通过

关于 Azure 虚拟 WAN 的角色和权限

虚拟 WAN 中心在创建和管理操作期间利用多个基础资源。 因此,在执行这些操作期间,应验证所有相关资源的权限,这一点至关重要。

Azure 内置角色

你可以选择将 Azure 内置角色分配给用户、组、服务主体或托管标识(例如网络参与者),这些角色支持创建与虚拟 WAN 相关的资源所需的所有权限。

有关详细信息,请参阅分配 Azure 角色的步骤

自定义角色

如果 Azure 内置角色不满足组织的特定需求,你可以创建自己的自定义角色。 与内置角色一样,可将自定义角色分配到管理组、订阅和资源组范围内的用户、组与服务主体。 有关详细信息,请参阅 创建自定义角色的步骤

若要确保正常运行,请检查自定义角色权限,以确认用户服务主体以及与虚拟 WAN 交互的托管标识具有必要的权限。 要添加此处列出的任何缺失权限,请参阅更新自定义角色

如果您不想使用更通用的内置角色(例如“网络参与者”或“贡献者”),可以在您的租户中创建以下自定义角色。 你可以下载示例角色并将其保存为 JSON 文件,然后在租户中创建自定义角色时将 JSON 文件上传到 Azure 门户。 确保为你的网络资源订阅正确设置自定义角色的可分配作用域。

虚拟 WAN 管理员

“虚拟 WAN 管理员”角色能够执行与虚拟中心相关的所有操作,包括管理与虚拟 WAN 的连接和配置路由。

{
    "properties": {
        "roleName": "Virtual WAN Administrator",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

虚拟 WAN 读取者

“虚拟 WAN 读取者”角色能够查看和监视所有与虚拟 WAN 相关的资源,但无法执行任何更新。

{
    "properties": {
        "roleName": "Virtual WAN reader",
        "description": "Can perform all operations related to the Virtual WAN, including managing connections to Virtual WAN and configuring routing in each hub.",
        "assignableScopes": [
            "/subscriptions/<>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/virtualWans/*",
                    "Microsoft.Network/virtualHubs/*",
                    "Microsoft.Network/azureFirewalls/read",
                    "Microsoft.Network/networkVirtualAppliances/*/read",
                    "Microsoft.Network/securityPartnerProviders/*/read",
                    "Microsoft.Network/expressRouteGateways/*",
                    "Microsoft.Network/vpnGateways/*",
                    "Microsoft.Network/p2sVpnGateways/*",
                    "Microsoft.Network/virtualNetworks/peer/action"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

所需的权限

若要创建或更新虚拟 WAN 资源,你需要具有创建相应虚拟 WAN 资源类型的适当权限。 在某些情况下,拥有创建或更新该资源类型的权限就足够了。 但是,在许多情况下,如果要更新的虚拟 WAN 资源引用了另一个 Azure 资源,那么你需要同时对创建的资源和引用的所有资源拥有权限。

错误消息

用户或服务主体必须有足够的权限才能对虚拟 WAN 资源执行操作。 如果用户没有足够的权限执行该操作,则操作将会失败,并显示如下所示的错误消息。

错误代码 消息
链接访问检查失败 对象 ID 为“xxx”的客户端无权对范围“zzz 资源”执行操作“xxx”,或范围无效。 有关所需权限的详细信息,请访问“zzz”。 如果最近已授予访问权限,请刷新凭据。

注释

用户或服务主体可能缺少所需的多个权限,无法管理虚拟 WAN 资源。 返回的错误消息仅引用了一个缺失的权限。 因此,在更新分配给服务主体或用户的权限后,你可能会看到不同的缺失权限。

若要修复此错误,请向管理虚拟 WAN 资源的用户或服务主体授予错误消息中所述的附加权限,然后重试。

示例 1

在虚拟 WAN 中心和辐射虚拟网络之间创建连接时,虚拟 WAN 的控制平面会在虚拟 WAN 中心和辐射虚拟网络之间创建虚拟网络对等互连。 你还可以指定虚拟网络连接所关联到或传播到的虚拟 WAN 路由表。

因此,若要创建与虚拟 WAN 中心的虚拟网络连接,必须具有以下权限:

  • 创建中心虚拟网络连接 (Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/write)
  • 使用分支虚拟网络创建虚拟网络对等互连 (Microsoft.Network/virtualNetworks/peer/action)
  • 读取虚拟网络连接引用的路由表 (Microsoft.Network/virtualhubs/hubRouteTables/read)

如果要将某个入站或出站路由映射与虚拟网络连接相关联,则需要其他权限:

  • 读取应用于虚拟网络连接的路由映射 (Microsoft.Network/virtualHubs/routeMaps/read)。

示例 2

若要创建或修改路由意向,则会创建路由意向资源,并引用路由意向策略中指定的下一跃点资源。 这意味着,若要创建或修改路由意向,需要对引用的所有 Azure 防火墙或网络虚拟设备资源拥有权限。

