Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Route Server requiere roles y permisos específicos para crear y administrar sus recursos subyacentes. En este artículo se explican los requisitos de control de acceso basado en rol (RBAC) de Azure y le ayuda a configurar los permisos adecuados para su organización.
Información general
Azure Route Server utiliza varios recursos subyacentes de Azure durante las operaciones de creación y administración. Debido a esta dependencia, es esencial comprobar que los usuarios, las entidades de servicio y las identidades administradas tienen los permisos necesarios en todos los recursos implicados.
Comprender estos requisitos de permisos le ayuda a:
- Planeamiento de asignaciones de roles para la implementación de Route Server
- Solución de problemas relacionados con el acceso
- Implementación de principios de acceso con privilegios mínimos
- Creación de roles personalizados adaptados a las necesidades de su organización
Roles integrados de Azure
Azure proporciona roles integrados que incluyen los permisos necesarios para las operaciones de Azure Route Server. Puede asignar estos roles integrados de Azure a usuarios, grupos, entidades de servicio o identidades administradas.
Rol Colaborador de red
El rol integrado Colaborador de red proporciona permisos completos para crear y administrar recursos de Azure Route Server. Este rol incluye todos los permisos necesarios para:
- Creación de instancias de Route Server
- Administración de configuraciones de emparejamiento BGP
- Configuración de las opciones de intercambio de rutas
- Supervisión y solución de problemas
Para obtener información sobre cómo asignar roles, consulte Pasos para asignar un rol de Azure.
Roles personalizados
Si los roles integrados de Azure no cumplen los requisitos de seguridad específicos de la organización, puede crear roles personalizados. Los roles personalizados permiten implementar el principio de privilegios mínimos al conceder solo los permisos mínimos necesarios para tareas específicas.
Puede asignar roles personalizados a usuarios, grupos y entidades de servicio en ámbitos de grupo de administración, suscripción y grupo de recursos. Para obtener instrucciones detalladas, consulte Pasos para crear un rol personalizado.
Consideraciones sobre roles personalizados
Al crear roles personalizados para Azure Route Server:
- Asegúrese de que los usuarios, las entidades de servicio y las identidades administradas tienen los permisos necesarios que aparecen en la sección Permisos.
- Probar roles personalizados en un entorno de desarrollo antes de implementar en producción
- Revise y actualice periódicamente los permisos de rol personalizados a medida que evolucionan las características de Azure Route Server.
- Documentar los propósitos de roles personalizados y las asignaciones de permisos para su organización
Para modificar los roles personalizados existentes, consulte Actualización de un rol personalizado.
Permisos
Azure Route Server requiere permisos específicos en los recursos subyacentes de Azure. Al crear o actualizar los siguientes recursos, asegúrese de que se asignan los permisos adecuados:
Permisos necesarios por recurso
| Recurso | Permisos de Azure necesarios |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Otras consideraciones sobre permisos
- Direcciones IP públicas: Route Server requiere permisos para crear y asociar direcciones IP públicas
- Subredes de red virtual: el acceso para unirse a RouteServerSubnet es esencial para la implementación.
Para más información sobre los permisos de red de Azure, consulte Permisos de Azure para redes y permisos de red virtual.
Ámbito de asignación de roles
Al definir roles personalizados, puede especificar el ámbito de asignación de roles en varios niveles: grupo de administración, suscripción, grupo de recursos y recursos individuales. Para conceder acceso, asigne roles a usuarios, grupos, entidades de servicio o identidades administradas en el ámbito adecuado.
Jerarquía de ámbito
Estos ámbitos siguen una estructura de relación de padre-hijo, donde cada nivel proporciona un control de acceso más específico.
- Grupo de administración: ámbito más amplio, se aplica a varias suscripciones
- Suscripción: se aplica a todos los recursos de una suscripción.
- Grupo de recursos: solo se aplica a los recursos de un grupo de recursos específico.
- Recurso: ámbito más específico, se aplica a recursos individuales
El nivel de ámbito que seleccione determina la amplitud de la aplicación del rol. Por ejemplo, un rol asignado en el nivel de suscripción se aplica en cascada a todos los recursos de esa suscripción, mientras que un rol asignado en el nivel de grupo de recursos solo se aplica a los recursos de ese grupo específico.
Para obtener más información sobre los niveles de ámbito, consulte Niveles de ámbito.
Nota:
Permita el tiempo suficiente para la actualización de la memoria caché de Azure Resource Manager después de que cambie la asignación de roles.
Servicios relacionados de Azure
Para obtener información sobre roles y permisos para otros servicios de red de Azure, consulte los siguientes artículos:
- Roles y permisos de Azure Application Gateway
- Roles y permisos de Azure ExpressRoute
- Roles y permisos de Azure Firewall
- Roles y permisos de Azure Virtual WAN
- Roles y permisos gestionados de NVA
- Roles y permisos de Azure VPN Gateway