Sobre funções e permissões para a WAN Virtual do Azure
O hub WAN Virtual utiliza vários recursos subjacentes durante as operações de criação e gerenciamento. Por isso, é essencial verificar as permissões em todos os recursos envolvidos durante essas operações.
Funções incorporadas do Azure
Você pode optar por atribuir funções internas do Azure a um usuário, grupo, entidade de serviço ou identidade gerenciada, como Colaborador de rede, que dão suporte a todas as permissões necessárias para criar o gateway. Para obter mais informações, consulte Etapas para atribuir uma função do Azure.
Funções personalizadas
Se as funções internas do Azure não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas. Assim como as funções internas, você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço nos escopos de grupo de gerenciamento, assinatura e grupo de recursos. Para obter mais informações, consulte Etapas para criar uma função personalizada .
Para garantir a funcionalidade adequada, verifique suas permissões de função personalizadas para confirmar se as entidades de serviço do usuário e as identidades gerenciadas que operam o gateway VPN têm as permissões necessárias. Para adicionar as permissões ausentes listadas aqui, consulte Atualizar uma função personalizada.
Permissões
Ao criar ou atualizar os recursos abaixo, adicione as permissões apropriadas da lista a seguir:
Recursos do hub virtual
| Recurso | Permissões do Azure necessárias |
|---|---|
| Hubs virtuais | Microsoft.Network/virtualNetworks/par/ação Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/par/ação Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/virtualHubs/hubRouteTables/ler |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/ler |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/ler Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/ler Microsoft.Network/networkVirtualAppliances/leitura Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/ler Microsoft.Network/networkVirtualAppliances/leitura Microsoft.Network/azurefirewalls/read |
Recursos de gateway de Rota Expressa
| Recurso | Permissões do Azure necessárias |
|---|---|
| ExpressRouteGateways | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/expressRouteGateways/expressRouteConnections/leitura Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/expressRouteCircuits/join/action |
Recursos VPN
| Recurso | Permissões do Azure necessárias |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/vpnServerConfigurations/leitura |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler |
| vpngateways | Microsoft.Network/virtualHubs/leitura Microsoft.Network/virtualHubs/hubRouteTables/ler Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
Recursos NVA
Os NVAs (Network Virtual Appliances) na WAN Virtual normalmente são implantados por meio de aplicativos gerenciados do Azure ou diretamente por meio do software de orquestração NVA. Para obter mais informações sobre como atribuir permissões corretamente a aplicativos gerenciados ou software de orquestração NVA, consulte as instruções aqui.
| Recurso | Permissões do Azure necessárias |
|---|---|
| redeVirtualAppliances | Microsoft.Network/virtualHubs/leitura |
| networkVirtualAppliances/redeVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/ler Microsoft.Network/virtualHubs/hubRouteTables/ler |
Para obter mais informações, consulte Permissões do Azure para permissões de rede e rede virtual.
Escopo de funções
No processo de definição de função personalizada, você pode especificar um escopo de atribuição de função em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos. Para conceder acesso, atribua funções a utilizadores, grupos, principais de serviço ou identidades geridas num determinado âmbito.
Esses escopos são estruturados em uma relação pai-filho, com cada nível de hierarquia tornando o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo, e o nível selecionado determina a extensão da função aplicada.
Por exemplo, uma função atribuída no nível de assinatura pode ser transferida em cascata para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos só se aplicará a recursos dentro desse grupo específico. Saiba mais sobre o nível de escopo Para obter mais informações, consulte Níveis de escopo.
Nota
Permita tempo suficiente para que o cache do Azure Resource Manager seja atualizado após as alterações de atribuição de função.
Serviços adicionais
Para exibir funções e permissões para outros serviços, consulte os seguintes links: