Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Route Server wymaga określonych ról i uprawnień do tworzenia swoich zasobów bazowych i zarządzania nimi. W tym artykule opisano wymagania dotyczące kontroli dostępu opartej na rolach (RBAC) platformy Azure i pomaga skonfigurować odpowiednie uprawnienia dla organizacji.
Przegląd
Usługa Azure Route Server korzysta z wielu podstawowych zasobów platformy Azure podczas operacji tworzenia i zarządzania. Ze względu na tę zależność należy sprawdzić, czy użytkownicy, jednostki usługi i tożsamości zarządzane mają niezbędne uprawnienia do wszystkich zaangażowanych zasobów.
Zrozumienie tych wymagań dotyczących uprawnień ułatwia:
- Planowanie przypisań ról dla wdrożenia usługi Route Server
- Rozwiązywanie problemów związanych z dostępem
- Implementowanie zasad dostępu z najmniejszymi uprawnieniami
- Tworzenie ról niestandardowych dostosowanych do potrzeb organizacji
Role wbudowane platformy Azure
Platforma Azure udostępnia wbudowane role, które obejmują niezbędne uprawnienia do operacji usługi Azure Route Server. Możesz przypisać te wbudowane role platformy Azure do użytkowników, grup, jednostek usługi lub tożsamości zarządzanych.
Rola Współautor sieci
Wbudowana rola Współautor sieci zapewnia kompleksowe uprawnienia do tworzenia zasobów usługi Azure Route Server i zarządzania nimi. Ta rola obejmuje wszystkie wymagane uprawnienia dla:
- Tworzenie instancji Route Server
- Zarządzanie konfiguracjami peerowania BGP
- Konfigurowanie ustawień wymiany tras
- Monitorowanie i rozwiązywanie problemów
Aby uzyskać informacje na temat przypisywania ról, zobacz Kroki przypisywania roli platformy Azure.
Role niestandardowe
Jeśli wbudowane role platformy Azure nie spełniają określonych wymagań dotyczących zabezpieczeń organizacji, możesz utworzyć role niestandardowe. Role niestandardowe umożliwiają zaimplementowanie zasady najniższych uprawnień, udzielając tylko minimalnych uprawnień wymaganych dla określonych zadań.
Role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach grupy zarządzania, subskrypcji i grupy zasobów. Aby uzyskać szczegółowe wskazówki, zobacz Kroki tworzenia roli niestandardowej.
Zagadnienia dotyczące roli niestandardowej
Podczas tworzenia ról niestandardowych dla usługi Azure Route Server:
- Upewnij się, że użytkownicy, jednostki usługi i tożsamości zarządzane mają niezbędne uprawnienia wymienione w sekcji Uprawnienia
- Testowanie ról niestandardowych w środowisku deweloperskim przed wdrożeniem w środowisku produkcyjnym
- Regularnie przeglądaj i aktualizuj uprawnienia niestandardowych ról wraz z rozwojem funkcji usługi Azure Route Server
- Dokumentowanie celów ról niestandardowych i przypisań uprawnień dla twojej organizacji
Aby zmodyfikować istniejące role niestandardowe, zobacz Aktualizowanie roli niestandardowej.
Uprawnienia
Usługa Azure Route Server wymaga określonych uprawnień w podstawowych zasobach platformy Azure. Podczas tworzenia lub aktualizowania następujących zasobów upewnij się, że przypisano odpowiednie uprawnienia:
Wymagane uprawnienia według zasobu
| Zasób | Wymagane uprawnienia platformy Azure |
|---|---|
| virtualHubs/ipConfigurations | Zarządzanie adresami IP w chmurze: Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Inne zagadnienia dotyczące uprawnień
- Publiczne adresy IP: usługa Route Server wymaga uprawnień do tworzenia i kojarzenia publicznych adresów IP
- Podsieci sieci wirtualnej: dostęp do dołączenia do podsieci RouteServerSubnet jest niezbędny do wdrożenia
Aby uzyskać więcej informacji na temat uprawnień sieci platformy Azure, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.
Zakres przypisania roli
Podczas definiowania ról niestandardowych można określić zakres przypisania roli na wielu poziomach: grupa zarządzania, subskrypcja, grupa zasobów i poszczególne zasoby. Aby udzielić dostępu, przypisać role użytkownikom, grupom, jednostkom usługi lub tożsamościom zarządzanym w odpowiednim zakresie.
Hierarchia zakresu
Te zakresy są zgodne ze strukturą relacji nadrzędny-podrzędny, a każdy poziom zapewnia bardziej szczegółową kontrolę dostępu:
- Grupa zarządzania: najszerszy zakres dotyczy wielu subskrypcji
- Subskrypcja: dotyczy wszystkich zasobów w ramach subskrypcji
- Grupa zasobów: dotyczy tylko zasobów w określonej grupie zasobów
- Zasób: najbardziej konkretny zakres dotyczy poszczególnych zasobów
Wybrany poziom zakresu określa, jak szeroko ma zastosowanie rola. Na przykład, rola przypisana na poziomie subskrypcji przenosi się kaskadowo na wszystkie zasoby w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów stosuje się tylko do zasobów w ramach tej określonej grupy.
Aby uzyskać więcej informacji na temat poziomów zakresu, zobacz Poziomy zakresu.
Uwaga
Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.
Powiązane usługi platformy Azure
Aby uzyskać informacje o rolach i uprawnieniach dla innych usług sieciowych platformy Azure, zobacz następujące artykuły:
- Role i uprawnienia usługi Azure Application Gateway
- Role i uprawnienia usługi Azure ExpressRoute
- Role i uprawnienia usługi Azure Firewall
- Role i uprawnienia usługi Azure Virtual WAN
- Role i uprawnienia zarządzanego NVA
- Role i uprawnienia usługi Azure VPN Gateway