關於 Azure 防火牆 的角色和許可權
Azure 防火牆 會在建立和管理作業期間利用多個資源,例如虛擬網路和IP位址。 因此,請務必在這些作業期間驗證所有相關資源的許可權。
Azure 內建角色
您可以選擇將 Azure 內建角色指派給使用者、群組、服務主體或受控識別,例如網路參與者,其支援建立閘道所需的所有許可權。 如需詳細資訊,請參閱指派 Azure 角色的步驟。
自訂角色
如果 Azure 內建的角色無法滿足您組織的特定需求,您可以建立自己的自訂角色。 如同內建角色,您可將自訂角色指派給管理群組、訂用帳戶和資源群組範圍內的使用者、群組和服務主體。 如需詳細資訊,請參閱 建立自定義角色 的步驟。
若要確保適當的功能,請檢查您的自定義角色許可權,以確認使用者服務主體,以及操作 Azure 防火牆 的受控識別具有必要的許可權。 若要新增這裡所列的任何遺漏許可權,請參閱 更新自定義角色。
權限
視您要建立新資源或使用現有資源而定,請從下列清單中新增適當的許可權,以在中樞 VNET 中 Azure 防火牆:
| 資源 | 資源狀態 | 必要的 Azure 權限 |
|---|---|---|
| 子網路 | 新建 | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| 子網路 | 使用現有的 | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP 位址 | 新建 | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP 位址 | 使用現有的 | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure 防火牆 | 建立新的/更新現有 | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
如果您要在 Azure 虛擬 WAN 中建立 Azure 防火牆,請新增下列許可權:
| 資源 | 資源狀態 | 必要的 Azure 權限 |
|---|---|---|
| virtualHubs | 建立新的/更新現有 | Microsoft.Network/virtualHubs/read |
如需詳細資訊,請參閱 網路 和 虛擬網路許可權的 Azure 許可權。
角色範圍
在自定義角色定義的過程中,您可以在四個層級指定角色指派範圍:管理群組、訂用帳戶、資源群組和資源。 若要授與存取權,您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。
這些範圍會以父子式關聯性建構,每個階層層級都會讓範圍更明確。 您可以在這些範圍的任一層級指派角色,而您選取的層級會決定角色套用的程度。
例如,在訂用帳戶層級指派的角色可以串聯至該訂用帳戶內的所有資源,而在資源群組層級指派的角色只會套用至該特定群組內的資源。 深入瞭解範圍層級 如需詳細資訊,請參閱 範圍層級。
其他服務
若要檢視其他服務的角色和許可權,請參閱下列連結:
注意
允許在角色指派變更之後,讓 Azure Resource Manager 快取有足夠的時間重新整理。