关于Azure Virtual WAN的角色和权限

Virtual WAN中心在创建和管理操作期间利用多个基础资源。因此，在执行这些操作期间，应验证所有相关资源的权限，这一点至关重要。

Azure内置角色

可以选择将 Azure 内置角色分配给用户、组、服务主体或托管标识，例如 Network 参与者，这些角色支持创建与Virtual WAN相关的资源所需的所有权限。

自定义角色

如果 Azure 内置角色不符合组织的特定需求，则可以创建自定义角色。与内置角色一样，可将自定义角色分配到管理组、订阅和资源组范围内的用户、组与服务主体。有关详细信息，请参阅创建自定义角色的步骤。

若要确保功能正常，请检查自定义角色权限以确认用户服务主体，以及与Virtual WAN交互的托管标识具有必要的权限。要添加此处列出的任何缺失权限，请参阅更新自定义角色。

如果您不想使用更通用的内置角色（例如“网络参与者”或“贡献者”），可以在您的租户中创建以下自定义角色。可以在租户中创建自定义角色时将示例角色下载并保存为 JSON 文件，并将 JSON 文件上传到Azure门户。确保为你的网络资源订阅正确设置自定义角色的可分配作用域。

Virtual WAN 管理员

Virtual WAN管理员角色能够执行与虚拟中心相关的所有操作，包括管理与Virtual WAN的连接和配置路由。

{
    "properties": {
        "roleName": "Virtual WAN Administrator",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Virtual WAN读取器

Virtual WAN读取者角色能够查看和监视所有与Virtual WAN相关的资源，但无法执行任何更新。

{
    "properties": {
        "roleName": "Virtual WAN reader",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

所需的权限

创建或更新Virtual WAN资源需要你具有适当的权限才能创建该Virtual WAN资源类型。在某些情况下，拥有创建或更新该资源类型的权限就足够了。在许多情况下，更新具有对另一个Azure资源的引用的 Virtual WAN 资源时，要求你拥有对创建的资源和任何引用资源的权限。

错误消息

用户或服务主体必须具有足够的权限才能对Virtual WAN资源执行操作。如果用户没有足够的权限执行该操作，则操作将会失败，并显示如下所示的错误消息。

错误代码	消息
链接访问检查失败	对象 ID 为“xxx”的客户端无权对范围“zzz 资源”执行操作“xxx”，或范围无效。有关所需权限的详细信息，请访问“zzz”。如果最近已授予访问权限，请刷新凭据。

注释

用户或服务主体可能缺少管理Virtual WAN资源所需的多个权限。返回的错误消息仅引用了一个缺失的权限。因此，在更新分配给服务主体或用户的权限后，你可能会看到不同的缺失权限。

若要修复此错误，请向管理Virtual WAN资源的用户或服务主体授予错误消息中所述的其他权限，然后重试。

示例 1

当在虚拟WAN枢纽和辐射虚拟网络之间创建连接时，虚拟WAN的控制平面会在虚拟WAN枢纽和辐射虚拟网络之间创建虚拟网络对等互联。还可以指定虚拟网络连接关联或传播到的虚拟WAN路由表。

因此，若要创建与 Virtual WAN 中心的Virtual Network连接，必须具有以下权限：

创建中心虚拟网络连接（Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write）
创建与分支虚拟网络的虚拟网络对等互连（Microsoft.Network/virtualNetworks/peer/action）
读取虚拟网络连接所引用的路由表（Microsoft.Network/virtualhubs/hubRouteTables/read）

若要将入站或出站路由映射与Virtual Network连接相关联，必须具有其他权限：

读取应用于虚拟网络连接的路由图（Microsoft.Network/virtualHubs/routeMaps/read）。

示例 2

若要创建或修改路由意向，则会创建路由意向资源，并引用路由意向策略中指定的下一跃点资源。这意味着，若要创建或修改路由意图，您需要对任何被引用的 Azure Firewall 或 Network Virtual Appliance 资源拥有权限。

如果中心的专用路由意向策略的下一跃点是网络虚拟设备，并且中心的 Internet 策略的下一跃点是Azure Firewall，则创建或更新路由意向资源需要以下权限。

创建路由意图资源。（Microsoft.Network/virtualhubs/routingIntents/write）
读取（引用）网络虚拟设备资源（Microsoft.Network/networkVirtualAppliances/read）
引用（读取）Azure Firewall资源（Microsoft.Network/azureFirewalls）

在此示例中，您不需要权限读取 Microsoft.Network/securityPartnerProviders 资源，因为配置的路由意向未引用第三方安全提供程序资源。

由于引用资源而需要的其他权限

以下部分介绍创建或修改Virtual WAN资源所需的一组可能的权限。

根据您的Virtual WAN配置，管理您的Virtual WAN部署的用户或服务主体可能需要对引用的资源拥有全部、部分或不需要以下任何权限。

虚拟中心资源

资源	由于资源引用，需要Azure权限
virtualHubs	Microsoft。Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action
虚拟中心/中心虚拟网络连接	Microsoft。Network/virtualNetworks/peer/action Microsoft/Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read
virtualHubs/bgpConnections	Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read
virtualHubs/hubRouteTables	Microsoft。Network/securityPartnerProviders/read Microsoft/Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft。Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read
virtualHubs/routingIntent	Microsoft。Network/securityPartnerProviders/read Microsoft。Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read

ExpressRoute 网关资源

资源	由于资源引用，需要Azure权限
ExpressRoute 网关	Microsoft/Network/virtualHubs/read Microsoft/Network/virtualHubs/hubRouteTables/read Microsoft/Network/virtualHubs/routeMaps/read Microsoft/Network/expressRouteGateways/expressRouteConnections/read Microsoft/Network/expressRouteCircuits/join/action
expressRouteGateways/expressRouteConnections	Microsoft/Network/virtualHubs/hubRouteTables/read Microsoft/Network/virtualHubs/routeMaps/read Microsoft/Network/expressRouteCircuits/join/action

VPN 资源

资源	由于资源引用，需要Azure权限
p2svpngateways	Microsoft/Network/virtualHubs/read Microsoft/Network/virtualHubs/hubRouteTables/read Microsoft/Network/virtualHubs/routeMaps/read Microsoft/Network/vpnServerConfigurations/read
p2sVpnGateways/p2sConnectionConfigurations	Microsoft/Network/virtualHubs/hubRouteTables/read Microsoft/Network/virtualHubs/routeMaps/read
vpnGateways	Microsoft/Network/virtualHubs/read Microsoft/Network/virtualHubs/hubRouteTables/read Microsoft/Network/virtualHubs/routeMaps/read Microsoft。Network/vpnGateways/vpnConnections/read
VPN网站	Microsoft/Network/virtualWans/read
VPN网关/连接	Microsoft/Network/virtualHubs/read Microsoft/Network/virtualHubs/hubRouteTables/read Microsoft/Network/virtualHubs/routeMaps/read

NVA 资源

Virtual WAN中的 NVA（网络虚拟设备）通常通过Azure托管应用程序或通过 NVA 业务流程软件直接部署。若要详细了解如何为托管应用程序或 NVA 业务流程软件正确分配权限，请参阅此处的说明。

资源	由于资源引用，需要Azure权限
网络虚拟设备	Microsoft/Network/virtualHubs/read Microsoft。Network/publicIPAddresses/join
网络虚拟设备/网络虚拟设备连接	Microsoft/Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read

有关详细信息，请参阅Azure网络权限和虚拟网络权限。

角色范围

在自定义角色定义过程中，可以在四个级别指定角色分配范围：管理组、订阅、资源组和资源。若要授予访问权限，请将角色分配给特定范围内的用户、组、服务主体或托管标识。

这些范围以父子关系进行结构化，层次结构的每一级使范围更加具体。可以在范围的任意级别分配角色，角色的应用范围取决于所选的级别。

例如，在订阅级别分配的角色可以级联到该订阅中的所有资源，而资源组级别分配的角色将仅适用于该特定组中的资源。详细了解范围级别。有关详细信息，请参阅范围级别。

注释

为Azure Resource Manager缓存留出足够的时间，以便在角色分配更改后刷新。

其他服务

如需查看其他服务的角色和权限，请访问以下链接：

后续步骤

Last updated on 2026-04-22