حول الأدوار والأذونات لجدار حماية Azure
يستخدم جدار حماية Azure موارد متعددة، مثل الشبكات الظاهرية وعناوين IP، أثناء كل من عمليات الإنشاء والإدارة. لهذا السبب، من الضروري التحقق من الأذونات على جميع الموارد المعنية أثناء هذه العمليات.
أدوار Azure المضمنة
يمكنك اختيار تعيين أدوار Azure المضمنة لمستخدم أو مجموعة أو كيان خدمة أو هوية مدارة مثل مساهم الشبكة، والتي تدعم جميع الأذونات المطلوبة لإنشاء البوابة. لمزيد من المعلومات، انظر خطوات تعيين دور Azure.
أدوار مخصصة
إذا لم تلبِّ الأدوار المضمنة في Azureالاحتياجات المحددة لمؤسستك، يمكنك إنشاء أدوار مخصصة خاصة بك. تماماً مثل الأدوار المضمنة، يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات ومديري الخدمات في مجموعة الإدارة والاشتراك ونطاقات مجموعة الموارد. لمزيد من المعلومات، راجع خطوات إنشاء دور مخصص .
لضمان الوظائف المناسبة، تحقق من أذونات الدور المخصصة لتأكيد أساسيات خدمة المستخدم، والهويات المدارة التي تعمل على جدار حماية Azure لديها الأذونات اللازمة. لإضافة أي أذونات مفقودة مدرجة هنا، راجع تحديث دور مخصص.
الأذونات
اعتمادا على ما إذا كنت تنشئ موارد جديدة أو تستخدم موارد موجودة، أضف الأذونات المناسبة من القائمة التالية لجدار حماية Azure في Hub VNET:
| Resource | حالة المورد | أذونات Azure المطلوبة |
|---|---|---|
| الشبكة الفرعية | إنشاء و الجديدة في | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| الشبكة الفرعية | استخدم الموجود | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| عناوين IP | إنشاء و الجديدة في | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| عناوين IP | استخدم الموجود | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | إنشاء جديد/تحديث موجود | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
إذا كنت تقوم بإنشاء جدار حماية Azure في Azure Virtual WAN، أضف الإذن التالي:
| Resource | حالة المورد | أذونات Azure المطلوبة |
|---|---|---|
| المراكز الافتراضية | إنشاء جديد/تحديث موجود | Microsoft.Network/virtualHubs/read |
لمزيد من المعلومات، راجع أذونات Azure للشبكات وأذونات الشبكة الظاهرية.
نطاق الأدوار
في عملية تعريف الدور المخصص، يمكنك تحديد نطاق تعيين دور على أربعة مستويات: مجموعة الإدارة والاشتراك ومجموعة الموارد والموارد. لمنح حق الوصول، يمكنك تعيين أدوار للمستخدمين أو المجموعات أو كيانات الخدمة أو الهويات المدارة في نطاق معين.
يتم تنظيم هذه النطاقات في علاقة أصل-تابع، مع كل مستوى من التدرج الهرمي يجعل النطاق أكثر تحديدا. يمكنك تعيين أدوار على أي من هذه المستويات من النطاق، ويحدد المستوى الذي تحدده مدى تطبيق الدور.
على سبيل المثال، يمكن أن يتتالى الدور المعين على مستوى الاشتراك إلى كافة الموارد داخل هذا الاشتراك، بينما سيتم تطبيق الدور المعين على مستوى مجموعة الموارد فقط على الموارد داخل تلك المجموعة المحددة. تعرف على المزيد حول مستوى النطاق لمزيد من المعلومات، راجع مستويات النطاق.
خدمات إضافية
لعرض الأدوار والأذونات للخدمات الأخرى، راجع الارتباطات التالية:
إشعار
السماح بوقت كاف لتحديث ذاكرة التخزين المؤقت ل Azure Resource Manager بعد تغييرات تعيين الدور.
الخطوات التالية
ما هو Azure Role Based AccessAzure Role Based Access Control