Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Servidor de Rota do Azure requer funções e permissões específicas para criar e gerenciar seus recursos subjacentes. Este artigo explica os requisitos de RBAC (controle de acesso baseado em função) do Azure e ajuda você a configurar as permissões apropriadas para sua organização.
Visão geral
O Servidor de Rota do Azure utiliza vários recursos subjacentes do Azure durante operações de criação e gerenciamento. Devido a essa dependência, é essencial verificar se usuários, entidades de serviço e identidades gerenciadas têm as permissões necessárias em todos os recursos envolvidos.
Entender esses requisitos de permissão ajuda você a:
- Planejamento de atribuições de função para a implantação do Servidor de Rota
- Solucionar problemas relacionados ao acesso
- Implementar princípios de acesso com privilégios mínimos
- Criar funções personalizadas adaptadas às necessidades da sua organização
Funções internas do Azure
O Azure fornece funções internas que incluem as permissões necessárias para operações do Servidor de Rota do Azure. Você pode atribuir essas funções internas do Azure a usuários, grupos, entidades de serviço ou identidades gerenciadas.
Função Colaborador de Rede
A função interna Colaborador de Rede fornece permissões abrangentes para criar e gerenciar recursos do Servidor de Rota do Azure. Essa função inclui todas as permissões necessárias para:
- Criando instâncias do Servidor de Rota
- Gerenciando configurações de emparelhamento BGP
- Configurando as configurações de troca de rotas
- Monitoramento e solução de problemas
Para obter informações sobre como atribuir funções, consulte Etapas para atribuir uma função do Azure.
Funções personalizadas
Se as funções internas do Azure não atenderem aos requisitos de segurança específicos da sua organização, você poderá criar funções personalizadas. As funções personalizadas permitem implementar o princípio do privilégio mínimo concedendo apenas as permissões mínimas necessárias para tarefas específicas.
Você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço nos escopos de grupo de gerenciamento, assinatura e grupo de recursos. Para obter diretrizes detalhadas, consulte Etapas para criar uma função personalizada.
Considerações de função personalizada
Ao criar funções personalizadas para o Servidor de Rota do Azure:
- Verifique se usuários, entidades de serviço e identidades gerenciadas têm as permissões necessárias listadas na seção Permissões
- Testar funções personalizadas em um ambiente de desenvolvimento antes de implantar em produção
- Examinar e atualizar regularmente as permissões de função personalizadas à medida que os recursos do Servidor de Rota do Azure evoluem
- Documentar os propósitos de funções personalizadas e atribuições de permissões para sua organização
Para modificar as funções personalizadas existentes, consulte Atualizar uma função personalizada.
Permissões
O Servidor de Rota do Azure requer permissões específicas sobre recursos subjacentes do Azure. Ao criar ou atualizar os seguintes recursos, verifique se as permissões apropriadas são atribuídas:
Permissões necessárias por recurso
| Recurso | Permissões necessárias do Azure |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/sub-redes/join/action |
Outras considerações de permissão
- Endereços IP públicos: o Servidor de Rota requer permissões para criar e associar endereços IP públicos
- Sub-redes de rede virtual: o acesso para ingressar no RouteServerSubnet é essencial para a implementação
Para obter mais informações sobre permissões de rede do Azure, consulte as permissões do Azure para permissões derede e de rede virtual.
Escopo da atribuição de função
Ao definir funções personalizadas, você pode especificar o escopo de atribuição de função em vários níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos individuais. Para conceder acesso, atribua funções a usuários, grupos, entidades de serviço ou identidades gerenciadas no escopo apropriado.
Hierarquia de escopo
Esses escopos seguem uma estrutura de relação pai-filho, com cada nível fornecendo controle de acesso mais específico:
- Grupo de gerenciamento: escopo mais amplo, aplica-se a várias assinaturas
- Assinatura: aplica-se a todos os recursos em uma assinatura
- Grupo de recursos: aplica-se somente a recursos em um grupo de recursos específico
- Recurso: escopo mais específico, aplica-se a recursos individuais
O nível de escopo selecionado determina a ampla aplicação da função. Por exemplo, uma função atribuída no nível da assinatura se propaga para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos se aplica apenas aos recursos daquele grupo específico.
Para obter mais informações sobre níveis de escopo, consulte níveis de escopo.
Observação
Aguarde tempo suficiente para o cache do Azure Resource Manager atualizar após as alterações de atribuição de função.
Serviços relacionados do Azure
Para obter informações sobre funções e permissões para outros serviços de rede do Azure, consulte os seguintes artigos:
- Funções e permissões do Gateway de Aplicativo do Azure
- Funções e permissões do Azure ExpressRoute
- Funções e permissões do Firewall do Azure
- Permissões e funções de WAN Virtual do Azure
- Funções e permissões gerenciadas de NVA
- Funções e permissões do Gateway de VPN do Azure