你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 Azure 防火墙的角色和权限
Azure 防火墙在创建和管理操作中会使用多个资源,例如虚拟网络和 IP 地址。 因此,在执行这些操作期间,应验证所有相关资源的权限,这一点至关重要。
Azure 内置角色
可以选择将 Azure 内置角色分配给用户、组、服务主体或托管标识,例如网络参与者,这些角色支持创建网关所需的所有权限。 有关详细信息,请参阅分配 Azure 角色的步骤。
自定义角色
如果 Azure 内置角色不满足组织的特定需求,你可以创建自己的自定义角色。 与内置角色一样,可将自定义角色分配到管理组、订阅和资源组范围内的用户、组与服务主体。 有关详细信息,请参阅创建自定义表的步骤。
若要确保正常运行,请检查自定义角色权限,以确认用户服务主体和运行 Azure 防火墙的托管标识具有必要的权限。 要添加此处列出的任何缺失权限,请参阅更新自定义角色。
权限
根据是要创建新资源还是使用现有资源,从在中心 VNET 中为 Azure 防火墙添加以下列表中的相应权限:
| 资源 | 资源状态 | 必需的 Azure 权限 |
|---|---|---|
| 子网 | 新建 | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| 子网 | 使用现有项 | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP 地址 | 新建 | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP 地址 | 使用现有项 | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure 防火墙 | 新建/更新现有 | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
如果要在 Azure 虚拟 WAN 中创建 Azure 防火墙,请添加以下权限:
| 资源 | 资源状态 | 必需的 Azure 权限 |
|---|---|---|
| virtualHubs | 新建/更新现有 | Microsoft.Network/virtualHubs/read |
角色范围
在自定义角色定义过程中,可以在四个级别指定角色分配范围:管理组、订阅、资源组和资源。 若要授予访问权限,请将角色分配给特定范围内的用户、组、服务主体或托管标识。
这些范围按父子关系结构组织,每个级别的层次结构级使范围更为具体。 可以在范围的任意级别分配角色,角色的应用范围取决于所选的级别。
例如,在订阅级别分配的角色可以级联到该订阅中的所有资源,而资源组级别分配的角色将仅适用于该特定组中的资源。 详细了解范围级别。有关详细信息,请参阅范围级别。
其他服务
如需查看其他服务的角色和权限,请访问以下链接:
注意
在角色分配发生更改后,留出足够的时间进行 Azure 资源管理器缓存刷新。