À propos des rôles et des autorisations pour les VPN
Les VPN utilisent plusieurs ressources, comme des réseaux virtuels et des adresses IP, à la fois pendant les opérations de création et les opérations de gestion. En raison de cela, il est essentiel de vérifier les autorisations sur toutes les ressources impliquées pendant ces opérations.
Rôles intégrés Azure
Vous pouvez choisir d’attribuer des rôles intégrés Azure à un utilisateur, un groupe, un principal de service ou une identité managée, comme le contributeur réseau, qui prend en charge toutes les autorisations requises pour la création de la passerelle. Pour plus d’informations, consultez Étapes pour attribuer un rôle Azure.
Rôles personnalisés
Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à des utilisateurs, à des groupes et à des principaux de service dans des étendues de groupe d’administration, d’abonnement et de groupe de ressources. Pour plus d’informations, consultez Étapes de création d’un rôle personnalisé.
Pour garantir une fonctionnalité appropriée, vérifiez vos autorisations de rôle personnalisées pour confirmer que les principaux du service utilisateur et les identités managées qui utilisent la passerelle VPN disposent des autorisations nécessaires. Pour ajouter les autorisations manquantes répertoriées ici, consultez Mettre à jour un rôle personnalisé.
autorisations
Selon que vous créez ou utilisez des ressources existantes, ajoutez les autorisations appropriées dans la liste suivante :
| Ressource | État de la ressource | Autorisations Azure nécessaires |
|---|---|---|
| Sous-réseau | Création | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Sous-réseau | Utiliser existant | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Adresses IP | Création | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Adresses IP | Utiliser existant | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Passerelle de réseau local | Créer / Mettre à jour | Microsoft.Network/localnetworkgateways/write |
| Connexion | Créer / Mettre à jour | Microsoft.Network/connections/write |
| Passerelle VPN Azure | Créer / Mettre à jour | Microsoft.Network/localnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Pour plus d’informations, consultez Autorisations Azure pour la mise en réseau et Autorisations pour les réseaux virtuels.
Étendue des rôles
Dans le processus de définition de rôle personnalisée, vous pouvez spécifier une étendue d’attribution de rôle à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressources. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux principaux de service ou aux identités managées avec une étendue particulière.
Ces étendues sont structurées dans une relation parent-enfant, chaque niveau de hiérarchie rendant l’étendue plus spécifique. Vous pouvez attribuer des rôles à l’un de ces niveaux d’étendue, et le niveau que vous sélectionnez détermine la largeur de l’application du rôle.
Par exemple, un rôle attribué au niveau de l’abonnement peut descendre en cascade vers toutes les ressources de cet abonnement, tandis qu’un rôle affecté au niveau du groupe de ressources s’applique uniquement aux ressources au sein de ce groupe spécifique. En savoir plus sur le niveau d’étendue. Pour plus d’informations, consultez Niveaux d’étendue.
Remarque
Laissez suffisamment de temps pour l’actualisation du cache Azure Resource Manager après les modifications de l’attribution de rôle.
Services supplémentaires
Pour afficher les rôles et autorisations pour d’autres services, consultez les liens suivants :