Informazioni su ruoli e autorizzazioni per VPN
La VPN usa più risorse, ad esempio reti virtuali e indirizzi IP, durante le operazioni di creazione e gestione. Per questo motivo, è essenziale verificare le autorizzazioni per tutte le risorse coinvolte durante queste operazioni.
Ruoli predefiniti di Azure
È possibile scegliere di assegnare ruoli predefiniti di Azure a un utente, a un gruppo, a un'entità servizio o a un'identità gestita, ad esempio Collaboratore alla rete, che supporta tutte le autorizzazioni necessarie per la creazione del gateway. Per maggiori informazioni, vedere Procedura per l’assegnazione di un ruolo Azure.
Ruoli personalizzati
Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione, della sottoscrizione e del gruppo di risorse. Per altre informazioni, vedere Passaggi per creare un ruolo personalizzato.
Per garantire una funzionalità appropriata, controllare le autorizzazioni del ruolo personalizzato per confermare le entità servizio utente e le identità gestite che operano il gateway VPN hanno le autorizzazioni necessarie. Per aggiungere le autorizzazioni mancanti elencate qui, vedere Aggiornare un ruolo personalizzato.
Autorizzazioni
A seconda che si creino nuove risorse o si usino quelle esistenti, aggiungere le autorizzazioni appropriate dall'elenco seguente:
| Conto risorse | Stato della risorsa | Autorizzazioni di Azure necessarie |
|---|---|---|
| Subnet | Crea nuovo | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | Utilizza esistente | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Indirizzi IP | Crea nuovo | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| Indirizzi IP | Utilizza esistente | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Gateway di rete locale | Crea nuovo/Aggiorna esistente | Microsoft.Network/localnetworkgateways/write |
| Connessione | Crea nuovo/Aggiorna esistente | Microsoft.Network/connections/write |
| Gateway VPN di Azure | Crea nuovo/Aggiorna esistente | Microsoft.Network/localnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Per altre informazioni, vedere Autorizzazioni di Azure per le autorizzazioni di rete e rete virtuale.
Ambito ruoli
Nel processo di definizione del ruolo personalizzato è possibile specificare un ambito di assegnazione di ruolo a quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorse. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.
Questi ambiti sono strutturati in una relazione padre-figlio, con ogni livello di gerarchia che rende l'ambito più specifico. È possibile assegnare ruoli a uno di questi livelli di ambito e il livello selezionato determina la quantità di applicazione del ruolo.
Ad esempio, un ruolo assegnato a livello di sottoscrizione può essere propagato a tutte le risorse all'interno di tale sottoscrizione, mentre un ruolo assegnato a livello di gruppo di risorse verrà applicato solo alle risorse all'interno di tale gruppo specifico. Altre informazioni sul livello di ambito Per altre informazioni, vedere Livelli di ambito.
Nota
Attendere tempo sufficiente per l'aggiornamento della cache di Azure Resource Manager dopo la modifica dell'assegnazione di ruolo.
Servizi aggiuntivi
Per visualizzare ruoli e autorizzazioni per altri servizi, vedere i collegamenti seguenti: