Сведения о ролях и разрешениях для Azure Виртуальная глобальная сеть
Центр Виртуальная глобальная сеть использует несколько базовых ресурсов во время операций создания и управления. Из-за этого необходимо проверить разрешения на все задействованные ресурсы во время этих операций.
Встроенные роли Azure
Вы можете назначить встроенные роли Azure пользователю, группе, субъекту-службе или управляемому удостоверению, например участнику сети, которые поддерживают все необходимые разрешения для создания шлюза. Дополнительные сведения см. в статье Шаги по добавлению назначения роли.
Пользовательские роли
Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли. Как и встроенные роли, ваши пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровне группы управления, подписки и группы ресурсов. Дополнительные сведения см. в разделе "Действия по созданию пользовательской роли ".
Чтобы обеспечить правильную функциональность, проверьте разрешения настраиваемой роли для подтверждения субъектов-служб пользователей и управляемых удостоверений, работающих с VPN-шлюзом, имеют необходимые разрешения. Сведения о добавлении отсутствующих разрешений, перечисленных здесь, см. в разделе "Обновление пользовательской роли".
Разрешения
При создании или обновлении указанных ниже ресурсов добавьте соответствующие разрешения из следующего списка:
Ресурсы виртуального концентратора
| Ресурс | Требуемые разрешения Azure |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Ресурсы шлюза ExpressRoute
| Ресурс | Требуемые разрешения Azure |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-ресурсы
| Ресурс | Требуемые разрешения Azure |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
Ресурсы NVA
NVAs (сетевые виртуальные устройства) в Виртуальная глобальная сеть обычно развертываются с помощью управляемых приложений Azure или непосредственно с помощью программного обеспечения оркестрации NVA. Дополнительные сведения о том, как правильно назначать разрешения управляемым приложениям или программному обеспечению оркестрации NVA, см. здесь.
| Ресурс | Требуемые разрешения Azure |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Дополнительные сведения см. в разделе "Разрешения Azure для сетевых и виртуальных сетей".
Область ролей
В процессе определения пользовательской роли можно указать область назначения ролей на четырех уровнях: группа управления, подписка, группа ресурсов и ресурсы. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.
Эти области структурированы в отношениях "родительский-дочерний" с каждым уровнем иерархии, что делает область более конкретной. Вы можете назначать роли на любом из этих уровней области, а выбранный уровень определяет, как широко применяется роль.
Например, роль, назначенная на уровне подписки, может каскадно уменьшаться до всех ресурсов в этой подписке, а роль, назначенная на уровне группы ресурсов, будет применяться только к ресурсам в этой конкретной группе. Дополнительные сведения об уровне области см. в разделе "Уровни области".
Примечание.
Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.
Дополнительные услуги
Чтобы просмотреть роли и разрешения для других служб, ознакомьтесь со следующими ссылками: