關於 Azure 虛擬 WAN 的角色和許可權

虛擬 WAN 中樞會在建立和管理作業期間利用多個基礎資源。 因此，請務必在這些作業期間驗證所有參與資源的權限。

Azure 內建角色

您可以選擇將 Azure 內建角色指派給使用者、群組、服務主體或受控識別，例如網路參與者，其支援建立與虛擬 WAN 相關的資源所需的所有權限。

如需詳細資訊，請參閱指派 Azure 角色的步驟。

自訂角色

如果 Azure 內建的角色無法滿足您組織的特定需求，您可以建立自己的自訂角色。 如同內建角色，您可將自訂角色指派給管理群組、訂用帳戶和資源群組範圍內的使用者、群組和服務主體。 如需詳細資訊，請參閱建立自訂角色的步驟。

為確保功能正常，請檢查自訂角色權限，確認與虛擬 WAN 互動的使用者服務主體和受控識別已擁有必要的權限。 如果要新增這裡所列的任何缺少的權限，請參閱更新自訂角色。

如果您不想利用更多一般內建角色，例如網路參與者或參與者，下列自訂角色是一些您可以在租用戶中建立的範例角色。 您可以在租使用者中建立自定義角色時，將範例角色下載並儲存為 JSON 檔案，並將 JSON 檔案上傳至 Azure 入口網站。 請確定自定義角色的可指派範圍已針對您的網路資源訂用帳戶正確設定。

虛擬 WAN 系統管理員

虛擬 WAN 系統管理員角色能夠執行與虛擬中樞相關的所有作業，包括管理虛擬 WAN 的連接和設定路由。

{
    "properties": {
        "roleName": "Virtual WAN Administrator",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

虛擬 WAN 讀取器

虛擬 WAN 讀者角色能夠檢視和監視所有虛擬 WAN 相關資源，但無法執行任何更新。

{
    "properties": {
        "roleName": "Virtual WAN reader",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

必要權限

建立或更新虛擬 WAN 資源需要具備建立該類型虛擬 WAN 資源的適當權限。 在某些情況下，擁有建立或更新該資源類型的權限已足夠。 不過，在許多情況下，更新具有 另一個 Azure 資源的參考 的虛擬 WAN 資源，需要您擁有所建立資源 與 任何參考資源的許可權。

錯誤訊息

使用者或服務主體必須有足夠的權限，才能在虛擬 WAN 資源上執行作業。 如果使用者沒有足夠的許可權來執行作業，作業將會失敗，並出現類似以下的錯誤訊息。

錯誤碼	訊息
LinkedAccessCheckFailed	對象標識碼為 'xxx' 的用戶端沒有在範圍 'zzz resource' 上執行動作 'xxx' 的授權，或範圍無效。 如需必要許可權的詳細資訊，請造訪 'zzz'。 如果最近已授與存取權，請重新整理您的認證。

注意

使用者或服務主體可能缺少管理虛擬 WAN 資源所需的多個權限。 傳回的錯誤訊息僅提及一個缺少的權限。 因此，在更新指派給您的服務主體或使用者的權限後，您可能會看到其他缺少的權限。

若要修正此錯誤，請授與管理虛擬 WAN 資源的使用者或服務主體錯誤訊息中所述的其他許可權，然後重試。

範例 1

虛擬 WAN 中樞與輪輻 虛擬網絡 之間建立連線時，虛擬 WAN 的控制平面會在虛擬 WAN 中樞與輪輻 虛擬網絡 之間建立 虛擬網絡 對等互連。 您也可以指定 虛擬網絡 連線與或傳播關聯的虛擬 WAN 路由表。

因此，若要建立與虛擬 WAN 中樞的 虛擬網絡 連線，您必須具有下列許可權：

• 建立中樞 虛擬網絡 連線 （Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write）
• 使用輪輻 虛擬網絡 建立 虛擬網絡 對等互連（Microsoft.Network/virtualNetworks/peer/action）
• 讀取 虛擬網絡 連線參考的路由表（Microsoft.Network/virtualhubs/hubRouteTables/read）

如果您想要將輸入或輸出系結的路由對應與 虛擬網絡 連線產生關聯，您需要額外的許可權：

• 讀取套用至 虛擬網絡 連線的路由圖（Microsoft.Network/virtualHubs/routeMaps/read）。

範例 2

若要建立或修改路由意圖，會建立路由意圖資源，並參考路由意圖路由原則中指定的下一個躍點資源。 這表示若要建立或修改路由意圖，您需要任何參考 Azure 防火牆 或網路虛擬設備資源的許可權。

如果中樞的私人路由意圖原則下一個躍點是網路虛擬設備，而中樞因特網原則的下一個躍點是 Azure 防火牆，建立或更新路由意圖資源需要下列許可權。

• 建立路由意圖資源。 （Microsoft.Network/virtualhubs/routingIntents/write）
• 參考 （read） 網络虛擬設備資源 （Microsoft.Network/networkVirtualAppliances/read）
• 參考 （read） Azure 防火牆 資源 （Microsoft.Network/azureFirewalls）

在此範例中，您不需要讀取 Microsoft.Network/securityPartnerProviders 資源的許可權，因為設定的路由意圖不會參考第三方安全性提供者資源。

由於參考的資源，需要額外的許可權

下一節說明建立或修改虛擬 WAN 資源所需的一組可能許可權。

視您的虛擬 WAN 組態而定，管理虛擬 WAN 部署的使用者或服務主體可能需要全部、以下子集或未具有參考資源的許可權。

虛擬中樞資源

資源	由於資源參考而需要 Azure 許可權
virtualHubs	Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action
virtualHubs/hubVirtualNetworkConnections	Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read
virtualHubs/bgpConnections	Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read
virtualHubs/hubRouteTables	Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read
virtualHubs/routingIntent	Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read

ExpressRoute 閘道資源

資源	由於資源參考而需要 Azure 許可權
expressroutegateways	Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action
expressRouteGateways/expressRouteConnections	Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action

VPN 資源

資源	由於資源參考而需要 Azure 許可權
p2svpngateways	Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read
p2sVpnGateways/p2sConnectionConfigurations	Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read
vpnGateways	Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read
vpnsites	Microsoft.Network/virtualWans/read
vpnGateways/vpnConnections	Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read

NVA 資源

虛擬 WAN 中的 NVA（網路虛擬設備）通常會透過 Azure 受控應用程式或直接透過 NVA 協調流程軟體進行部署。 如需如何正確指派許可權給受控應用程式或 NVA 協調流程軟體的詳細資訊，請參閱這裡的指示。

資源	由於資源參考而需要 Azure 許可權
networkVirtualAppliances	Microsoft.Network/virtualHubs/read
networkVirtualAppliances/networkVirtualApplianceConnections	Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read

如需詳細資訊，請參閱 網路 和 虛擬網路許可權的 Azure 許可權。

角色範圍

在自定義角色定義的過程中，您可以在四個層級指定角色指派範圍：管理群組、訂用帳戶、資源群組和資源。 若要授與存取權，您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。

這些範圍會以父子式關聯性建構，每個階層層級都會讓範圍更明確。 您可以在這些範圍的任一層級指派角色，而您選取的層級會決定角色套用的程度。

例如，在訂用帳戶層級指派的角色可以串聯至該訂用帳戶內的所有資源，而在資源群組層級指派的角色只會套用至該特定群組內的資源。 深入瞭解範圍層級 如需詳細資訊，請參閱 範圍層級。

注意

允許在角色指派變更之後，讓 Azure Resource Manager 快取有足夠的時間重新整理。

其他服務

若要檢視其他服務的角色和許可權，請參閱下列連結：

• Azure 應用程式閘道

• Azure ExpressRoute

• Azure 防火牆

• Azure 路由伺服器

• Azure VPN 閘道

下一步

• 什麼是 Azure 角色型存取權

• Azure 角色型存取控制