Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Obwody ExpressRoute i bramy wykorzystują wiele zasobów, takich jak sieci wirtualne i adresy IP, zarówno podczas działań związanych z ich tworzeniem, jak i zarządzaniem. Z tego powodu istotne jest, aby w trakcie tych operacji zweryfikować uprawnienia do wszystkich zaangażowanych zasobów.
Role wbudowane w Azure
Możesz wybrać przypisanie wbudowanych ról Azure do użytkownika, grupy, zasad serwisowych lub tożsamości zarządzanej, jak na przykład Network Contributor, które wspierają wszystkie wymagane uprawnienia do tworzenia bramy. Aby uzyskać więcej informacji, zobacz Steps to assign an Azure role.
Role niestandardowe
Jeśli wbudowane role platformy Azure nie spełniają specyficznych potrzeb Twojej organizacji, możesz stworzyć własne role niestandardowe. Podobnie jak w przypadku ról wbudowanych, możesz przypisywać role niestandardowe użytkownikom, grupom i głównym usług w zakresie grup zarządzania, subskrypcji i grup zasobów. Aby uzyskać więcej informacji, zobacz Kroki tworzenia niestandardowej roli.
Aby zapewnić prawidłowe działanie, sprawdź uprawnienia dla niestandardowych ról, aby potwierdzić, że zlecone role użytkowników oraz zarządzane tożsamości obsługujące bramę VPN mają niezbędne uprawnienia. Aby dodać brakujące uprawnienia wymienione tutaj, zobacz Aktualizacja niestandardowej roli.
Uprawnienia
W zależności od tego, czy tworzysz nowe zasoby, czy korzystasz z istniejących, dodaj odpowiednie uprawnienia z poniższej listy:
| Zasób | Status zasobów | Wymagane uprawnienia Azure |
|---|---|---|
| Subnet | Utwórz nowe | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | Użyj istniejącego | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Adresy IP | Utwórz nowe | Microsoft.Network/publicIPAddresses/write (tworzenie i zapisywanie adresów IP publicznych) Zarządzanie adresami IP w chmurze: Microsoft.Network/publicIPAddresses/join/action |
| Adresy IP | Użyj istniejącego | Microsoft.Network/publicIPAddresses/read Zarządzanie adresami IP w chmurze: Microsoft.Network/publicIPAddresses/join/action |
| Połączenie | Utwórz nowe / Aktualizuj istniejące | Microsoft.Network/connections/write Microsoft.Network/virtualNetworkGateways/join/action Microsoft.Network/expressRouteCircuits/join/action |
| Brama sieci wirtualnej platformy Azure | Utwórz nowe / Aktualizuj istniejące | Microsoft.Network/virtualnetworkgateways/write Zarządzanie adresami IP w chmurze: Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
| Obwody ExpressRoute | Utwórz nowy/użyj istniejącego | Microsoft.Network/expressRouteCircuits/write |
| ExpressRoute DirectPort | Utwórz nowe/użyj istniejącego | Microsoft.Network/expressRoutePorts/join/action |
Aby uzyskać więcej informacji, zobacz Azure permissions for Networking i Virtual network permissions.
Zakres ról
W procesie definiowania niestandardowej roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby przyznać dostęp, przypisujesz role użytkownikom, grupom, zaufanym partnerom usługowym lub zarządzanym tożsamościom w określonym zakresie.
Te zakresy są zorganizowane w relacji rodzic-dziecko, z każdym poziomem hierarchii czyniącym zakres bardziej szczegółowym. Możesz przypisywać role na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko rola jest stosowana.
Na przykład rola przypisana na poziomie subskrypcji może kaskadować do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie dotyczyć tylko zasobów w tej konkretnej grupie. Dowiedz się więcej o poziomie zakresu. Aby uzyskać więcej informacji, zobacz Poziomy zakresu.
Uwaga
Pozwól na wystarczający czas, aby Azure Resource Manager cache odświeżył się po zmianach przypisania roli.
Usługi dodatkowe
Aby zobaczyć role i uprawnienia dla innych usług, zobacz następujące linki:
Kolejne kroki
Co to jest kontrola dostępu oparta na rolachna platformie Azure