關於 ExpressRoute 線路和閘道的角色和許可權
ExpressRoute 線路和閘道會在建立和管理作業期間利用多個資源,例如虛擬網路和IP位址。 因此,請務必在這些作業期間驗證所有相關資源的許可權。
Azure 內建角色
您可以選擇將 Azure 內建角色指派給使用者、群組、服務主體或受控識別,例如網路參與者,其支援建立閘道所需的所有許可權。 如需詳細資訊,請參閱指派 Azure 角色的步驟。
自訂角色
如果 Azure 內建的角色無法滿足您組織的特定需求,您可以建立自己的自訂角色。 如同內建角色,您可將自訂角色指派給管理群組、訂用帳戶和資源群組範圍內的使用者、群組和服務主體。 如需詳細資訊,請參閱 建立自定義角色 的步驟。
若要確保適當的功能,請檢查您的自定義角色許可權,以確認使用者服務主體,以及操作 VPN 閘道的受控識別具有必要的許可權。 若要新增這裡所列的任何遺漏許可權,請參閱 更新自定義角色。
權限
視您要建立新資源或使用現有資源而定,請從下列清單中新增適當的許可權:
| 資源 | 資源狀態 | 必要的 Azure 權限 |
|---|---|---|
| 子網路 | 新建 | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| 子網路 | 使用現有的 | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP 位址 | 新建 | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP 位址 | 使用現有的 | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| 連線 | 建立新的/更新現有的 | Microsoft.Network/connections/write Microsoft.Network/virtualNetworkGateways/join/action Microsoft.Network/expressRouteCircuits/join/action |
| Azure 虛擬網路閘道 | 建立新的/更新現有的 | Microsoft.Network/virtualnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
| ExpressRoute 線路 | 建立新的/使用現有的 | Microsoft.Network/expressRouteCircuits/write |
| ExpressRoute DirectPort | 建立新的 /use existing | Microsoft.Network/expressRoutePorts/join/action |
如需詳細資訊,請參閱 網路 和 虛擬網路許可權的 Azure 許可權。
角色範圍
在自定義角色定義的過程中,您可以在四個層級指定角色指派範圍:管理群組、訂用帳戶、資源群組和資源。 若要授與存取權,您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。
這些範圍會以父子式關聯性建構,每個階層層級都會讓範圍更明確。 您可以在這些範圍的任一層級指派角色,而您選取的層級會決定角色套用的程度。
例如,在訂用帳戶層級指派的角色可以串聯至該訂用帳戶內的所有資源,而在資源群組層級指派的角色只會套用至該特定群組內的資源。 深入瞭解範圍層級 如需詳細資訊,請參閱 範圍層級。
注意
允許在角色指派變更之後,讓 Azure Resource Manager 快取有足夠的時間重新整理。
其他服務
若要檢視其他服務的角色和許可權,請參閱下列連結: