Freigeben über

Rollen und Berechtigungen für Azure Route Server

Azure Route Server erfordert bestimmte Rollen und Berechtigungen zum Erstellen und Verwalten der zugrunde liegenden Ressourcen. In diesem Artikel werden die Anforderungen für die rollenbasierte Zugriffssteuerung (Azure Role-Based Access Control, RBAC) erläutert und Sie bei der Konfiguration geeigneter Berechtigungen für Ihre Organisation unterstützt.

Überblick

Azure Route Server verwendet während der Erstellung und Verwaltung mehrere zugrunde liegende Azure-Ressourcen. Aufgrund dieser Abhängigkeit muss sichergestellt werden, dass Benutzer, Dienstprinzipale und verwaltete Identitäten über die erforderlichen Berechtigungen für alle beteiligten Ressourcen verfügen.

Das Verständnis dieser Berechtigungsanforderungen hilft Ihnen:

  • Planen von Rollenzuweisungen für die Route Server-Bereitstellung
  • Beheben von zugriffsbezogenen Problemen
  • Implementieren von Prinzipien für den Zugriff mit geringsten Rechten
  • Erstellen von benutzerdefinierten Rollen, die auf die Anforderungen Ihrer Organisation zugeschnitten sind

Integrierte Azure-Rollen

Azure stellt integrierte Rollen bereit, die die erforderlichen Berechtigungen für Azure Route Server-Vorgänge enthalten. Sie können diese integrierten Azure-Rollen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten zuweisen.

Rolle "Netzwerkmitwirkender"

Die integrierte Rolle " Netzwerkmitwirkender " bietet umfassende Berechtigungen zum Erstellen und Verwalten von Azure Route Server-Ressourcen. Diese Rolle enthält alle erforderlichen Berechtigungen für:

  • Erstellen von Routenserverinstanzen
  • Verwalten von BGP-Peeringkonfigurationen
  • Konfigurieren von Routingaustauscheinstellungen
  • Überwachung und Problembehandlung

Informationen zum Zuweisen von Rollen finden Sie in den Schritten zum Zuweisen einer Azure-Rolle.

Benutzerdefinierte Rollen

Wenn die integrierten Azure-Rollen nicht den spezifischen Sicherheitsanforderungen Ihrer Organisation entsprechen, können Sie benutzerdefinierte Rollen erstellen. Mit benutzerdefinierten Rollen können Sie das Prinzip der geringsten Berechtigungen implementieren, indem sie nur die für bestimmte Aufgaben erforderlichen Mindestberechtigungen erteilen.

Sie können Benutzern, Gruppen und Dienstprinzipalen benutzerdefinierte Rollen in Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereichen zuweisen. Ausführliche Anleitungen finden Sie in den Schritten zum Erstellen einer benutzerdefinierten Rolle.

Überlegungen zur benutzerdefinierten Rolle

Beim Erstellen benutzerdefinierter Rollen für Azure Route Server:

  • Stellen Sie sicher, dass Benutzer, Dienstprinzipale und verwaltete Identitäten über die erforderlichen Berechtigungen verfügen, die im Abschnitt "Berechtigungen" aufgeführt sind.
  • Testen benutzerdefinierter Rollen in einer Entwicklungsumgebung vor der Bereitstellung in der Produktion
  • Regelmäßiges Überprüfen und Aktualisieren von benutzerdefinierten Rollenberechtigungen, wenn sich Azure Route Server-Features weiterentwickeln
  • Dokumentieren von benutzerdefinierten Rollenzwecken und Berechtigungszuweisungen für Ihre Organisation

Informationen zum Ändern vorhandener benutzerdefinierter Rollen finden Sie unter Aktualisieren einer benutzerdefinierten Rolle.

Berechtigungen

Azure Route Server erfordert spezifische Berechtigungen für zugrunde liegende Azure-Ressourcen. Stellen Sie beim Erstellen oder Aktualisieren der folgenden Ressourcen sicher, dass die entsprechenden Berechtigungen zugewiesen sind:

Erforderliche Berechtigungen nach Ressource

Ressource Erforderliche Azure-Berechtigungen
virtualHubs/ip-Konfigurationen Microsoft.Network/publicIPAddresses/join/action
Microsoft.Network/virtuelleNetzwerke/Unternetze/beitreten/Aktion

Weitere Überlegungen zur Berechtigung

  • Öffentliche IP-Adressen: Route Server erfordert Berechtigungen zum Erstellen und Zuordnen öffentlicher IP-Adressen
  • Virtuelle Netzwerk-Subnetze: Der Zugriff auf den Beitritt zum RouteServerSubnet ist für die Bereitstellung unerlässlich.

Weitere Informationen zu Azure-Netzwerkberechtigungen finden Sie unter Azure-Berechtigungen für Netzwerk - und virtuelle Netzwerkberechtigungen.

Rollenzuweisungsbereich

Beim Definieren benutzerdefinierter Rollen können Sie den Rollenzuweisungsbereich auf mehreren Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und einzelne Ressourcen. Um Zugriff zu gewähren, weisen Sie Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten im entsprechenden Bereich Rollen zu.

Bereichshierarchie

Diese Bereiche folgen einer Beziehungsstruktur zwischen übergeordneten und untergeordneten Elementen, wobei jede Ebene eine spezifischere Zugriffssteuerung bereitstellt:

  • Verwaltungsgruppe: Breiterer Bereich, gilt für mehrere Abonnements
  • Abonnement: Gilt für alle Ressourcen innerhalb eines Abonnements
  • Ressourcengruppe: Gilt nur für Ressourcen innerhalb einer bestimmten Ressourcengruppe
  • Ressource: Der spezifischste Anwendungsbereich gilt für einzelne Ressourcen

Die von Ihnen ausgewählte Bereichsebene bestimmt, wie weit die Rolle angewendet wird. Beispielsweise wird eine Rolle, die auf Abonnementebene zugewiesen ist, an alle Ressourcen in diesem Abonnement kaskadiert, während eine Rolle, die auf Ressourcengruppenebene zugewiesen ist, nur für Ressourcen innerhalb dieser bestimmten Gruppe gilt.

Weitere Informationen zu Bereichsebenen finden Sie unter "Bereichsebenen".

Hinweis

Möglicherweise müssen Sie nach Änderungen der Rollenzuweisung einige Zeit für die Aktualisierung des Azure Resource Manager-Caches einplanen.

Informationen zu Rollen und Berechtigungen für andere Azure-Netzwerkdienste finden Sie in den folgenden Artikeln:

Verwandte Inhalte

  • Last updated on