Om roller och behörigheter för ExpressRoute-kretsar och gatewayer
ExpressRoute-kretsar och gatewayer använder flera resurser, till exempel virtuella nätverk och IP-adresser, vid både skapande och hantering. Därför är det viktigt att verifiera behörigheter för alla berörda resurser under dessa åtgärder.
Inbyggda roller i Azure
Du kan välja att tilldela inbyggda Azure-roller till en användare, grupp, tjänstens huvudnamn eller hanterade identitet, till exempel Nätverksdeltagare, som har stöd för alla nödvändiga behörigheter för att skapa gatewayen. Mer information finns i Steg för att tilldela en Azure-roll.
Anpassade roller
Om de inbyggda Azure-rollerna inte uppfyller organisationens specifika behov kan du skapa egna anpassade roller. Precis som med inbyggda roller kan du tilldela anpassade roller till användare, grupper och tjänstens huvudnamn i hanteringsgrupps-, prenumerations- och resursgruppsomfång. Mer information finns i Steg för att skapa en anpassad roll .
Kontrollera dina behörigheter för anpassad roll för att bekräfta användartjänstens huvudnamn och hanterade identiteter som kör VPN-gatewayen har nödvändiga behörigheter för att säkerställa rätt funktioner. Information om hur du lägger till eventuella behörigheter som saknas finns i Uppdatera en anpassad roll.
Behörigheter
Beroende på om du skapar nya resurser eller använder befintliga, lägger du till lämpliga behörigheter från följande lista:
| Resurs | Resursstatus | Azure-behörigheter som krävs |
|---|---|---|
| Undernät | Skapa nya , och programformulär i | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Undernät | Använd befintlig | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-adresser | Skapa nya , och programformulär i | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-adresser | Använd befintlig | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Connection | Skapa ny/uppdatera befintlig | Microsoft.Network/connections/write Microsoft.Network/virtualNetworkGateways/join/action Microsoft.Network/expressRouteCircuits/join/action |
| Azure Virtual Network Gateway | Skapa ny/uppdatera befintlig | Microsoft.Network/virtualnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
| ExpressRoute-kretsar | Skapa ny/använd befintlig | Microsoft.Network/expressRouteCircuits/write |
| ExpressRoute DirectPort | Skapa ny/använd befintlig | Microsoft.Network/expressRoutePorts/join/action |
Mer information finns i Azure-behörigheter för nätverks- och virtuella nätverksbehörigheter.
Omfång för roller
I processen med anpassad rolldefinition kan du ange ett rolltilldelningsomfång på fyra nivåer: hanteringsgrupp, prenumeration, resursgrupp och resurser. Om du vill bevilja åtkomst tilldelar du roller till användare, grupper, tjänsthuvudnamn eller hanterade identiteter i ett visst omfång.
Dessa omfång är strukturerade i en överordnad-underordnad relation, där varje hierarkinivå gör omfånget mer specifikt. Du kan tilldela roller på någon av dessa omfångsnivåer, och den nivå du väljer avgör hur mycket rollen tillämpas.
En roll som tilldelats på prenumerationsnivå kan till exempel överlappa alla resurser i den prenumerationen, medan en roll som tilldelats på resursgruppsnivå endast gäller för resurser inom den specifika gruppen. Läs mer om omfångsnivå Mer information finns i Omfångsnivåer.
Kommentar
Tillåt tillräckligt med tid för att Azure Resource Manager-cachen ska uppdateras när rolltilldelningen har ändrats.
Ytterligare tjänster
Om du vill visa roller och behörigheter för andra tjänster kan du läsa följande länkar:
Nästa steg
Vad är rollbaserad åtkomsti Azure rollbaserad åtkomstkontroll