política de intenção de roteamento privado de um hub for um Dispositivo Virtual de Rede e o próximo salto para a política de Internet de um hub for um Firewall do Azure, criar ou atualizar um recurso de intenção de roteamento exigirá as seguintes permissões.

  • Crie um recurso de intenção de roteamento. (Microsoft.Network/virtualhubs/routingIntents/write)
  • Referência (leitura) ao recurso Network Virtual Appliance (Microsoft.Network/networkVirtualAppliances/read)
  • Fazer referência (ler) ao recurso Firewall do Azure (Microsoft.Network/azureFirewalls)

Neste exemplo, você não precisa de permissões para ler recursos Microsoft.Network/securityPartnerProviders porque a intenção de roteamento configurada não faz referência a um recurso de provedor de segurança de terceiros.

Permissões adicionais necessárias devido a recursos referenciados

A seção a seguir descreve o conjunto de permissões possíveis necessárias para criar ou modificar recursos de WAN Virtual.

Dependendo da configuração da WAN Virtual, o usuário ou entidade de serviço que está gerenciando suas implantações de WAN Virtual pode precisar de todas, um subconjunto ou nenhuma das permissões abaixo sobre os recursos referenciados.

Recursos do hub virtual

Recurso Permissões necessárias do Azure devido a referências de recursos
Hubs virtuais Microsoft.Network/virtualNetworks/par/ação
Microsoft.Network/virtualWans/join/action
virtualHubs/hubVirtualNetworkConnections Microsoft.Network/virtualNetworks/par/ação
Microsoft.Network/virtualHubs/routeMaps/ler
Microsoft.Network/virtualHubs/hubRouteTables/ler
virtualHubs/bgpConnections Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/ler
virtualHubs/hubRouteTables Microsoft.Network/securityPartnerProviders/ler
Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/ler
Microsoft.Network/networkVirtualAppliances/leitura
Microsoft.Network/azurefirewalls/read
virtualHubs/routingIntent Microsoft.Network/securityPartnerProviders/ler
Microsoft.Network/networkVirtualAppliances/leitura
Microsoft.Network/azurefirewalls/read

Recursos de gateway de Rota Expressa

Recurso Permissões necessárias do Azure devido a referências de recursos
ExpressRouteGateways Microsoft.Network/virtualHubs/leitura
Microsoft.Network/virtualHubs/hubRouteTables/ler
Microsoft.Network/virtualHubs/routeMaps/ler
Microsoft.Network/expressRouteGateways/expressRouteConnections/leitura
Microsoft.Network/expressRouteCircuits/join/action
expressRouteGateways/expressRouteConnections Microsoft.Network/virtualHubs/hubRouteTables/ler
Microsoft.Network/virtualHubs/routeMaps/ler
Microsoft.Network/expressRouteCircuits/join/action

Recursos VPN

Recurso Permissões necessárias do Azure devido a referências de recursos
p2svpngateways Microsoft.Network/virtualHubs/leitura
Microsoft.Network/virtualHubs/hubRouteTables/ler
Microsoft.Network/virtualHubs/routeMaps/ler
Microsoft.Network/vpnServerConfigurations/leitura
p2sVpnGateways/p2sConnectionConfigurations Microsoft.Network/virtualHubs/hubRouteTables/ler
Microsoft.Network/virtualHubs/routeMaps/ler
vpnGateways Microsoft.Network/virtualHubs/leitura
Microsoft.Network/virtualHubs/hubRouteTables/ler
Microsoft.Network/virtualHubs/routeMaps/ler
Microsoft.Network/vpnGateways/vpnConnections/read
vpnsites Microsoft.Network/virtualWans/read
vpnGateways/vpnConnections Microsoft.Network/virtualHubs/leitura
Microsoft.Network/virtualHubs/hubRouteTables/ler
Microsoft.Network/virtualHubs/routeMaps/ler

Recursos NVA

Os NVAs (Network Virtual Appliances) na WAN Virtual normalmente são implantados por meio de aplicativos gerenciados do Azure ou diretamente por meio do software de orquestração NVA. Para obter mais informações sobre como atribuir permissões corretamente a aplicativos gerenciados ou software de orquestração NVA, consulte as instruções aqui.

Recurso Permissões necessárias do Azure devido a referências de recursos
redeVirtualAppliances Microsoft.Network/virtualHubs/leitura
networkVirtualAppliances/redeVirtualApplianceConnections Microsoft.Network/virtualHubs/routeMaps/ler
Microsoft.Network/virtualHubs/hubRouteTables/ler

Para obter mais informações, consulte Permissões do Azure para permissões de rede e rede virtual.

Escopo de funções

No processo de definição de função personalizada, você pode especificar um escopo de atribuição de função em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos. Para conceder acesso, atribua funções a utilizadores, grupos, principais de serviço ou identidades geridas num determinado âmbito.

Esses escopos são estruturados em uma relação pai-filho, com cada nível de hierarquia tornando o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo, e o nível selecionado determina a extensão da função aplicada.

Por exemplo, uma função atribuída no nível de assinatura pode ser transferida em cascata para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos só se aplicará a recursos dentro desse grupo específico. Saiba mais sobre o nível de escopo Para obter mais informações, consulte Níveis de escopo.

Nota

Permita tempo suficiente para que o cache do Azure Resource Manager seja atualizado após as alterações de atribuição de função.

Serviços adicionais

Para exibir funções e permissões para outros serviços, consulte os seguintes links:

Próximos passos