Tentang peran dan izin untuk Azure Virtual WAN
Hub Virtual WAN menggunakan beberapa sumber daya yang mendasar selama operasi pembuatan dan manajemen. Karena itu, penting untuk memverifikasi izin pada semua sumber daya yang terlibat selama operasi ini.
Peran bawaan Azure
Anda dapat memilih untuk menetapkan peran bawaan Azure ke pengguna, grup, perwakilan layanan, atau identitas terkelola seperti kontributor Jaringan, yang mendukung semua izin yang diperlukan untuk membuat sumber daya yang terkait dengan Virtual WAN.
Untuk informasi selengkapnya, lihat Langkah-langkah untuk menetapkan peran Azure.
Peran kustom
Jika peran bawaan Microsoft Azure tidak memenuhi kebutuhan spesifik organisasi, Anda dapat membuat peran kustom sendiri. Sama seperti peran bawaan, Anda dapat menetapkan peran kustom kepada pengguna, grup, dan perwakilan layanan pada cakupan grup manajemen, langganan, dan grup sumber daya. Untuk informasi selengkapnya, lihat Langkah-langkah untuk membuat peran kustom .
Untuk memastikan fungsionalitas yang tepat, periksa izin peran kustom Anda untuk mengonfirmasi perwakilan layanan pengguna, dan identitas terkelola yang berinteraksi dengan Virtual WAN memiliki izin yang diperlukan. Untuk menambahkan izin yang hilang yang tercantum di sini, lihat Memperbarui peran kustom.
Peran kustom berikut adalah beberapa contoh peran yang dapat Anda buat di penyewa jika Anda tidak ingin memanfaatkan peran bawaan yang lebih umum seperti Kontributor Jaringan atau Kontributor. Anda dapat mengunduh dan menyimpan peran sampel sebagai file JSON dan mengunggah file JSON ke portal Azure saat membuat peran kustom di penyewa Anda. Pastikan cakupan yang dapat ditetapkan untuk peran kustom diatur dengan benar untuk langganan sumber daya jaringan Anda.
Virtual WAN Administrator
Peran Administrator Virtual WAN memiliki kemampuan untuk melakukan semua operasi yang terkait dengan Hub Virtual, termasuk mengelola koneksi ke Virtual WAN dan mengonfigurasi perutean.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Pembaca Virtual WAN
Peran pembaca Virtual WAN memiliki kemampuan untuk melihat dan memantau semua sumber daya terkait Virtual WAN, tetapi tidak dapat melakukan pembaruan apa pun.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Izin yang Diperlukan
Membuat atau memperbarui sumber daya Virtual WAN mengharuskan Anda memiliki izin yang tepat untuk membuat jenis sumber daya Virtual WAN tersebut. Dalam beberapa skenario, memiliki izin untuk membuat atau memperbarui jenis sumber daya tersebut sudah cukup. Namun, dalam banyak skenario, memperbarui sumber daya Virtual WAN yang memiliki referensi ke sumber daya Azure lain mengharuskan Anda memiliki izin atas sumber daya yang dibuat dan sumber daya yang direferensikan.
Pesan kesalahan
Pengguna atau perwakilan layanan harus memiliki izin yang memadai untuk menjalankan operasi pada sumber daya Virtual WAN. Jika pengguna tidak memiliki izin yang memadai untuk melakukan operasi, operasi akan gagal dengan pesan kesalahan yang mirip dengan yang di bawah ini.
| Kode Kesalahan | Pesan |
|---|---|
| LinkedAccessCheckFailed | Klien dengan id objek 'xxx' tidak memiliki otorisasi untuk melakukan tindakan 'xxx' melalui cakupan 'sumber daya zzz' atau cakupan tidak valid. Untuk detail tentang izin yang diperlukan, silakan kunjungi 'zzz.' Jika akses baru saja diberikan, silakan refresh mandat Anda. |
Catatan
Pengguna atau perwakilan layanan mungkin kehilangan beberapa izin yang diperlukan untuk mengelola sumber daya Virtual WAN. Pesan kesalahan yang dikembalikan hanya mereferensikan satu izin yang hilang. Akibatnya, Anda mungkin melihat izin yang hilang yang berbeda setelah memperbarui izin yang ditetapkan ke perwakilan layanan atau pengguna Anda.
Untuk memperbaiki kesalahan ini, berikan pengguna atau perwakilan layanan yang mengelola sumber daya Virtual WAN Anda izin tambahan yang dijelaskan dalam pesan kesalahan dan coba lagi.
Contoh 1
Saat koneksi dibuat antara hub Virtual WAN dan Virtual Network spoke, sarana kontrol Virtual WAN membuat peering Virtual Network antara hub Virtual WAN dan Virtual Network spoke Anda. Anda juga dapat menentukan tabel rute Virtual WAN tempat koneksi Virtual Network mengaitkan atau menyebarluaskan.
Oleh karena itu, untuk membuat koneksi Virtual Network ke hub Virtual WAN, Anda harus memiliki izin berikut:
- Membuat koneksi Jaringan Virtual Hub (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- Membuat peering Virtual Network dengan Spoke Virtual Network (Microsoft.Network/virtualNetworks/peer/action)
- Baca tabel rute yang dirujuk oleh koneksi Virtual Network (Microsoft.Network/virtualhubs/hubRouteTables/read)
Jika Anda ingin mengaitkan peta rute masuk atau keluar dikaitkan dengan koneksi Virtual Network, Anda memerlukan izin tambahan:
- Baca peta rute yang diterapkan ke koneksi Virtual Network (Microsoft.Network/virtualHubs/routeMaps/read).
Contoh 2
Untuk membuat atau mengubah niat perutean, sumber daya niat perutean dibuat dengan referensi ke sumber daya hop berikutnya yang ditentukan dalam kebijakan perutean niat perutean. Ini berarti bahwa untuk membuat atau mengubah niat perutean, Anda memerlukan izin atas sumber daya Azure Firewall atau Network Virtual Appliance yang dirujuk.
Jika lompatan berikutnya untuk kebijakan niat perutean privat hub adalah Network Virtual Appliance dan hop berikutnya untuk kebijakan internet hub adalah Azure Firewall, membuat atau memperbarui sumber daya niat perutean memerlukan izin berikut.
- Buat sumber daya niat perutean. (Microsoft.Network/virtualhubs/routingIntents/write)
- Referensi (baca) sumber daya Network Virtual Appliance (Microsoft.Network/networkVirtualAppliances/read)
- Referensi (baca) sumber daya Azure Firewall (Microsoft.Network/azureFirewalls)
Dalam contoh ini, Anda tidak memerlukan izin untuk membaca sumber daya Microsoft.Network/securityPartnerProviders karena niat perutean yang dikonfigurasi tidak mereferensikan sumber daya penyedia keamanan pihak ketiga.
Izin tambahan yang diperlukan karena sumber daya yang dirujuk
Bagian berikut menjelaskan kumpulan kemungkinan izin yang diperlukan untuk membuat atau memodifikasi sumber daya Virtual WAN.
Bergantung pada konfigurasi Virtual WAN Anda, pengguna atau perwakilan layanan yang mengelola penyebaran Virtual WAN Anda mungkin memerlukan semua, subset, atau tidak ada izin di bawah ini atas sumber daya yang direferensikan.
Sumber daya hub virtual
| Sumber daya | Izin Azure yang diperlukan karena referensi sumber daya |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
Sumber daya gateway ExpressRoute
| Sumber daya | Izin Azure yang diperlukan karena referensi sumber daya |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
Sumber daya VPN
| Sumber daya | Izin Azure yang diperlukan karena referensi sumber daya |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
Sumber daya NVA
NVA (Network Virtual Appliances) di Virtual WAN biasanya disebarkan melalui aplikasi terkelola Azure atau langsung melalui perangkat lunak orkestrasi NVA. Untuk informasi selengkapnya tentang cara menetapkan izin dengan benar ke aplikasi terkelola atau perangkat lunak orkestrasi NVA, lihat instruksi di sini.
| Sumber daya | Izin Azure yang diperlukan karena referensi sumber daya |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Untuk informasi selengkapnya, lihat Izin Azure untuk izin Jaringan dan Jaringan virtual.
Cakupan peran
Dalam proses definisi peran kustom, Anda dapat menentukan cakupan penetapan peran di empat tingkat: grup manajemen, langganan, grup sumber daya, dan sumber daya. Untuk memberikan akses, Anda menetapkan peran kepada pengguna, grup, perwakilan layanan, atau identitas terkelola pada cakupan tertentu.
Cakupan ini disusun dalam hubungan induk-anak, dengan setiap tingkat hierarki membuat cakupan lebih spesifik. Anda dapat menetapkan peran di salah satu tingkat cakupan ini, dan tingkat yang Anda pilih menentukan seberapa luas peran diterapkan.
Misalnya, peran yang ditetapkan di tingkat langganan dapat berkurang ke semua sumber daya dalam langganan tersebut, sementara peran yang ditetapkan di tingkat grup sumber daya hanya akan berlaku untuk sumber daya dalam grup tertentu tersebut. Pelajari selengkapnya tentang tingkat cakupan Untuk informasi selengkapnya, lihat Tingkat cakupan.
Catatan
Izinkan waktu yang memadai untuk cache Azure Resource Manager untuk di-refresh setelah perubahan penetapan peran.
Layanan tambahan
Untuk melihat peran dan izin untuk layanan lain, lihat tautan berikut ini: