Сведения о ролях и разрешениях для Azure Виртуальная глобальная сеть
Центр Виртуальная глобальная сеть использует несколько базовых ресурсов во время операций создания и управления. Из-за этого необходимо проверить разрешения на все задействованные ресурсы во время этих операций.
Встроенные роли Azure
Вы можете назначить встроенные роли Azure пользователю, группе, субъекту-службе или управляемому удостоверению, например участнику сети, которые поддерживают все необходимые разрешения для создания ресурсов, связанных с Виртуальная глобальная сеть.
Дополнительные сведения см. в статье Шаги по добавлению назначения роли.
Пользовательские роли
Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли. Как и встроенные роли, ваши пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровне группы управления, подписки и группы ресурсов. Дополнительные сведения см. в разделе "Действия по созданию пользовательской роли ".
Чтобы обеспечить правильную функциональность, проверьте разрешения настраиваемой роли для подтверждения субъектов-служб пользователей и управляемых удостоверений, взаимодействующих с Виртуальная глобальная сеть, имеют необходимые разрешения. Сведения о добавлении отсутствующих разрешений, перечисленных здесь, см. в разделе "Обновление пользовательской роли".
Следующие пользовательские роли являются несколькими примерами ролей, которые можно создать в клиенте, если вы не хотите использовать более универсальные встроенные роли, такие как участник сети или участник.
Администратор Виртуальная глобальная сеть
Роль администратора Виртуальная глобальная сеть имеет возможность выполнять все операции, связанные с Виртуальным концентратором, включая управление подключениями к Виртуальная глобальная сеть и настройке маршрутизации.
{
"Name": "Virtual WAN Administrator",
"IsCustom": true,
"Description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"Actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
средство чтения Виртуальная глобальная сеть
Роль читателя Виртуальная глобальная сеть имеет возможность просматривать и отслеживать все Виртуальная глобальная сеть ресурсы, связанные с Виртуальная глобальная сеть, но не может выполнять никаких обновлений.
{
"Name": "Virtual WAN Reader",
"IsCustom": true,
"Description": "Can read and monitor all Virtual WAN resources, but cannot modify Virtual WAN resources.",
"Actions": [
"Microsoft.Network/virtualWans/*/read",
"Microsoft.Network/virtualHubs/*/read",
"Microsoft.Network/expressRouteGateways/*/read",
"Microsoft.Network/vpnGateways/*/read",
"Microsoft.Network/p2sVpnGateways/*/read"
"Microsoft.Network/networkVirtualAppliances/*/read
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId1}",
"/subscriptions/{subscriptionId2}"
]
}
Необходимые разрешения
Создание или обновление ресурсов Виртуальная глобальная сеть требует наличия соответствующих разрешений для создания этого Виртуальная глобальная сеть типа ресурса. В некоторых сценариях достаточно разрешений на создание или обновление этого типа ресурса. Однако во многих сценариях обновление ресурса Виртуальная глобальная сеть с ссылкой на другой ресурс Azure требует наличия разрешений как для созданного ресурса, так и для всех ссылочных ресурсов.
Сообщение об ошибке
Пользователь или субъект-служба должны иметь достаточные разрешения для выполнения операции в ресурсе Виртуальная глобальная сеть. Если у пользователя нет достаточных разрешений для выполнения операции, операция завершится ошибкой, аналогичной приведенной ниже.
| Код ошибки | Сообщение |
|---|---|
| LinkedAccessCheckFailed | Клиент с идентификатором объекта "xxx" не имеет авторизации для выполнения действия "xxx" над областью "zzz resource" или область является недопустимой. Если доступ был предоставлен недавно, обновите учетные данные. |
Примечание.
Пользователю или субъекту-службе может потребоваться несколько разрешений для управления ресурсом Виртуальная глобальная сеть. Возвращенное сообщение об ошибке ссылается только на одно отсутствует разрешение. В результате вы можете увидеть другое отсутствие разрешения после обновления разрешений, назначенных субъекту-службе или пользователю.
Чтобы устранить эту ошибку, предоставьте пользователю или субъекту-службе управление ресурсами Виртуальная глобальная сеть дополнительными разрешениями, описанными в сообщении об ошибке, и повторите попытку.
