حول الأدوار والأذونات ل Azure Virtual WAN
يستخدم مركز Virtual WAN موارد أساسية متعددة أثناء عمليات الإنشاء والإدارة. لهذا السبب، من الضروري التحقق من الأذونات على جميع الموارد المعنية أثناء هذه العمليات.
أدوار Azure المضمنة
يمكنك اختيار تعيين أدوار Azure المضمنة لمستخدم أو مجموعة أو كيان خدمة أو هوية مدارة مثل مساهم الشبكة، والتي تدعم جميع الأذونات المطلوبة لإنشاء الموارد المتعلقة بشبكة WAN الظاهرية.
لمزيد من المعلومات، انظر خطوات تعيين دور Azure.
أدوار مخصصة
إذا لم تلبِّ الأدوار المضمنة في Azureالاحتياجات المحددة لمؤسستك، يمكنك إنشاء أدوار مخصصة خاصة بك. تماماً مثل الأدوار المضمنة، يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات ومديري الخدمات في مجموعة الإدارة والاشتراك ونطاقات مجموعة الموارد. لمزيد من المعلومات، راجع خطوات إنشاء دور مخصص .
لضمان الوظائف المناسبة، تحقق من أذونات الدور المخصصة لتأكيد أساسيات خدمة المستخدم، والهويات المدارة التي تتفاعل مع Virtual WAN لديها الأذونات اللازمة. لإضافة أي أذونات مفقودة مدرجة هنا، راجع تحديث دور مخصص.
الأدوار المخصصة التالية هي بعض الأمثلة على الأدوار التي يمكنك إنشاؤها في المستأجر الخاص بك إذا كنت لا تريد الاستفادة من المزيد من الأدوار المضمنة العامة مثل مساهم الشبكة أو المساهم. يمكنك تنزيل وحفظ الأدوار النموذجية كملفات JSON وتحميل ملف JSON إلى مدخل Microsoft Azure عند إنشاء أدوار مخصصة في المستأجر الخاص بك. تأكد من تعيين النطاقات القابلة للتعيين للأدوار المخصصة بشكل صحيح لاشتراك (اشتراكات) موارد الشبكة.
مسؤول شبكة WAN الظاهرية
يتمتع دور مسؤول شبكة WAN الظاهرية بالقدرة على تنفيذ جميع العمليات المتعلقة بالمركز الظاهري، بما في ذلك إدارة الاتصالات بشبكة WAN الظاهرية وتكوين التوجيه.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
قارئ شبكة WAN الظاهرية
يتمتع دور قارئ Virtual WAN بالقدرة على عرض ومراقبة جميع الموارد المتعلقة ب Virtual WAN، ولكن لا يمكنه إجراء أي تحديثات.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
الأذونات المطلوبة
يتطلب إنشاء موارد Virtual WAN أو تحديثها أن يكون لديك الإذن المناسب (الأذونات) لإنشاء نوع مورد Virtual WAN هذا. في بعض السيناريوهات، يكون وجود أذونات لإنشاء نوع المورد هذا أو تحديثه كافيا. ومع ذلك، في العديد من السيناريوهات، يتطلب تحديث مورد Virtual WAN الذي يحتوي على مرجع إلى مورد Azure آخر أن يكون لديك أذونات على كل من المورد الذي تم إنشاؤه وأي موارد مرجعية.
رسالة الخطأ
يجب أن يكون لدى المستخدم أو كيان الخدمة أذونات كافية لتنفيذ عملية على مورد Virtual WAN. إذا لم يكن لدى المستخدم أذونات كافية لتنفيذ العملية، فستفشل العملية مع ظهور رسالة خطأ مشابهة للرسالة أدناه.
| رمز الخطأ | رسالة |
|---|---|
| LinkedAccessCheckFailed | ليس لدى العميل ذي معرف الكائن 'xxx' تخويل لتنفيذ الإجراء 'xxx' عبر النطاق 'مورد zzz' أو النطاق غير صالح. للحصول على تفاصيل حول الأذونات المطلوبة، يرجى زيارة "zzz". إذا تم منح حق الوصول مؤخرا، فيرجى تحديث بيانات الاعتماد الخاصة بك. |
إشعار
قد يفتقد المستخدم أو كيان الخدمة أذونات متعددة مطلوبة لإدارة مورد Virtual WAN. تشير رسالة الخطأ التي تم إرجاعها إلى إذن مفقود واحد فقط. ونتيجة لذلك، قد ترى إذنا مفقودا مختلفا بعد تحديث الأذونات المعينة لمدير الخدمة أو المستخدم.
لإصلاح هذا الخطأ، امنح المستخدم أو كيان الخدمة الذي يدير مورد (موارد) Virtual WAN الإذن الإضافي الموضح في رسالة الخطأ وأعد المحاولة.
المثال 1
عند إنشاء اتصال بين مركز Virtual WAN وشبكة ظاهرية محورية، تنشئ وحدة التحكم في Virtual WAN شبكة ظاهرية نظيرة بين مركز Virtual WAN والشبكة الظاهرية المحورية. يمكنك أيضا تحديد جداول توجيه شبكة WAN الظاهرية التي يرتبط بها اتصال الشبكة الظاهرية أو ينشر إليها.
لذلك، لإنشاء اتصال شبكة ظاهرية بمركز Virtual WAN، يجب أن يكون لديك الأذونات التالية:
- إنشاء اتصال شبكة ظاهرية مركزية (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- إنشاء شبكة ظاهرية نظير مع الشبكة الظاهرية المحورية (Microsoft.Network/virtualNetworks/peer/action)
- اقرأ جدول (جداول) التوجيه التي تشير إليها اتصالات الشبكة الظاهرية (Microsoft.Network/virtualhubs/hubRouteTables/read)
إذا كنت ترغب في إقران مخطط توجيه وارد أو خارجي مقترن باتصال الشبكة الظاهرية، فأنت بحاجة إلى إذن إضافي:
- اقرأ مخطط المسار (المخططات) المطبق على اتصال الشبكة الظاهرية (Microsoft.Network/virtualHubs/routeMaps/read).
المثال 2
لإنشاء هدف التوجيه أو تعديله، يتم إنشاء مورد هدف التوجيه مع الإشارة إلى موارد القفزة التالية المحددة في نهج توجيه هدف التوجيه. وهذا يعني أنه لإنشاء هدف التوجيه أو تعديله، تحتاج إلى أذونات عبر أي مورد (موارد) Azure Firewall أو الشبكة الظاهرية المشار إليها.
إذا كانت الوثبة التالية لنهج هدف التوجيه الخاص بالمركز هي جهاز ظاهري للشبكة والوثبة التالية لنهج الإنترنت الخاص بالمركز هي جدار حماية Azure، فإن إنشاء مورد هدف التوجيه أو تحديثه يتطلب الأذونات التالية.
- إنشاء مورد هدف التوجيه. (Microsoft.Network/virtualhubs/routingIntents/write)
- مرجع (قراءة) مورد الجهاز الظاهري للشبكة (Microsoft.Network/networkVirtualAppliances/read)
- مرجع (قراءة) مورد جدار حماية Azure (Microsoft.Network/azureFirewalls)
في هذا المثال، لا تحتاج إلى أذونات لقراءة موارد Microsoft.Network/securityPartnerProviders لأن هدف التوجيه الذي تم تكوينه لا يشير إلى مورد موفر أمان تابع لجهة خارجية.
أذونات إضافية مطلوبة بسبب الموارد المشار إليها
يصف القسم التالي مجموعة الأذونات المحتملة المطلوبة لإنشاء موارد Virtual WAN أو تعديلها.
اعتمادا على تكوين Virtual WAN الخاص بك، قد يحتاج المستخدم أو كيان الخدمة الذي يدير عمليات نشر شبكة WAN الظاهرية إلى الكل أو مجموعة فرعية أو لا شيء من الأذونات أدناه عبر الموارد المشار إليها.
موارد المركز الظاهري
| Resource | أذونات Azure المطلوبة بسبب مراجع الموارد |
|---|---|
| المراكز الافتراضية | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
موارد بوابة ExpressRoute
| Resource | أذونات Azure المطلوبة بسبب مراجع الموارد |
|---|---|
| بوابات ExpressRoute | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
موارد VPN
| Resource | أذونات Azure المطلوبة بسبب مراجع الموارد |
|---|---|
| بوابات p2sVpn | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| مواقع vpn | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
موارد NVA
عادة ما يتم توزيع NVAs (الأجهزة الظاهرية للشبكة) في شبكة WAN الظاهرية من خلال تطبيقات Azure المدارة أو مباشرة عبر برنامج تزامن NVA. لمزيد من المعلومات حول كيفية تعيين أذونات للتطبيقات المدارة أو برنامج تنسيق NVA بشكل صحيح، راجع الإرشادات هنا.
| Resource | أذونات Azure المطلوبة بسبب مراجع الموارد |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
لمزيد من المعلومات، راجع أذونات Azure للشبكات وأذونات الشبكة الظاهرية.
نطاق الأدوار
في عملية تعريف الدور المخصص، يمكنك تحديد نطاق تعيين دور على أربعة مستويات: مجموعة الإدارة والاشتراك ومجموعة الموارد والموارد. لمنح حق الوصول، يمكنك تعيين أدوار للمستخدمين أو المجموعات أو كيانات الخدمة أو الهويات المدارة في نطاق معين.
يتم تنظيم هذه النطاقات في علاقة أصل-تابع، مع كل مستوى من التدرج الهرمي يجعل النطاق أكثر تحديدا. يمكنك تعيين أدوار على أي من هذه المستويات من النطاق، ويحدد المستوى الذي تحدده مدى تطبيق الدور.
على سبيل المثال، يمكن أن يتتالى الدور المعين على مستوى الاشتراك إلى كافة الموارد داخل هذا الاشتراك، بينما سيتم تطبيق الدور المعين على مستوى مجموعة الموارد فقط على الموارد داخل تلك المجموعة المحددة. تعرف على المزيد حول مستوى النطاق لمزيد من المعلومات، راجع مستويات النطاق.
إشعار
السماح بوقت كاف لتحديث ذاكرة التخزين المؤقت ل Azure Resource Manager بعد تغييرات تعيين الدور.
خدمات إضافية
لعرض الأدوار والأذونات للخدمات الأخرى، راجع الارتباطات التالية: