你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 Azure 虚拟 WAN 的角色和权限
虚拟 WAN 中心在创建和管理操作期间利用多个基础资源。 因此,在执行这些操作期间,应验证所有相关资源的权限,这一点至关重要。
Azure 内置角色
你可以选择将 Azure 内置角色分配给用户、组、服务主体或托管标识(例如网络参与者),这些角色支持创建与虚拟 WAN 相关的资源所需的所有权限。
有关详细信息,请参阅分配 Azure 角色的步骤。
自定义角色
如果 Azure 内置角色不满足组织的特定需求,你可以创建自己的自定义角色。 与内置角色一样,可将自定义角色分配到管理组、订阅和资源组范围内的用户、组与服务主体。 有关详细信息,请参阅创建自定义表的步骤。
若要确保正常运行,请检查自定义角色权限,以确认用户服务主体以及与虚拟 WAN 交互的托管标识具有必要的权限。 要添加此处列出的任何缺失权限,请参阅更新自定义角色。
如果不想利用更通用的内置角色(例如“网络参与者”或“参与者”),可以在租户中创建以下自定义角色。
虚拟 WAN 管理员
“虚拟 WAN 管理员”角色能够执行与虚拟中心相关的所有操作,包括管理与虚拟 WAN 的连接和配置路由。
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
虚拟 WAN 读取者
“虚拟 WAN 读取者”角色能够查看和监视所有与虚拟 WAN 相关的资源,但无法执行任何更新。
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
所需的权限
若要创建或更新虚拟 WAN 资源,你需要具有创建相应虚拟 WAN 资源类型的适当权限。 在某些情况下,拥有创建或更新该资源类型的权限就足够了。 但是,在许多情况下,如果要更新的虚拟 WAN 资源引用了另一个 Azure 资源,那么你需要同时对创建的资源和引用的所有资源拥有权限。
错误消息
用户或服务主体必须有足够的权限才能对虚拟 WAN 资源执行操作。 如果用户没有足够的权限执行该操作,则操作将会失败,并显示如下所示的错误消息。
| 错误代码 | 消息 |
|---|---|
| LinkedAccessCheckFailed | 对象 ID 为“xxx”的客户端无权对范围“zzz 资源”执行操作“xxx”,或范围无效。 有关所需权限的详细信息,请访问“zzz”。 如果最近已授予访问权限,请刷新凭据。 |
注意
用户或服务主体可能缺少所需的多个权限,无法管理虚拟 WAN 资源。 返回的错误消息仅引用了一个缺失的权限。 因此,在更新分配给服务主体或用户的权限后,你可能会看到不同的缺失权限。
若要修复此错误,请向管理虚拟 WAN 资源的用户或服务主体授予错误消息中所述的附加权限,然后重试。
示例 1
在虚拟 WAN 中心和分支虚拟网络之间创建连接时,虚拟 WAN 的控制平面会在虚拟 WAN 中心与分支虚拟网络之间创建虚拟网络对等互连。 你还可以指定虚拟网络连接将关联或传播到的虚拟 WAN 路由表。
因此,若要创建与虚拟 WAN 中心的虚拟网络连接,必须具有以下权限:
- 创建中心虚拟网络连接 (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- 创建与分支虚拟网络的虚拟网络对等互连 (Microsoft.Network/virtualNetworks/peer/action)
- 读取虚拟网络连接引用的路由表 (Microsoft.Network/virtualhubs/hubRouteTables/read)
如果要将某个入站或出站路由映射与虚拟网络连接相关联,则需要其他权限:
- 读取应用于虚拟网络连接的路由映射 (Microsoft.Network/virtualHubs/routeMaps/read)。
示例 2
若要创建或修改路由意向,将会创建一个路由意向资源,并引用该路由意向的路由策略中指定的下一跃点资源。 这意味着,若要创建或修改路由意向,需要对引用的所有 Azure 防火墙或网络虚拟设备资源拥有权限。
如果中心的专用路由意向策略的下一个跃点是网络虚拟设备,中心的 Internet 策略的下一个跃点是 Azure 防火墙,则创建或更新路由意向资源需要以下权限。
- 创建路由意向资源。 (Microsoft.Network/virtualhubs/routingIntents/write)
- 引用(读取)网络虚拟设备资源 (Microsoft.Network/networkVirtualAppliances/read)
- 引用(读取)Azure 防火墙资源 (Microsoft.Network/azureFirewalls)
在此示例中,你不需要拥有读取 Microsoft.Network/securityPartnerProviders 资源的权限,因为配置的路由意向未引用第三方安全提供程序资源。
由于引用资源而需要的其他权限
以下部分介绍了创建或修改虚拟 WAN 资源所需的一组可能的权限。
根据虚拟 WAN 配置,管理虚拟 WAN 部署的用户或服务主体可能需要对引用的资源拥有以下权限中的全部、部分,或者完全不需要。
虚拟中心资源
| 资源 | 由于资源引用而需要的 Azure 权限 |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute 网关资源
| 资源 | 由于资源引用而需要的 Azure 权限 |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN 资源
| 资源 | 由于资源引用而需要的 Azure 权限 |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA 资源
虚拟 WAN 中的网络虚拟设备 (NVA) 通常通过 Azure 托管应用程序部署,或者直接通过 NVA 业务流程软件进行部署。 若要详细了解如何为托管应用程序或 NVA 业务流程软件正确分配权限,请参阅此处的说明。
| 资源 | 由于资源引用而需要的 Azure 权限 |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
角色范围
在自定义角色定义过程中,可以在四个级别指定角色分配范围:管理组、订阅、资源组和资源。 若要授予访问权限,请将角色分配给特定范围内的用户、组、服务主体或托管标识。
这些范围按父子关系结构组织,每个级别的层次结构级使范围更为具体。 可以在范围的任意级别分配角色,角色的应用范围取决于所选的级别。
例如,在订阅级别分配的角色可以级联到该订阅中的所有资源,而资源组级别分配的角色将仅适用于该特定组中的资源。 详细了解范围级别。有关详细信息,请参阅范围级别。
注意
在角色分配发生更改后,留出足够的时间进行 Azure 资源管理器缓存刷新。
其他服务
如需查看其他服务的角色和权限,请访问以下链接: