Az Azure Virtual WAN szerepkörei és engedélyei

A Virtual WAN-központ több mögöttes erőforrást használ a létrehozási és a felügyeleti műveletek során. Ezért rendkívül fontos, hogy e műveletek kapcsán ellenőrizze az összes érintett erőforrás engedélyeit.

Beépített Azure-szerepkörök

Hozzárendelhet beépített Azure-szerepköröket egy felhasználóhoz, csoporthoz, szolgáltatásnévhez vagy felügyelt identitáshoz, ilyen például a Hálózati közreműködő szerepkör, amely a Virtual WAN-erőforrások létrehozásához szükséges összes engedélyt tartalmazza.

További információkért lásd: Azure-szerepkör hozzárendelésének lépései.

Egyéni szerepkörök

Ha a beépített Azure-szerepkörök nem felelnek meg a cég vagy intézmény igényeinek, saját egyéni szerepköröket is létrehozhat. A beépített szerepkörökhöz hasonlóan az egyéni szerepköröket is hozzárendelheti a különböző felhasználókhoz, csoportokhoz és szolgáltatásnevekhez a felügyeleti csoport, az előfizetés és az erőforráscsoport hatókörében. További információkért lásd: Egyéni szerepkör létrehozásának lépései.

A megfelelő működéshez ellenőrizze az egyéni szerepkör engedélyeit, és állapítsa meg, hogy a Virtual WAN-nal interakcióba lépő felhasználói szolgáltatásnevek és felügyelt identitások megkapják-e így a szükséges engedélyeket. Az itt felsorolt hiányzó engedélyek hozzáadásával kapcsolatban lásd: Egyéni szerepkörök frissítése.

Az alábbi egyéni szerepkörökkel csupán néhány példát mutatunk be azokra, amelyeket Ön létrehozhat a tenantban, ha nem szeretné használni az általánosabb beépített szerepköröket, amilyen például a Hálózati közreműködő vagy a Közreműködő. A mintaszerepköröket JSON-fájlokként töltheti le és mentheti, és feltöltheti a JSON-fájlt az Azure Portalra, amikor egyéni szerepköröket hoz létre a bérlőben. Győződjön meg arról, hogy az egyéni szerepkörök hozzárendelhető hatókörei megfelelően vannak beállítva a hálózati erőforrás-előfizetés(ek)hez.

Virtual WAN-rendszergazda

A Virtual WAN-rendszergazda szerepkör a Virtual Hubhoz kapcsolódó összes műveletet elvégezheti, ennek részeként kezelheti a Virtual WAN-kapcsolatokat és konfigurálhatja az útválasztást.

{
    "properties": {
        "roleName": "Virtual WAN Administrator",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Virtual WAN-olvasó

A Virtual WAN-olvasó szerepkör megtekintheti és monitorozhatja az összes Virtual WAN-hoz kapcsolódó erőforrást, de nem hajthat végre módosításokat.

{
    "properties": {
        "roleName": "Virtual WAN reader",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Szükséges engedélyek

A Virtual WAN-erőforrások létrehozásához vagy módosításához megfelelő engedélyekkel kell rendelkeznie az adott Virtual WAN-erőforrástípus létrehozásához. Bizonyos helyzetekben elegendő, ha van engedélye az adott erőforrástípus létrehozására vagy módosítására. Sok esetben azonban egy olyan Virtual WAN-erőforrás frissítése, amely egy másik Azure-erőforrásra hivatkozik, megköveteli, hogy a létrehozott és a hivatkozott erőforrásokhoz is rendelkezzen engedélyekkel.

Hibaüzenet

A felhasználónak vagy a szolgáltatásnévnek megfelelő engedélyekkel kell rendelkeznie ahhoz, hogy végrehajthassa a műveletet a Virtual WAN-erőforráson. Ha a felhasználó nem rendelkezik megfelelő engedélyekkel a művelet végrehajtásához, a művelet az alábbihoz hasonló hibaüzenettel meghiúsul.

A hiba kijavításához adja meg a Virtual WAN-erőforrás(ok)t kezelő felhasználónak vagy szolgáltatásnévnek a hibaüzenetben leírt további engedélyt, és próbálkozzon újra.

1. példa

Amikor egy virtuális WAN-központ és egy küllős virtuális hálózat közötti kapcsolat jön létre, a Virtual WAN vezérlősíkja létrehoz egy virtuális hálózati társviszonyt a Virtual WAN-központ és a küllős virtuális hálózat között. Megadhatja azokat a Virtual WAN-útvonaltáblákat is, amelyekhez a virtuális hálózati kapcsolat társít vagy propagál.

Ezért a Virtual WAN-központhoz való virtuális hálózati kapcsolat létrehozásához a következő engedélyekkel kell rendelkeznie:

• Központi virtuális hálózati kapcsolat létrehozása (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
• Virtuális hálózatok közötti társviszony létrehozása a küllős virtuális hálózattal (Microsoft.Network/virtualNetworks/peer/action)
• Olvassa el a virtuális hálózati kapcsolatok hivatkozó útvonaltábláját (Microsoft.Network/virtualhubs/hubRouteTables/read)

Ha egy bejövő vagy kimenő útvonaltérképet szeretne társítani a virtuális hálózati kapcsolathoz, további engedélyre van szüksége:

• Olvassa el a virtuális hálózati kapcsolatra alkalmazott útvonaltérkép(ek)et (Microsoft.Network/virtualHubs/routeMaps/read).

2. példa

Az útválasztási szándék létrehozásához vagy módosításához létrejön egy útválasztási szándékerőforrás, amely az útválasztási szándék útválasztási szabályzatában megadott következő ugrási erőforrásokra hivatkozik. Ez azt jelenti, hogy az útválasztási szándék létrehozásához vagy módosításához engedélyekre van szüksége a hivatkozott Azure Firewall- vagy hálózati virtuális berendezés-erőforrás(ok) felett.

Ha a központ privát útválasztási szándékszabályzatának következő ugrása egy hálózati virtuális berendezés, és a központ internetszabályzatának következő ugrása egy Azure Firewall, az útválasztási szándékerőforrás létrehozásához vagy frissítéséhez a következő engedélyek szükségesek.

• Hozzon létre útválasztási szándékerőforrást. (Microsoft.Network/virtualhubs/routingIntents/write)
• Referencia (olvasás) a hálózati virtuális berendezés erőforrására (Microsoft.Network/networkVirtualAppliances/read)
• Az Azure Firewall-erőforrás (Microsoft.Network/azureFirewalls) referenciája (olvasása)

Ebben a példában nincs szüksége a Microsoft.Network/securityPartnerProviders erőforrások olvasásához szükséges engedélyekre, mert a konfigurált útválasztási szándék nem hivatkozik külső biztonsági szolgáltatói erőforrásra.

További engedélyekre van szükség a hivatkozott erőforrások miatt

A következő szakasz a Virtual WAN-erőforrások létrehozásához vagy módosításához szükséges lehetséges engedélyeket ismerteti.

A Virtual WAN-konfigurációtól függően előfordulhat, hogy a Virtual WAN-üzemelő példányokat kezelő felhasználónak vagy szolgáltatásnévnek az összesre, az alábbi engedélyek egy részhalmazára vagy egyikére sem van szüksége a hivatkozott erőforrásokhoz.

Virtuális központ erőforrásai

ExpressRoute-átjáró erőforrásai

VPN-erőforrások

NVA-erőforrások

A Virtual WAN-ban található NVA-k (hálózati virtuális berendezések) általában azure-beli felügyelt alkalmazásokon vagy közvetlenül NVA vezénylési szoftveren keresztül vannak üzembe helyezve. Az engedélyek felügyelt alkalmazásokhoz vagy NVA vezénylési szoftverekhez való megfelelő hozzárendeléséről itt talál további információt.

További információ: Azure-engedélyek a hálózatkezeléshez és a virtuális hálózati engedélyekhez.

Szerepkörök hatóköre

Az egyéni szerepkördefiníció folyamatában négy szinten adhat meg szerepkör-hozzárendelési hatókört: felügyeleti csoport, előfizetés, erőforráscsoport és erőforrások. A hozzáférés biztosításához adott hatókör mellett szerepköröket rendelhet a felhasználókhoz, csoportokhoz, szolgáltatási megbízásokhoz vagy felügyelt identitásokhoz.

Ezek a hatókörök egy szülő-gyermek kapcsolatban vannak strukturálva, és a hierarchia minden szintje pontosabbá teszi a hatókört. A szerepköröket a hatókör bármelyik szintjén hozzárendelheti, és a kiválasztott szint határozza meg, hogy a szerepkör milyen széles körben legyen alkalmazva.

Az előfizetés szintjén hozzárendelt szerepkörök például az előfizetés összes erőforrására lekonkkádhatók, míg az erőforráscsoport szintjén hozzárendelt szerepkörök csak az adott csoporton belüli erőforrásokra vonatkoznak. További információ a hatókörszintről További információ: Hatókörszintek.

További szolgáltatások

Más szolgáltatások szerepköreinek és engedélyeinek megtekintéséhez tekintse meg az alábbi hivatkozásokat:

• Azure Application Gateway

• Azure ExpressRoute

• Azure Firewall

• Azure Route Server

• Azure VPN Gateway

Következő lépések

• Mit nevezünk az Azure szerepköralapú hozzáférésének?

• Az Azure szerepköralapú hozzáférés-vezérlése