Azure 路由服务器需要特定的角色和权限来创建和管理其基础资源。 本文介绍 Azure 基于角色的访问控制(RBAC)要求,并帮助你为组织配置适当的权限。
概述
Azure 路由服务器在创建和管理作期间利用多个基础 Azure 资源。 由于此依赖项,必须验证用户、服务主体和托管标识是否对所有所涉及的资源具有必要的权限。
了解这些权限要求可帮助你:
- 规划路由服务器部署的角色分配
- 排查与访问相关的问题
- 实施最小特权访问策略
- 创建自定义角色,以满足组织需求
Azure 内置角色
Azure 提供内置角色,其中包括 Azure 路由服务器操作所需的权限。 可以将这些 Azure 内置角色 分配给用户、组、服务主体或托管标识。
网络参与者角色
网络参与者内置角色提供用于创建和管理 Azure 路由服务器资源的综合权限。 此角色包括以下各项的所有必需权限:
- 创建路由服务器实例
- 管理 BGP 对等互连配置
- 配置路由交换设置
- 监视和故障排除
有关分配角色的信息,请参阅 分配 Azure 角色的步骤。
自定义角色
如果 Azure 内置角色 不符合组织的特定安全要求,则可以创建自定义角色。 自定义角色允许你通过仅授予特定任务所需的最低权限来实现最低特权原则。
可以将自定义角色分配给管理组、订阅和资源组范围内的用户、组和服务主体。 有关详细指导,请参阅 创建自定义角色的步骤。
自定义角色注意事项
为 Azure 路由服务器创建自定义角色时:
- 确保用户、服务主体和托管标识具有“ 权限” 部分中列出的必要权限
- 在部署到生产环境之前,在开发环境中测试自定义角色
- 随着 Azure 路由服务器功能的发展,定期查看和更新自定义角色权限
- 记录组织的自定义角色用途和权限分配
若要修改现有自定义角色,请参阅 “更新自定义角色”。
权限
Azure 路由服务器需要对基础 Azure 资源具有特定权限。 创建或更新以下资源时,请确保分配适当的权限:
按资源所需的权限
| 资源 | 必需的 Azure 权限 |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
其他权限注意事项
- 公共 IP 地址:路由服务器需要权限才能创建和关联公共 IP 地址
- 虚拟网络子网:获得加入 RouteServerSubnet 的访问权限对于部署至关重要
有关 Azure 网络权限的详细信息,请参阅 Azure 网络 权限和 虚拟网络权限。
角色分配范围
定义自定义角色时,可以在多个级别指定角色分配范围:管理组、订阅、资源组和单个资源。 若要授予访问权限,请在适当的范围内将角色分配给用户、组、服务主体或托管标识。
范围层次结构
这些范围遵循父子关系结构,每个级别提供更具体的访问控制:
- 管理组:范围最广,适用于多个订阅
- 订阅:适用于订阅中的所有资源
- 资源组:仅适用于特定资源组中的资源
- 资源:最具体的范围,适用于单个资源
选择的范围级别决定了角色应用的范围。 例如,在订阅级别分配的角色将级联到该订阅中的所有资源,而资源组级别分配的角色仅适用于该特定组中的资源。
有关范围级别的详细信息,请参阅 范围级别。
注意
在角色分配发生更改后,留出足够的时间进行 Azure 资源管理器缓存刷新。
相关的 Azure 服务
有关其他 Azure 网络服务的角色和权限信息,请参阅以下文章:
- Azure 应用程序网关角色和权限
- Azure ExpressRoute 角色和权限
- Azure 防火墙角色和权限
- Azure 虚拟 WAN 角色和权限
- 管理 NVA 角色和权限
- Azure VPN 网关角色和权限