Informazioni su ruoli e autorizzazioni per Azure rete WAN virtuale
L'hub rete WAN virtuale usa più risorse sottostanti durante le operazioni di creazione e gestione. Per questo motivo, è essenziale verificare le autorizzazioni per tutte le risorse coinvolte durante queste operazioni.
Ruoli predefiniti di Azure
È possibile scegliere di assegnare ruoli predefiniti di Azure a un utente, a un gruppo, a un'entità servizio o a un'identità gestita, ad esempio Collaboratore alla rete, che supporta tutte le autorizzazioni necessarie per la creazione del gateway. Per maggiori informazioni, vedere Procedura per l’assegnazione di un ruolo Azure.
Ruoli personalizzati
Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione, della sottoscrizione e del gruppo di risorse. Per altre informazioni, vedere Passaggi per creare un ruolo personalizzato.
Per garantire una funzionalità appropriata, controllare le autorizzazioni del ruolo personalizzato per confermare le entità servizio utente e le identità gestite che operano il gateway VPN hanno le autorizzazioni necessarie. Per aggiungere le autorizzazioni mancanti elencate qui, vedere Aggiornare un ruolo personalizzato.
Autorizzazioni
Quando si creano o si aggiornano le risorse seguenti, aggiungere le autorizzazioni appropriate dall'elenco seguente:
Risorse dell'hub virtuale
| Conto risorse | Autorizzazioni di Azure necessarie |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Risorse del gateway ExpressRoute
| Conto risorse | Autorizzazioni di Azure necessarie |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Risorse VPN
| Conto risorse | Autorizzazioni di Azure necessarie |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
Risorse dell'appliance virtuale di rete
Le appliance virtuali di rete (Appliance virtuali di rete) in rete WAN virtuale vengono in genere distribuite tramite applicazioni gestite da Azure o direttamente tramite il software di orchestrazione dell'appliance virtuale di rete. Per altre informazioni su come assegnare correttamente le autorizzazioni alle applicazioni gestite o al software di orchestrazione dell'appliance virtuale di rete, vedere le istruzioni qui.
| Conto risorse | Autorizzazioni di Azure necessarie |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Per altre informazioni, vedere Autorizzazioni di Azure per le autorizzazioni di rete e rete virtuale.
Ambito ruoli
Nel processo di definizione del ruolo personalizzato è possibile specificare un ambito di assegnazione di ruolo a quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorse. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.
Questi ambiti sono strutturati in una relazione padre-figlio, con ogni livello di gerarchia che rende l'ambito più specifico. È possibile assegnare ruoli a uno di questi livelli di ambito e il livello selezionato determina la quantità di applicazione del ruolo.
Ad esempio, un ruolo assegnato a livello di sottoscrizione può essere propagato a tutte le risorse all'interno di tale sottoscrizione, mentre un ruolo assegnato a livello di gruppo di risorse verrà applicato solo alle risorse all'interno di tale gruppo specifico. Altre informazioni sul livello di ambito Per altre informazioni, vedere Livelli di ambito.
Nota
Attendere tempo sufficiente per l'aggiornamento della cache di Azure Resource Manager dopo la modifica dell'assegnazione di ruolo.
Servizi aggiuntivi
Per visualizzare ruoli e autorizzazioni per altri servizi, vedere i collegamenti seguenti: