À propos des rôles et des autorisations pour Azure Virtual WAN
Le hub Virtual WAN utilise plusieurs ressources sous-jacentes pendant les opérations de création et de gestion. En raison de cela, il est essentiel de vérifier les autorisations sur toutes les ressources impliquées pendant ces opérations.
Rôles intégrés Azure
Vous pouvez choisir d’attribuer des rôles intégrés Azure à un utilisateur, un groupe, un principal de service ou une identité managée, comme le contributeur réseau, qui prend en charge toutes les autorisations requises pour la création de la passerelle. Pour plus d’informations, consultez Étapes pour attribuer un rôle Azure.
Rôles personnalisés
Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à des utilisateurs, à des groupes et à des principaux de service dans des étendues de groupe d’administration, d’abonnement et de groupe de ressources. Pour plus d’informations, consultez Étapes de création d’un rôle personnalisé.
Pour garantir une fonctionnalité appropriée, vérifiez vos autorisations de rôle personnalisées pour confirmer que les principaux du service utilisateur et les identités managées qui utilisent la passerelle VPN disposent des autorisations nécessaires. Pour ajouter les autorisations manquantes répertoriées ici, consultez Mettre à jour un rôle personnalisé.
autorisations
Lors de la création ou de la mise à jour des ressources ci-dessous, ajoutez les autorisations appropriées de la liste suivante :
Ressources de hub virtuel
Ressource | Autorisations Azure nécessaires |
---|---|
virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Ressources de passerelle ExpressRoute
Ressource | Autorisations Azure nécessaires |
---|---|
expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Ressources VPN
Ressource | Autorisations Azure nécessaires |
---|---|
p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
vpnsites | Microsoft.Network/virtualWans/read |
Ressources de l’appliance virtuelle réseau
Les appliances virtuelles réseau dans Virtual WAN sont généralement déployées via des applications managées Azure ou directement à partir de logiciels d’orchestration NVA. Pour plus d’informations sur la façon d’attribuer correctement des autorisations à des applications managées ou à un logiciel d’orchestration NVA, consultez les instructions fournies ici.
Ressource | Autorisations Azure nécessaires |
---|---|
networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Pour plus d’informations, consultez Autorisations Azure pour la mise en réseau et Autorisations pour les réseaux virtuels.
Étendue des rôles
Dans le processus de définition de rôle personnalisée, vous pouvez spécifier une étendue d’attribution de rôle à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressources. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux principaux de service ou aux identités managées avec une étendue particulière.
Ces étendues sont structurées dans une relation parent-enfant, chaque niveau de hiérarchie rendant l’étendue plus spécifique. Vous pouvez attribuer des rôles à l’un de ces niveaux d’étendue, et le niveau que vous sélectionnez détermine la largeur de l’application du rôle.
Par exemple, un rôle attribué au niveau de l’abonnement peut descendre en cascade vers toutes les ressources de cet abonnement, tandis qu’un rôle affecté au niveau du groupe de ressources s’applique uniquement aux ressources au sein de ce groupe spécifique. En savoir plus sur le niveau d’étendue. Pour plus d’informations, consultez Niveaux d’étendue.
Remarque
Laissez suffisamment de temps pour l’actualisation du cache Azure Resource Manager après les modifications de l’attribution de rôle.
Services supplémentaires
Si vous souhaitez afficher les rôles et autorisations pour d’autres services, consultez les liens suivants :