Сведения о ролях и разрешениях для сервера маршрутизации Azure
Сервер маршрутизации Azure использует несколько базовых ресурсов во время операций создания и управления. Из-за этого необходимо проверить разрешения на все задействованные ресурсы во время этих операций.
Встроенные роли Azure
Вы можете назначить встроенные роли Azure пользователю, группе, субъекту-службе или управляемому удостоверению, например участнику сети, которые поддерживают все необходимые разрешения для создания шлюза. Дополнительные сведения см. в статье Шаги по добавлению назначения роли.
Пользовательские роли
Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли. Как и встроенные роли, ваши пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровне группы управления, подписки и группы ресурсов. Дополнительные сведения см. в разделе "Действия по созданию пользовательской роли ".
Чтобы обеспечить правильную функциональность, проверьте разрешения настраиваемой роли для подтверждения субъектов-служб пользователей и управляемых удостоверений, взаимодействующих с сервером маршрутизации, имеют необходимые разрешения. Сведения о добавлении отсутствующих разрешений, перечисленных здесь, см. в разделе "Обновление пользовательской роли".
Разрешения
При создании или обновлении указанных ниже ресурсов добавьте соответствующие разрешения из следующего списка:
| Ресурс | Требуемые разрешения Azure |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Дополнительные сведения см. в разделе "Разрешения Azure для сетевых и виртуальных сетей".
Область ролей
В процессе определения пользовательской роли можно указать область назначения ролей на четырех уровнях: группа управления, подписка, группа ресурсов и ресурсы. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.
Эти области структурированы в отношениях "родительский-дочерний" с каждым уровнем иерархии, что делает область более конкретной. Вы можете назначать роли на любом из этих уровней области, а выбранный уровень определяет, как широко применяется роль.
Например, роль, назначенная на уровне подписки, может каскадно уменьшаться до всех ресурсов в этой подписке, а роль, назначенная на уровне группы ресурсов, будет применяться только к ресурсам в этой конкретной группе. Дополнительные сведения об уровне области см. в разделе "Уровни области".
Примечание.
Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.
Дополнительные услуги
Чтобы просмотреть роли и разрешения для других служб, ознакомьтесь со следующими ссылками: