關於 Azure 虛擬 WAN 的角色和許可權
虛擬 WAN 中樞會在建立和管理作業期間利用多個基礎資源。 因此,請務必在這些作業期間驗證所有相關資源的許可權。
Azure 內建角色
您可以選擇將 Azure 內建角色指派給使用者、群組、服務主體或受控識別,例如網路參與者,其支援建立閘道所需的所有許可權。 如需詳細資訊,請參閱指派 Azure 角色的步驟。
自訂角色
如果 Azure 內建的角色無法滿足您組織的特定需求,您可以建立自己的自訂角色。 如同內建角色,您可將自訂角色指派給管理群組、訂用帳戶和資源群組範圍內的使用者、群組和服務主體。 如需詳細資訊,請參閱 建立自定義角色 的步驟。
若要確保適當的功能,請檢查您的自定義角色許可權,以確認使用者服務主體,以及操作 VPN 閘道的受控識別具有必要的許可權。 若要新增這裡所列的任何遺漏許可權,請參閱 更新自定義角色。
權限
建立或更新下列資源時,請從下列清單中新增適當的許可權:
虛擬中樞資源
| 資源 | 必要的 Azure 權限 |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute 閘道資源
| 資源 | 必要的 Azure 權限 |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN 資源
| 資源 | 必要的 Azure 權限 |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
NVA 資源
虛擬 WAN 中的 NVA(網路虛擬設備)通常會透過 Azure 受控應用程式或直接透過 NVA 協調流程軟體進行部署。 如需如何正確指派許可權給受控應用程式或 NVA 協調流程軟體的詳細資訊,請參閱這裡的指示。
| 資源 | 必要的 Azure 權限 |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
如需詳細資訊,請參閱 網路 和 虛擬網路許可權的 Azure 許可權。
角色範圍
在自定義角色定義的過程中,您可以在四個層級指定角色指派範圍:管理群組、訂用帳戶、資源群組和資源。 若要授與存取權,您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。
這些範圍會以父子式關聯性建構,每個階層層級都會讓範圍更明確。 您可以在這些範圍的任一層級指派角色,而您選取的層級會決定角色套用的程度。
例如,在訂用帳戶層級指派的角色可以串聯至該訂用帳戶內的所有資源,而在資源群組層級指派的角色只會套用至該特定群組內的資源。 深入瞭解範圍層級 如需詳細資訊,請參閱 範圍層級。
注意
允許在角色指派變更之後,讓 Azure Resource Manager 快取有足夠的時間重新整理。
其他服務
若要檢視其他服務的角色和許可權,請參閱下列連結: