Virtual WAN 허브는 만들기 및 관리 작업 중에 여러 기본 리소스를 활용합니다. 이러한 이유로 이러한 작업 중에 관련된 모든 리소스에 대한 권한을 확인하는 것이 필수적입니다.
Azure 기본 제공 역할
네트워크 기여자와 같은 사용자, 그룹, 서비스 주체 또는 관리 ID에 Azure 기본 제공 역할을 할당하도록 선택할 수 있습니다. 이는 Virtual WAN과 관련된 리소스를 만드는 데 필요한 모든 권한을 지원합니다.
자세한 내용은 Azure 역할을 할당하는 단계를 참조하세요.
사용자 지정 역할
Azure 기본 제공 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들면 됩니다. 기본 제공 역할과 마찬가지로 관리 그룹, 구독 및 리소스 그룹 범위에서 사용자 지정 역할을 사용자, 그룹 및 서비스 주체에 할당할 수 있습니다. 자세한 내용은 사용자 지정 역할을 만드는 단계를 참조하세요.
적절한 기능을 보장하려면 사용자 지정 역할 권한을 확인하여 사용자 서비스 주체와 Virtual WAN과 상호 작용하는 관리 ID에 필요한 권한이 있는지 확인합니다. 여기에 나열된 누락된 권한을 추가하려면 사용자 지정 역할 업데이트를 참조하세요.
다음 사용자 지정 역할은 네트워크 기여자 또는 기여자와 같은 보다 일반적인 기본 제공 역할을 활용하지 않으려는 경우 테넌트에서 만들 수 있는 몇 가지 역할의 예입니다. 샘플 역할을 JSON 파일로 다운로드하여 저장한 다음 테넌트에서 사용자 지정 역할을 만들 때 Azure Portal에 JSON 파일을 업로드할 수 있습니다. 네트워킹 리소스 구독에 대해 사용자 지정 역할에 할당 가능한 범위가 올바르게 설정되었는지 확인합니다.
Virtual WAN 관리자
Virtual WAN 관리자 역할은 Virtual WAN에 대한 연결 관리 및 라우팅 구성을 포함하여 가상 허브와 관련된 모든 작업을 수행할 수 있습니다.
{
"properties": {
"roleName": "Virtual WAN Administrator",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Virtual WAN 읽기 권한자
Virtual WAN 읽기 권한자 역할은 모든 Virtual WAN 관련 리소스를 보고 모니터링할 수 있지만, 업데이트를 수행할 수는 없습니다.
{
"properties": {
"roleName": "Virtual WAN reader",
"description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
"assignableScopes": [
"/subscriptions/<>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/virtualWans/*",
"Microsoft.Network/virtualHubs/*",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/networkVirtualAppliances/*/read",
"Microsoft.Network/securityPartnerProviders/*/read",
"Microsoft.Network/expressRouteGateways/*",
"Microsoft.Network/vpnGateways/*",
"Microsoft.Network/p2sVpnGateways/*",
"Microsoft.Network/virtualNetworks/peer/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
필요한 권한
Virtual WAN 리소스를 만들거나 업데이트하려면 해당 Virtual WAN 리소스 종류를 만들 수 있는 적절한 권한이 필요합니다. 어떤 시나리오에서는 해당 리소스 종류를 만들거나 업데이트할 수 있는 권한이 있는 것만으로도 충분합니다. 그러나 많은 시나리오에서 다른 Azure 리소스에 대한 참조가 있는 Virtual WAN 리소스를 업데이트하려면 만들어진 리소스 와 참조된 리소스에 대한 권한이 모두 필요합니다.
오류 메시지
사용자 또는 서비스 주체는 Virtual WAN 리소스에서 작업을 실행하기 위한 충분한 권한이 있어야 합니다. 사용자에게 작업을 수행하는 데 필요한 권한이 없는 경우, 아래와 비슷한 오류 메시지가 표시되면서 작업이 실패합니다.
| 오류 코드 | 메시지 |
|---|---|
| LinkedAccessCheckFailed | 개체 ID가 'xxx'인 클라이언트는 범위 'zzz 리소스'에 대해 'xxx' 작업을 수행할 권한이 없거나 범위가 유효하지 않습니다. 필요한 권한에 대한 자세한 내용은 'zzz'를 참조하세요. 액세스 권한이 최근에 부여된 경우 자격 증명을 새로 고치세요. |
참고
사용자 또는 서비스 주체에게 Virtual WAN 리소스를 관리하는 데 필요한 여러 권한이 없을 수 있습니다. 반환된 오류 메시지는 누락된 권한을 하나만 참조합니다. 결과적으로 서비스 주체 또는 사용자에게 할당된 권한을 업데이트한 후 다른 누락된 권한이 표시될 수 있습니다.
이 오류를 해결하려면 Virtual WAN 리소스를 관리하는 사용자 또는 서비스 주체에게 오류 메시지에 설명된 추가 권한을 부여하고 다시 시도합니다.
예 1
Virtual WAN 허브와 스포크 Virtual Network 간에 연결이 만들어지면 Virtual WAN의 컨트롤 플레인은 Virtual WAN 허브와 스포크 Virtual Network 간에 Virtual Network 피어링을 만듭니다. Virtual Network 연결이 연결되거나 전파되는 Virtual WAN 경로 테이블을 지정할 수도 있습니다.
따라서 Virtual WAN 허브에 대한 Virtual Network 연결을 만들려면 다음 권한이 있어야 합니다.
- 허브 Virtual Network 연결 만들기(Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
- 스포크 Virtual Network를 사용하여 Virtual Network 피어링 만들기(Microsoft.Network/virtualNetworks/peer/action)
- Virtual Network 연결이 참조하는 경로 테이블 읽기(Microsoft.Network/virtualhubs/hubRouteTables/read)
인바운드 또는 아웃바운드 경로 맵을 Virtual Network 연결과 연결하려면 추가 권한이 있어야 합니다.
- Virtual Network 연결에 적용된 경로 맵 읽기(Microsoft.Network/virtualHubs/routeMaps/read).
예제 2
라우팅 의도를 만들거나 수정하기 위해 라우팅 의도의 라우팅 정책에 지정된 다음 홉 리소스에 대한 참조를 사용하여 라우팅 의도 리소스가 만들어집니다. 즉, 라우팅 의도를 만들거나 수정하려면 참조된 모든 Azure Firewall 또는 Network Virtual Appliance 리소스에 대한 권한이 필요합니다.
허브의 프라이빗 라우팅 의도 정책에 대한 다음 홉이 네트워크 가상 어플라이언스이고 허브의 인터넷 정책에 대한 다음 홉이 Azure Firewall인 경우, 라우팅 의도 리소스를 만들거나 업데이트하려면 다음 권한이 필요합니다.
- 라우팅 의도 리소스를 만듭니다. (Microsoft.Network/virtualhubs/routingIntents/write)
- 네트워크 가상 어플라이언스 리소스(Microsoft.Network/networkVirtualAppliances/read) 참조(읽기).
- Azure Firewall 리소스(Microsoft.Network/azureFirewalls) 참조(읽기)
이 예에서는 구성된 라우팅 의도가 타사 보안 공급자 리소스를 참조하지 않으므로 Microsoft.Network/securityPartnerProviders 리소스를 읽을 수 있는 권한이 필요하지 않습니다.
참조된 리소스로 인해 추가 권한 필요
다음 섹션에서는 Virtual WAN 리소스를 만들거나 수정하는 데 필요한 가능한 권한 집합을 설명합니다.
Virtual WAN 구성에 따라 Virtual WAN 배포를 관리하는 사용자 또는 서비스 주체는 참조된 리소스에 대해 아래 권한 중 일부 또는 전부가 필요할 수 있으며, 아예 필요하지 않을 수도 있습니다.
가상 허브 리소스
| 리소스 | 리소스 참조로 인해 필요한 Azure 권한 |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute 게이트웨이 리소스
| 리소스 | 리소스 참조로 인해 필요한 Azure 권한 |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN 리소스
| 리소스 | 리소스 참조로 인해 필요한 Azure 권한 |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpnGateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
| vpnGateways/vpnConnections | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
NVA 리소스
Virtual WAN의 NVA(네트워크 가상 어플라이언스)는 일반적으로 Azure Managed Applications를 통해 배포되거나 NVA 오케스트레이션 소프트웨어를 통해 직접 배포됩니다. 관리되는 애플리케이션 또는 NVA 오케스트레이션 소프트웨어에 권한을 올바르게 할당하는 방법에 대한 자세한 내용은 여기에서 지침을 참조하세요.
| 리소스 | 리소스 참조로 인해 필요한 Azure 권한 |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read Microsoft.Network/publicIPAddresses/join |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
자세한 내용은 네트워킹에 대한 Azure 권한 및 가상 네트워크 권한을 참조하세요.
역할 범위
사용자 지정 역할 정의 프로세스에서 관리 그룹, 구독, 리소스 그룹, 리소스의 네 가지 수준에서 역할 할당 범위를 지정할 수 있습니다. 액세스 권한을 부여하려면 역할을 특정 범위의 사용자, 그룹, 서비스 주체 또는 관리 ID에 할당합니다.
이러한 범위는 부모-자식 관계로 구조화되어 있으며, 계층 구조의 각 수준은 범위를 더욱 구체적으로 만듭니다. 이러한 범위 수준 중 어느 수준에서든 역할을 할당할 수 있으며, 선택하는 수준에 따라 역할이 적용되는 범위가 결정됩니다.
예를 들어, 구독 수준에서 할당된 역할은 해당 구독 내의 모든 리소스에 적용될 수 있지만, 리소스 그룹 수준에서 할당된 역할은 해당 특정 그룹 내의 리소스에만 적용됩니다. 범위 수준에 대해 자세히 알아봅니다. 자세한 내용은 범위 수준을 참조하세요.
참고
역할 할당이 변경된 후 Azure Resource Manager 캐시를 새로 고칠 수 있는 충분한 시간을 허용합니다.
서비스
다른 서비스에 대한 역할과 권한을 보려면 다음 링크를 참조하세요.