ExpressRoute 线路和网关在创建和管理操作中会使用多个资源,例如虚拟网络和 IP 地址。 因此,在执行这些操作期间,应验证所有相关资源的权限,这一点至关重要。
Azure 内置角色
可以选择将 Azure 内置角色 分配给用户、组、服务主体或托管标识,例如 网络参与者,这些标识支持创建网关所需的所有权限。 有关详细信息,请参阅 分配 Azure 角色的步骤。
自定义角色
如果 Azure 内置角色 不符合组织的特定需求,则可以创建自己的自定义角色。 与内置角色一样,可将自定义角色分配到管理组、订阅和资源组范围内的用户、组与服务主体。 有关详细信息,请参阅 创建自定义角色的步骤 。
若要确保正常运行,请检查自定义角色权限,以确认用户服务主体和运行 VPN 网关的托管标识具有必要的权限。 若要添加此处列出的任何缺失权限,请参阅 “更新自定义角色”。
权限
根据是要创建新资源还是使用现有资源,从以下列表中添加相应的权限:
| 资源 | 资源状态 | 必需的 Azure 权限 |
|---|---|---|
| 子网 | 新建 | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| 子网 | 使用现有项 | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP 地址 | 新建 | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP 地址 | 使用现有项 | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| 连接 | 新建/ 更新现有 | Microsoft.Network/connections/write Microsoft.Network/virtualNetworkGateways/join/action Microsoft.Network/expressRouteCircuits/join/action |
| Azure 虚拟网络网关 | 新建/ 更新现有 | Microsoft.Network/virtualnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
| ExpressRoute 线路 | 新建/ 使用现有 | Microsoft.Network/expressRouteCircuits/write |
| ExpressRoute DirectPort | 新建 /使用现有 | Microsoft.Network/expressRoutePorts/join/action |
有关详细信息,请参阅 Azure 网络 权限和 虚拟网络权限。
角色范围
在自定义角色定义过程中,可以在四个级别指定角色分配范围:管理组、订阅、资源组和资源。 若要授予访问权限,请将角色分配给特定范围内的用户、组、服务主体或托管标识。
这些范围按父子关系结构组织,每个级别的层次结构级使范围更为具体。 可以在范围的任意级别分配角色,角色的应用范围取决于所选的级别。
例如,在订阅级别分配的角色可以级联到该订阅中的所有资源,而资源组级别分配的角色将仅适用于该特定组中的资源。 详细了解范围级别。有关详细信息,请参阅 范围级别。
注意
允许在角色分配更改后刷新 Azure 资源管理器缓存 的足够时间。
其他服务
如需查看其他服务的角色和权限,请访问以下链接: