Informationen zu Rollen und Berechtigungen für VPN
VPN verwendet während Erstellungs- und Verwaltungsvorgängen mehrere Ressourcen, z. B. virtuelle Netzwerke und IP-Adressen. Aus diesem Grund ist es wichtig, die Berechtigungen für alle beteiligten Ressourcen während dieser Vorgänge zu überprüfen.
Integrierte Azure-Rollen
Sie können einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität integrierte Azure-Rollen wie Netzwerkmitwirkender zuweisen, die alle erforderlichen Berechtigungen zum Erstellen des Gateways bieten. Weitere Informationen finden Sie unter Schritte zum Hinzufügen einer Rollenzuweisung.
Benutzerdefinierte Rollen
Wenn die integrierten Azure-Rollen die Anforderungen Ihrer Organisation nicht erfüllen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen. Genauso wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen im Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereich zugewiesen werden. Weitere Informationen finden Sie unter Schritte zum Erstellen einer benutzerdefinierten Rolle.
Um die ordnungsgemäße Funktionalität sicherzustellen, überprüfen Sie Ihre benutzerdefinierten Rollenberechtigungen, um zu bestätigen, dass Benutzerdienstprinzipale und verwaltete Identitäten, die das VPN Gateway betreiben, über die erforderlichen Berechtigungen verfügen. Weitere Informationen zum Hinzufügen fehlender Berechtigungen, die hier aufgeführt sind, finden Sie unter Aktualisieren einer benutzerdefinierten Rolle.
Berechtigungen
Je nachdem, ob Sie neue Ressourcen erstellen oder vorhandene Ressourcen verwenden, fügen Sie die entsprechenden Berechtigungen aus der folgenden Liste hinzu:
| Resource | Ressourcenstatus | Erforderliche Azure-Berechtigungen |
|---|---|---|
| Subnet | Neu erstellen | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | Vorhandenes verwenden | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-Adressen | Neu erstellen | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-Adressen | Vorhandenes verwenden | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Gateway des lokalen Netzwerks | Neue erstellen/ Vorhandene aktualisieren | Microsoft.Network/localnetworkgateways/write |
| Verbindung | Neue erstellen/ Vorhandene aktualisieren | Microsoft.Network/connections/write |
| Azure VPN Gateway | Neue erstellen/ Vorhandene aktualisieren | Microsoft.Network/localnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Weitere Informationen finden Sie unter Azure-Berechtigungen für Netzwerke und VNet-Berechtigungen.
Geltungsbereich von Rollen
Während des Definierens benutzerdefinierter Rollen können Sie einen Geltungsbereich für Rollenzuweisungen auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren.
Diese Bereiche sind als Beziehung zwischen über- und untergeordneten Elementen strukturiert, wobei jede Hierarchieebene den Bereich spezifischer macht. Sie können Rollen auf einer dieser Ebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie weiträumig die Rolle angewandt wird.
Beispielsweise kann eine auf Abonnementebene zugewiesene Rolle auf alle Ressourcen innerhalb dieses Abonnements angewandt werden, während eine Rolle, die auf Ressourcengruppenebene zugewiesen wird, nur für Ressourcen innerhalb dieser Gruppe gilt. Weitere Informationen zur Geltungsbereichsebene finden Sie unter Bereichsebenen.
Hinweis
Möglicherweise müssen Sie nach Änderungen der Rollenzuweisung einige Zeit für die Aktualisierung des Azure Resource Manager-Caches einplanen.