Пример 1
При создании подключения между концентратором Виртуальная глобальная сеть и периферийным виртуальная сеть уровень управления Виртуальная глобальная сеть создает пиринг между концентратором Виртуальная глобальная сеть и периферийным устройством. виртуальная сеть. Кроме того, можно указать таблицы маршрутов Виртуальная глобальная сеть, к которым подключение виртуальная сеть связывается или распространяется.
Поэтому для создания подключения виртуальная сеть к центру Виртуальная глобальная сеть необходимо иметь следующие разрешения:
- Создание подключения к концентратору виртуальная сеть (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Создание пиринга виртуальная сеть с помощью периферийной виртуальная сеть (Microsoft.Network/virtualNetworks/peer/action)
- Чтение таблиц маршрутов, на которые ссылаются виртуальная сеть подключения (Microsoft.Network/virtualhubs/hubRouteTables/read)
Если вы хотите связать карту маршрутов для входящего или исходящего трафика, связанную с подключением виртуальная сеть, вам потребуется дополнительное разрешение:
- Чтение карт маршрутов, применяемых к подключению виртуальная сеть (Microsoft.Network/virtualHubs/routeMaps/read).
Пример 2
Чтобы создать или изменить намерение маршрутизации, создается ресурс намерения маршрутизации со ссылкой на ресурсы следующего прыжка, указанные в политике маршрутизации намерения маршрутизации. Это означает, что для создания или изменения намерения маршрутизации требуется разрешение на любые указанные Брандмауэр Azure или ресурсы виртуального устройства сети.
Если следующий прыжок для политики частных намерений маршрутизации концентратора является сетевым виртуальным устройством, а следующий прыжок для политики Интернета концентратора является Брандмауэр Azure, создание или обновление ресурса намерения маршрутизации требует следующих переключений.
- Создайте ресурс намерения маршрутизации. (Microsoft.Network/virtualhubs/routingIntents/write)
- Справочник (чтение) ресурса виртуального сетевого устройства (Microsoft.Network/networkVirtualAppliances/read)
- Справочник (чтение) ресурса Брандмауэр Azure (Microsoft.Network/azureFirewalls)
В этом примере не требуется разрешение на чтение ресурсов Microsoft.Network/securityPartnerProviders, так как настроенное намерение маршрутизации не ссылается на ресурс сторонних поставщиков безопасности.
Дополнительные разрешения, необходимые из-за ссылочных ресурсов
В следующем разделе описывается набор возможных пермисонов, необходимых для создания или изменения Виртуальная глобальная сеть ресурсов.
В зависимости от конфигурации Виртуальная глобальная сеть пользователь или субъект-служба, управляющий Виртуальная глобальная сеть развертываниями, может потребоваться все, подмножество или ни одно из указанных ниже разрешений для ссылочных ресурсов.
Ресурсы виртуального концентратора
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Ресурсы шлюза ExpressRoute
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-ресурсы
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Ресурсы NVA
NVAs (сетевые виртуальные устройства) в Виртуальная глобальная сеть обычно развертываются с помощью управляемых приложений Azure или непосредственно с помощью программного обеспечения оркестрации NVA. Дополнительные сведения о том, как правильно назначать разрешения управляемым приложениям или программному обеспечению оркестрации NVA, см. здесь.
| Ресурс | Необходимые разрешения Azure из-за ссылок на ресурсы |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Дополнительные сведения см. в разделе "Разрешения Azure для сетевых и виртуальных сетей".
Область ролей
В процессе определения пользовательской роли можно указать область назначения ролей на четырех уровнях: группа управления, подписка, группа ресурсов и ресурсы. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.
Эти области структурированы в отношениях "родительский-дочерний" с каждым уровнем иерархии, что делает область более конкретной. Вы можете назначать роли на любом из этих уровней области, а выбранный уровень определяет, как широко применяется роль.
Например, роль, назначенная на уровне подписки, может каскадно уменьшаться до всех ресурсов в этой подписке, а роль, назначенная на уровне группы ресурсов, будет применяться только к ресурсам в этой конкретной группе. Дополнительные сведения об уровне области см. в разделе "Уровни области".
Примечание.
Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.
Дополнительные услуги
Чтобы просмотреть роли и разрешения для других служб, ознакомьтесь со следующими ссылками: