Az Azure Firewall szerepkörei és engedélyei
Az Azure Firewall több erőforrást, például virtuális hálózatokat és IP-címeket használ a létrehozási és felügyeleti műveletek során. Ezért rendkívül fontos, hogy e műveletek kapcsán ellenőrizze az összes érintett erőforrás engedélyeit.
Beépített Azure-szerepkörök
Dönthet úgy, hogy azure-beli beépített szerepköröket rendel egy felhasználóhoz, csoporthoz, szolgáltatásnévhez vagy felügyelt identitáshoz, például hálózati közreműködőhöz, amely támogatja az átjáró létrehozásához szükséges összes engedélyt. További információkért lásd: Azure-szerepkör hozzárendelésének lépései.
Egyéni szerepkörök
Ha a beépített Azure-szerepkörök nem felelnek meg a cég vagy intézmény igényeinek, saját egyéni szerepköröket is létrehozhat. A beépített szerepkörökhöz hasonlóan az egyéni szerepköröket is hozzárendelheti a különböző felhasználókhoz, csoportokhoz és szolgáltatásnevekhez a felügyeleti csoport, az előfizetés és az erőforráscsoport hatókörében. További információkért lásd: Egyéni szerepkör létrehozásának lépései.
A megfelelő működés biztosítása érdekében ellenőrizze az egyéni szerepkör-engedélyeket, és ellenőrizze, hogy a felhasználói szolgáltatásnevek és az Azure Firewallt üzemeltető felügyelt identitások rendelkeznek-e a szükséges engedélyekkel. Az itt felsorolt hiányzó engedélyek hozzáadásával kapcsolatban lásd: Egyéni szerepkörök frissítése.
Engedélyek
Attól függően, hogy új erőforrásokat hoz létre, vagy meglévőket használ, adja hozzá a megfelelő engedélyeket az Azure Firewall következő listájából egy központi virtuális hálózatban:
Erőforrás | Erőforrás állapota | Szükséges Azure-engedélyek |
---|---|---|
Alhálózat | Új létrehozása | Microsoft.Network/virtualNetworks/alhálózatok/írás Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet |
Alhálózat | Meglévő használata | Microsoft.Network/virtualNetworks/alhálózatok/olvasás Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet |
IP-címek | Új létrehozása | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
IP-címek | Meglévő használata | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
Azure Firewall | Új/meglévő frissítés létrehozása | Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Ha Azure-tűzfalat hoz létre az Azure Virtual WAN-ban, adja hozzá a következő engedélyt:
Erőforrás | Erőforrás állapota | Szükséges Azure-engedélyek |
---|---|---|
virtualHubs | Új/meglévő frissítés létrehozása | Microsoft.Network/virtualHubs/read |
További információ: Azure-engedélyek a hálózatkezeléshez és a virtuális hálózati engedélyekhez.
Szerepkörök hatóköre
Az egyéni szerepkördefiníció folyamatában négy szinten adhat meg szerepkör-hozzárendelési hatókört: felügyeleti csoport, előfizetés, erőforráscsoport és erőforrások. A hozzáférés biztosításához adott hatókör mellett szerepköröket rendelhet a felhasználókhoz, csoportokhoz, szolgáltatási megbízásokhoz vagy felügyelt identitásokhoz.
Ezek a hatókörök egy szülő-gyermek kapcsolatban vannak strukturálva, és a hierarchia minden szintje pontosabbá teszi a hatókört. A szerepköröket a hatókör bármelyik szintjén hozzárendelheti, és a kiválasztott szint határozza meg, hogy a szerepkör milyen széles körben legyen alkalmazva.
Az előfizetés szintjén hozzárendelt szerepkörök például az előfizetés összes erőforrására lekonkkádhatók, míg az erőforráscsoport szintjén hozzárendelt szerepkörök csak az adott csoporton belüli erőforrásokra vonatkoznak. További információ a hatókörszintről További információ: Hatókörszintek.
További szolgáltatások
Más szolgáltatások szerepköreinek és engedélyeinek megtekintéséhez tekintse meg az alábbi hivatkozásokat:
Feljegyzés
Elegendő idő az Azure Resource Manager-gyorsítótár frissítésére a szerepkör-hozzárendelés módosítása után.
Következő lépések
Mi az azure-beli szerepköralapú hozzáférésazure-beli szerepköralapú hozzáférés-vezérlés?