關於 Azure 路由伺服器的角色和許可權
Azure 路由伺服器會在建立和管理作業期間利用多個基礎資源。 因此,請務必在這些作業期間驗證所有相關資源的許可權。
Azure 內建角色
您可以選擇將 Azure 內建角色指派給使用者、群組、服務主體或受控識別,例如網路參與者,其支援建立閘道所需的所有許可權。 如需詳細資訊,請參閱指派 Azure 角色的步驟。
自訂角色
如果 Azure 內建的角色無法滿足您組織的特定需求,您可以建立自己的自訂角色。 如同內建角色,您可將自訂角色指派給管理群組、訂用帳戶和資源群組範圍內的使用者、群組和服務主體。 如需詳細資訊,請參閱 建立自定義角色 的步驟。
若要確保適當的功能,請檢查您的自定義角色許可權,以確認使用者服務主體,以及操作 VPN 閘道的受控識別具有必要的許可權。 若要新增這裡所列的任何遺漏許可權,請參閱 更新自定義角色。
權限
建立或更新下列資源時,請從下列清單中新增適當的許可權:
資源 | 必要的 Azure 權限 |
---|---|
virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
如需詳細資訊,請參閱 網路 和 虛擬網路許可權的 Azure 許可權。
角色範圍
在自定義角色定義的過程中,您可以在四個層級指定角色指派範圍:管理群組、訂用帳戶、資源群組和資源。 若要授與存取權,您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。
這些範圍會以父子式關聯性建構,每個階層層級都會讓範圍更明確。 您可以在這些範圍的任一層級指派角色,而您選取的層級會決定角色套用的程度。
例如,在訂用帳戶層級指派的角色可以串聯至該訂用帳戶內的所有資源,而在資源群組層級指派的角色只會套用至該特定群組內的資源。 深入瞭解範圍層級 如需詳細資訊,請參閱 範圍層級。
注意
允許在角色指派變更之後,讓 Azure Resource Manager 快取有足夠的時間重新整理。
其他服務
若要檢視其他服務的角色和許可權,請參閱下列連結: