Om roller och behörigheter för Azure Virtual WAN
Virtual WAN-hubben använder flera underliggande resurser för att både skapa och hantera resurser. Därför är det viktigt att verifiera behörigheterna för alla berörda resurser under dessa åtgärder.
Inbyggda roller i Azure
Du kan välja att tilldela inbyggda Azure-roller åt en användare, grupp, tjänstens huvudnamn eller en hanterad identitet, till exempel Nätverksdeltagare, som har de behörigheter som krävs att skapa resurser relaterade till Virtual WAN.
Mer information finns i Steg för att tilldela en Azure-roll.
Anpassade roller
Om de inbyggda Azure-rollerna inte uppfyller organisationens specifika krav kan du skapa egna, anpassade roller. Precis som med inbyggda roller kan du tilldela anpassade roller åt användare, grupper och tjänstens huvudnamn när det gäller hanteringsgrupper, prenumerationer och resursgrupper. Mer information finns i Steg för att skapa en anpassad roll.
Se till att allt fungerar som det ska genom att kontrollera dina behörigheter för den anpassade rollen, för att bekräfta att tjänstens huvudnamn för användaren och de hanterade identiteter som interagerar med Virtual WAN har de behörigheter som krävs. Information om hur du lägger till behörigheter som saknas finns i Uppdatera en anpassad roll.
Följande anpassade roller är några exempelroller som du kan skapa i din klientorganisation om du inte vill använda mer allmänna inbyggda rollerna, till exempel Nätverksdeltagare eller Deltagare. Du kan ladda ned och spara exempelrollerna som JSON-filer och ladda upp JSON-filen till Azure Portal när du skapar anpassade roller i din klientorganisation. Se till att de tilldelningsbara omfången för de anpassade rollerna har angetts korrekt för dina nätverksresursprenumerationer.
Virtual WAN-administratör
Rollen Virtual WAN-administratör kan utföra alla åtgärder som är relaterade till den virtuella hubben, inklusive att hantera anslutningar till Virtual WAN och konfigurera routning.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Virtual WAN-läsare
Rollen Virtual WAN-läsare kan visa och övervaka alla Virtual WAN-relaterade resurser, men kan inte utföra några uppdateringar.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Behörigheter som krävs
Om du skapar eller uppdaterar Virtual WAN-resurser måste du ha rätt behörigheter för att skapa typen av Virtual WAN-resurs. I vissa scenarier räcker det att ha behörighet att skapa eller uppdatera den resurstypen. I många fall kräver dock uppdatering av en Virtual WAN-resurs som har en referens till en annan Azure-resurs att du har behörighet för både den skapade resursen och alla refererade resurser.
Felmeddelande
En användare eller tjänstens huvudnamn måste ha tillräcklig behörighet för att kunna utföra en åtgärd på en Virtual WAN-resurs. Om användaren inte har tillräcklig behörighet för att utföra åtgärden misslyckas åtgärden med ett felmeddelande som liknar det som visas nedan.
| Felkod | Meddelande |
|---|---|
| LinkedAccessCheckFailed | Klienten med objekt-ID :t "xxx" har inte behörighet att utföra åtgärden "xxx" över omfånget "zzz-resurs" eller omfånget är ogiltigt. Mer information om de behörigheter som krävs finns i "zzz". Om åtkomst nyligen beviljats kan du uppdatera dina autentiseringsuppgifter. |
Kommentar
En användare eller tjänstens huvudnamn kanske saknar flera av de behörigheter som krävs för att hantera en Virtual WAN-resurs. Det returnerade felmeddelandet refererar bara till en behörighet som saknas. Därför kanske en annan behörighet som saknas visas när du har uppdaterat de behörigheter som tilldelats tjänstens huvudnamn eller användare.
Åtgärda det här felet genom att ge användaren eller tjänstens huvudnamn som hanterar dina Virtuella WAN-resurser den ytterligare behörighet som beskrivs i felmeddelandet och försök igen.
Exempel 1
När en anslutning skapas mellan en Virtual WAN-hubb och ett virtuellt ekernätverk skapar Virtual WAN:s kontrollplan en peering för virtuellt nätverk mellan Virtual WAN-hubben och det virtuella ekernätverket. Du kan också ange de Virtual WAN-routningstabeller som den virtuella nätverksanslutningen associerar till eller sprider sig till.
För att kunna skapa en virtuell nätverksanslutning till Virtual WAN-hubben måste du därför ha följande behörigheter:
- Skapa en hubbanslutning för virtuellt nätverk (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Skapa en peering för virtuellt nätverk med det virtuella ekernätverket (Microsoft.Network/virtualNetworks/peer/action)
- Läs routningstabellerna som de virtuella nätverksanslutningarna refererar till (Microsoft.Network/virtualhubs/hubRouteTables/read)
Om du vill associera en inkommande eller utgående vägkarta som är associerad med den virtuella nätverksanslutningen behöver du ytterligare en behörighet:
- Läs routningskartan som tillämpas på den virtuella nätverksanslutningen (Microsoft.Network/virtualHubs/routeMaps/read).
Exempel 2
För att skapa eller ändra routnings avsikt skapas en routnings avsiktsresurs med en referens till de nästa hoppresurser som anges i routnings avsiktens routningsprincip. Det innebär att om du vill skapa eller ändra routnings avsikten behöver du behörigheter över alla refererade Azure Firewall- eller nätverksresurser för virtuella installationer.
Om nästa hopp för en hubbs princip för privat routning är en virtuell nätverksinstallation och nästa hopp för en hubbs Internetprincip är en Azure Firewall kräver följande behörigheter för att skapa eller uppdatera en avsiktsresurs för routning.
- Skapa en avsiktsresurs för routning. (Microsoft.Network/virtualhubs/routingIntents/write)
- Referens (läs) resursen För virtuell nätverksinstallation (Microsoft.Network/networkVirtualAppliances/read)
- Referens (läs) Azure Firewall-resursen (Microsoft.Network/azureFirewalls)
I det här exemplet behöver du inte behörighet att läsa Resurser för Microsoft.Network/securityPartnerProviders eftersom den konfigurerade routnings avsikten inte refererar till en resurs från en tredjepartssäkerhetsprovider.
Ytterligare behörigheter som krävs på grund av refererade resurser
I följande avsnitt beskrivs den uppsättning möjliga behörigheter som krävs för att skapa eller ändra Virtual WAN-resurser.
Beroende på din Virtual WAN-konfiguration kan användaren eller tjänstens huvudnamn som hanterar dina Virtual WAN-distributioner behöva alla, en delmängd eller ingen av nedanstående behörigheter för refererade resurser.
Virtuella hubbresurser
| Resurs | Nödvändiga Azure-behörigheter på grund av resursreferenser |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute-gatewayresurser
| Resurs | Nödvändiga Azure-behörigheter på grund av resursreferenser |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-resurser
| Resurs | Nödvändiga Azure-behörigheter på grund av resursreferenser |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA-resurser
NVA:er (Network Virtual Appliances) i Virtual WAN distribueras vanligtvis via Azure-hanterade program eller direkt via NVA-orkestreringsprogram. Mer information om hur du tilldelar behörigheter till hanterade program eller NVA-orkestreringsprogram finns i anvisningarna här.
| Resurs | Nödvändiga Azure-behörigheter på grund av resursreferenser |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Mer information finns i Azure-behörigheter för nätverks- och virtuella nätverksbehörigheter.
Omfång för roller
I processen med anpassad rolldefinition kan du ange ett rolltilldelningsomfång på fyra nivåer: hanteringsgrupp, prenumeration, resursgrupp och resurser. Om du vill bevilja åtkomst tilldelar du roller till användare, grupper, tjänsthuvudnamn eller hanterade identiteter i ett visst omfång.
Dessa omfång är strukturerade i en överordnad-underordnad relation, där varje hierarkinivå gör omfånget mer specifikt. Du kan tilldela roller på någon av dessa omfångsnivåer, och den nivå du väljer avgör hur mycket rollen tillämpas.
En roll som tilldelats på prenumerationsnivå kan till exempel överlappa alla resurser i den prenumerationen, medan en roll som tilldelats på resursgruppsnivå endast gäller för resurser inom den specifika gruppen. Läs mer om omfångsnivå Mer information finns i Omfångsnivåer.
Kommentar
Tillåt tillräckligt med tid för att Azure Resource Manager-cachen ska uppdateras när rolltilldelningen har ändrats.
Ytterligare tjänster
Om du vill visa roller och behörigheter för andra tjänster kan du läsa följande länkar: