Сведения о ролях и разрешениях для Azure Виртуальная глобальная сеть
Центр Виртуальной глобальной сети использует несколько базовых ресурсов во время операций создания и управления. Из-за этого необходимо проверить разрешения на все задействованные ресурсы во время этих операций.
Встроенные роли Azure
Вы можете назначить встроенные роли Azure пользователю, группе, субъекту-службе или управляемому удостоверению, например участнику сети, который поддерживают все необходимые разрешения для создания ресурсов, связанных с Виртуальной глобальной сетью.
Дополнительные сведения см. в статье Шаги по добавлению назначения роли.
Пользовательские роли
Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли. Как и встроенные роли, ваши пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровне группы управления, подписки и группы ресурсов. Дополнительные сведения см. в статье Процедура создания пользовательской роли.
Чтобы обеспечить правильную функциональность, проверьте разрешения настраиваемой роли и убедитесь, что субъекты-службы пользователей и управляемые удостоверения, взаимодействующие с Виртуальной глобальной сетью, имеют необходимые разрешения. Сведения о добавлении отсутствующих разрешений, перечисленных здесь, см. в разделе Обновление пользовательской роли.
Ниже приведено несколько примеров пользовательских ролей, которые можно создать в клиенте, если вы не хотите использовать более универсальные встроенные роли, такие как "Участник сети" или "Участник". Вы можете скачать и сохранить примеры ролей в виде JSON-файлов и передать JSON-файл в портал Azure при создании пользовательских ролей в клиенте. Убедитесь, что назначенные области настраиваемых ролей настроены правильно для подписки на сетевые ресурсы.
Администратор Виртуальная глобальная сеть
Роль Администратор Виртуальной глобальной сети имеет возможность выполнять все операции, связанные с Виртуальным концентратором, в том числе управление подключениями к Виртуальной глобальной сети и настройку маршрутизации.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
средство чтения Виртуальная глобальная сеть
Роль читателя Виртуальной глобальной сети дает возможность просматривать и отслеживать все ресурсы, связанные с Виртуальной глобальной сетью, но не выполнять обновления.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Необходимые разрешения
Создание или обновление ресурсов Виртуальной глобальной сети требует наличия соответствующих разрешений для создания этого типа ресурса Виртуальной глобальной сети. В некоторых сценариях достаточно иметь разрешения для создания или обновления этого типа ресурса. Однако во многих сценариях обновление ресурса Виртуальная глобальная сеть с ссылкой на другой ресурс Azure требует наличия разрешений как для созданного ресурса, так и для всех ссылочных ресурсов.
Сообщение об ошибке
У пользователя или субъекта-службы должны быть необходимые разрешения для выполнения операции в ресурсе Виртуальной глобальной сети. Если у пользователя нет достаточных разрешений для выполнения операции, операция завершится ошибкой, аналогичной приведенной ниже.
| Код ошибки | Сообщение |
|---|---|
| LinkedAccessCheckFailed | Клиент с идентификатором объекта "xxx" не имеет авторизации для выполнения действия "xxx" над областью "zzz resource" или область является недопустимой. Дополнительные сведения о необходимых разрешениях см. в разделе zzz. Если доступ был предоставлен недавно, обновите учетные данные. |
Примечание.
Пользователю или субъекту-службе может потребоваться несколько разрешений для управления ресурсом Виртуальной глобальной сети. Возвращенное сообщение об ошибке ссылается только на одно отсутствующее разрешение. В результате вы можете увидеть другое отсутствующее разрешение после обновления разрешений, назначенных субъекту-службе или пользователю.
Чтобы устранить эту ошибку, предоставьте пользователю или субъекту-службе управление ресурсами Виртуальная глобальная сеть дополнительными разрешениями, описанными в сообщении об ошибке, и повторите попытку.
Пример 1
При создании соединения между концентратором Виртуальная глобальная сеть и периферийной виртуальная сеть уровень управления Виртуальная глобальная сеть создает виртуальная сеть пиринг между Виртуальная глобальная сеть концентратор и ваш периферийный виртуальная сеть. Кроме того, можно указать таблицы маршрутов Виртуальная глобальная сеть, к которым подключение виртуальная сеть связывается или распространяется.
Поэтому для создания подключения виртуальная сеть к центру Виртуальная глобальная сеть необходимо иметь следующие разрешения:
- Создание подключения к концентратору виртуальная сеть (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Создание пиринга виртуальная сеть с помощью периферийной виртуальная сеть (Microsoft.Network/virtualNetworks/peer/action)
- Чтение таблиц маршрутов, на которые ссылаются виртуальная сеть подключения (Microsoft.Network/virtualhubs/hubRouteTables/read)
Если вы хотите связать карту маршрутов для входящего или исходящего трафика, связанную с подключением виртуальная сеть, вам потребуется дополнительное разрешение:
- Чтение карт маршрутов, применяемых к подключению виртуальная сеть (Microsoft.Network/virtualHubs/routeMaps/read).
Пример 2
Чтобы создать или изменить намерение маршрутизации, создается ресурс намерения маршрутизации со ссылкой на ресурсы следующего прыжка, указанные в политике маршрутизации намерения маршрутизации. Это означает, что для создания или изменения намерения маршрутизации требуется разрешение на любые указанные Брандмауэр Azure или ресурсы виртуального устройства сети.
Если следующий прыжок для политики намерения частной маршрутизации концентратора является сетевым виртуальным устройством, а следующий прыжок для политики Интернета концентратора является Брандмауэр Azure, создание или обновление ресурса намерения маршрутизации требует следующих разрешений.
- Создайте ресурс намерения маршрутизации. (Microsoft.Network/virtualhubs/routingIntents/write)
- Справочник (чтение) ресурса виртуального сетевого устройства (Microsoft.Network/networkVirtualAppliances/read)
- Справочник (чтение) ресурса Брандмауэр Azure (Microsoft.Network/azureFirewalls)
В этом примере не требуется разрешение на чтение ресурсов Microsoft.Network/securityPartnerProviders, так как настроенное намерение маршрутизации не ссылается на ресурс поставщика безопасности сторонних производителей.
Дополнительные разрешения, необходимые из-за ссылочных ресурсов
В следующем разделе описывается набор возможных разрешений, необходимых для создания или изменения Виртуальная глобальная сеть ресурсов.
В зависимости от конфигурации Виртуальная глобальная сеть пользователь или субъект-служба, управляющий Виртуальная глобальная сеть развертываниями, может потребоваться все, подмножество или ни одно из указанных ниже разрешений для ссылочных ресурсов.
Ресурсы виртуального концентратора
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Ресурсы шлюза ExpressRoute
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-ресурсы
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Ресурсы NVA
NVAs (сетевые виртуальные устройства) в Виртуальная глобальная сеть обычно развертываются с помощью управляемых приложений Azure или непосредственно с помощью программного обеспечения оркестрации NVA. Дополнительные сведения о том, как правильно назначать разрешения управляемым приложениям или программному обеспечению оркестрации NVA, см. здесь.
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Дополнительные сведения см. в разделе "Разрешения Azure для сетевых и виртуальных сетей".
Область ролей
В процессе определения пользовательской роли можно указать область назначения ролей на четырех уровнях: группа управления, подписка, группа ресурсов и ресурсы. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.
Эти области структурированы в отношениях "родительский-дочерний" с каждым уровнем иерархии, что делает область более конкретной. Вы можете назначать роли на любом из этих уровней области, а выбранный уровень определяет, как широко применяется роль.
Например, роль, назначенная на уровне подписки, может каскадно уменьшаться до всех ресурсов в этой подписке, а роль, назначенная на уровне группы ресурсов, будет применяться только к ресурсам в этой конкретной группе. Дополнительные сведения об уровне области см. в разделе "Уровни области".
Примечание.
Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.
Дополнительные услуги
Чтобы просмотреть роли и разрешения для других служб, ознакомьтесь со следующими ссылками: