Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Route Server requer funções e permissões específicas para criar e gerenciar seus recursos subjacentes. Este artigo explica os requisitos de controle de acesso baseado em função (RBAC) do Azure e ajuda você a configurar as permissões apropriadas para sua organização.
Visão geral
O Azure Route Server utiliza vários recursos subjacentes do Azure durante as operações de criação e gerenciamento. Devido a essa dependência, é essencial verificar se os usuários, entidades de serviço e identidades gerenciadas têm as permissões necessárias em todos os recursos envolvidos.
Compreender esses requisitos de permissão ajuda você a:
- Planejar atribuições de função para implantação do Servidor de Rotas
- Solucionar problemas relacionados ao acesso
- Implementar o princípio do menor privilégio
- Crie funções personalizadas adaptadas às necessidades da sua organização
Funções incorporadas do Azure
O Azure fornece funções internas que incluem as permissões necessárias para operações do Azure Route Server. Você pode atribuir essas funções internas do Azure a usuários, grupos, entidades de serviço ou identidades gerenciadas.
Função de Colaborador de Rede
A função interna de Colaborador de Rede fornece permissões abrangentes para criar e gerenciar recursos do Servidor de Rotas do Azure. Esta função inclui todas as permissões necessárias para:
- Criando instâncias do Route Server
- Gerenciando configurações de emparelhamento BGP
- Definindo configurações de troca de rotas
- Monitorizar e resolver problemas
Para obter informações sobre como atribuir funções, consulte Etapas para atribuir uma função do Azure.
Funções personalizadas
Se as funções internas do Azure não atenderem aos requisitos de segurança específicos da sua organização, você poderá criar funções personalizadas. As funções personalizadas permitem implementar o princípio do menor privilégio concedendo apenas as permissões mínimas necessárias para tarefas específicas.
Você pode atribuir funções personalizadas a usuários, grupos e princípios de serviço nos níveis de grupos de gestão, assinaturas e grupos de recursos. Para obter orientações detalhadas, consulte Etapas para criar uma função personalizada.
Considerações sobre a função personalizada
Ao criar funções personalizadas para o Azure Route Server:
- Verifique se os usuários, entidades de serviço e identidades gerenciadas têm as permissões necessárias listadas na seção Permissões
- Teste funções personalizadas em um ambiente de desenvolvimento antes de implantar na produção
- Revise e atualize regularmente as permissões de função personalizadas à medida que os recursos do Azure Route Server evoluem
- Documentar finalidades de função personalizadas e atribuições de permissão para sua organização
Para modificar funções personalizadas existentes, consulte Atualizar uma função personalizada.
Permissões
O Azure Route Server requer permissões específicas nos recursos subjacentes do Azure. Ao criar ou atualizar os seguintes recursos, verifique se as permissões apropriadas são atribuídas:
Permissões necessárias por recurso
| Recurso | Permissões do Azure necessárias |
|---|---|
| HubsVirtuais/ConfiguraçõesdeIP | Microsoft.Network/publicIPAddresses/join/action Ação de união de sub-redes em redes virtuais Microsoft |
Outras considerações sobre permissão
- Endereços IP públicos: o Route Server requer permissões para criar e associar endereços IP públicos
- Sub-redes de rede virtual: o acesso para ingressar na RouteServerSubnet é essencial para a implantação
Para obter mais informações sobre permissões de rede do Azure, consulte Permissões do Azure para permissões de rede e rede virtual.
Escopo de atribuição de função
Ao definir funções personalizadas, você pode especificar o escopo de atribuição de função em vários níveis: grupo de gerenciamento, assinatura, grupo de recursos e recursos individuais. Para conceder acesso, atribua funções a usuários, grupos, entidades de serviço ou identidades gerenciadas no escopo apropriado.
Hierarquia de escopo
Esses escopos seguem uma estrutura de relacionamento pai-filho, com cada nível fornecendo controle de acesso mais específico:
- Grupo de gerenciamento: escopo mais amplo, aplica-se a várias assinaturas
- Subscrição: Aplica-se a todos os recursos de uma subscrição
- Grupo de recursos: aplica-se apenas a recursos dentro de um grupo de recursos específico
- Recurso: Âmbito mais específico, aplica-se a recursos individuais
O nível de escopo selecionado determina a extensão da função. Por exemplo, uma função atribuída no nível de assinatura é transferida em cascata para todos os recursos dentro dessa assinatura, enquanto uma função atribuída no nível do grupo de recursos só se aplica a recursos dentro desse grupo específico.
Para obter mais informações sobre níveis de escopo, consulte Níveis de escopo.
Nota
Permita tempo suficiente para que o cache do Azure Resource Manager seja atualizado após as alterações de atribuição de função.
Serviços relacionados do Azure
Para obter informações sobre funções e permissões para outros serviços de rede do Azure, consulte os seguintes artigos:
- Funções e permissões do Gateway de Aplicativo do Azure
- Funções e permissões do Azure ExpressRoute
- Funções e permissões do Firewall do Azure
- Funções e permissões da WAN Virtual do Azure
- Funções e permissões NVA gerenciadas
- Funções e permissões do Gateway de VPN do Azure