Сведения о ролях и разрешениях для Брандмауэр Azure
Брандмауэр Azure использует несколько ресурсов, таких как виртуальные сети и IP-адреса, во время операций создания и управления. Из-за этого необходимо проверить разрешения на все задействованные ресурсы во время этих операций.
Встроенные роли Azure
Вы можете назначить встроенные роли Azure пользователю, группе, субъекту-службе или управляемому удостоверению, например участнику сети, которые поддерживают все необходимые разрешения для создания шлюза. Дополнительные сведения см. в статье Шаги по добавлению назначения роли.
Пользовательские роли
Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли. Как и встроенные роли, ваши пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровне группы управления, подписки и группы ресурсов. Дополнительные сведения см. в разделе "Действия по созданию пользовательской роли ".
Чтобы обеспечить правильную функциональность, проверьте разрешения настраиваемой роли для подтверждения субъектов-служб пользователей и управляемых удостоверений, работающих Брандмауэр Azure иметь необходимые разрешения. Сведения о добавлении отсутствующих разрешений, перечисленных здесь, см. в разделе "Обновление пользовательской роли".
Разрешения
В зависимости от того, создаете ли вы новые ресурсы или используете существующие, добавьте соответствующие разрешения из следующего списка для Брандмауэр Azure в виртуальной сети Концентратора:
| Ресурс | Состояние ресурса | Требуемые разрешения Azure |
|---|---|---|
| Подсеть | создание | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Подсеть | Использовать существующий | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-адреса | создание | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-адреса | Использовать существующий | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Брандмауэр Azure | Создание нового или обновления существующего | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Если вы создаете Брандмауэр Azure в Azure Виртуальная глобальная сеть, добавьте следующее разрешение:
| Ресурс | Состояние ресурса | Требуемые разрешения Azure |
|---|---|---|
| virtualHubs | Создание нового или обновления существующего | Microsoft.Network/virtualHubs/read |
Дополнительные сведения см. в разделе "Разрешения Azure для сетевых и виртуальных сетей".
Область ролей
В процессе определения пользовательской роли можно указать область назначения ролей на четырех уровнях: группа управления, подписка, группа ресурсов и ресурсы. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.
Эти области структурированы в отношениях "родительский-дочерний" с каждым уровнем иерархии, что делает область более конкретной. Вы можете назначать роли на любом из этих уровней области, а выбранный уровень определяет, как широко применяется роль.
Например, роль, назначенная на уровне подписки, может каскадно уменьшаться до всех ресурсов в этой подписке, а роль, назначенная на уровне группы ресурсов, будет применяться только к ресурсам в этой конкретной группе. Дополнительные сведения об уровне области см. в разделе "Уровни области".
Дополнительные услуги
Чтобы просмотреть роли и разрешения для других служб, ознакомьтесь со следующими ссылками:
Примечание.
Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.
Следующие шаги
Что такое azure Role Based AccessAzure Role Based контроль доступа