如果中心的专用路由意向策略的下一个跃点是网络虚拟设备,中心的 Internet 策略的下一个跃点是 Azure 防火墙,则创建或更新路由意向资源需要以下权限。

  • 创建路由意图资源。 (Microsoft.Network/virtualhubs/routingIntents/write)
  • 参考(读取)网络虚拟设备资源 (Microsoft.Network/networkVirtualAppliances/read)
  • 参考(读取)Azure 防火墙资源 (Microsoft.Network/azureFirewalls)

在此示例中,你不需要拥有读取 Microsoft.Network/securityPartnerProviders 资源的权限,因为配置的路由意向未引用第三方安全提供程序资源。

由于引用资源而需要的其他权限

以下部分介绍了创建或修改虚拟 WAN 资源所需的一组可能的权限。

根据虚拟 WAN 配置,管理虚拟 WAN 部署的用户或服务主体可能需要对引用的资源拥有以下权限中的全部、部分,或者完全不需要。

虚拟中心资源

资源 由于资源引用而需要的 Azure 权限
virtualHubs Microsoft.Network/virtualNetworks/peer/action
Microsoft.Network/virtualWans/join/action
虚拟中心/中心虚拟网络连接 Microsoft.Network/virtualNetworks/peer/action
Microsoft.Network/virtualHubs/routeMaps/read
Microsoft.Network/virtualHubs/hubRouteTables/read
virtualHubs/bgpConnections Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read
virtualHubs/hubRouteTables Microsoft.Network/securityPartnerProviders/read
Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read
Microsoft.Network/networkVirtualAppliances/read
Microsoft.Network/azurefirewalls/read
virtualHubs/routingIntent Microsoft.Network/securityPartnerProviders/read
Microsoft.Network/networkVirtualAppliances/read
Microsoft.Network/azurefirewalls/read

ExpressRoute 网关资源

资源 由于资源引用而需要的 Azure 权限
ExpressRoute 网关 Microsoft.Network/virtualHubs/read
Microsoft.Network/virtualHubs/hubRouteTables/read
Microsoft.Network/virtualHubs/routeMaps/read
Microsoft.Network/expressRouteGateways/expressRouteConnections/read
Microsoft.Network/expressRouteCircuits/join/action
expressRouteGateways/expressRouteConnections Microsoft.Network/virtualHubs/hubRouteTables/read
Microsoft.Network/virtualHubs/routeMaps/read
Microsoft.Network/expressRouteCircuits/join/action

VPN 资源

资源 由于资源引用而需要的 Azure 权限
p2svpngateways Microsoft.Network/virtualHubs/read
Microsoft.Network/virtualHubs/hubRouteTables/read
Microsoft.Network/virtualHubs/routeMaps/read
Microsoft.Network/vpnServerConfigurations/read
p2sVpnGateways/p2sConnectionConfigurations Microsoft.Network/virtualHubs/hubRouteTables/read
Microsoft.Network/virtualHubs/routeMaps/read
vpnGateways Microsoft.Network/virtualHubs/read
Microsoft.Network/virtualHubs/hubRouteTables/read
Microsoft.Network/virtualHubs/routeMaps/read
Microsoft.Network/vpnGateways/vpnConnections/读取
VPN网站 Microsoft.Network/virtualWans/read
VPN网关/连接 Microsoft.Network/virtualHubs/read
Microsoft.Network/virtualHubs/hubRouteTables/read
Microsoft.Network/virtualHubs/routeMaps/read

NVA 资源

虚拟 WAN 中的网络虚拟设备 (NVA) 通常通过 Azure 托管应用程序部署,或者直接通过 NVA 业务流程软件进行部署。 若要详细了解如何为托管应用程序或 NVA 业务流程软件正确分配权限,请参阅此处的说明。

资源 由于资源引用而需要的 Azure 权限
网络虚拟设备 Microsoft.Network/virtualHubs/read <br? Microsoft.Network/publicIPAddresses/join
网络虚拟设备/网络虚拟设备连接 Microsoft.Network/virtualHubs/routeMaps/read
Microsoft.Network/virtualHubs/hubRouteTables/read

有关详细信息,请参阅 Azure 网络 权限和 虚拟网络权限

角色范围

在自定义角色定义过程中,可以在四个级别指定角色分配范围:管理组、订阅、资源组和资源。 若要授予访问权限,请将角色分配给特定范围内的用户、组、服务主体或托管标识。

这些范围以父子关系进行结构化,层次结构的每一级使范围更加具体。 可以在范围的任意级别分配角色,角色的应用范围取决于所选的级别。

例如,在订阅级别分配的角色可以级联到该订阅中的所有资源,而资源组级别分配的角色将仅适用于该特定组中的资源。 详细了解范围级别。有关详细信息,请参阅范围级别

注释

在角色分配发生更改后,留出足够的时间进行 Azure 资源管理器缓存刷新

其他服务

如需查看其他服务的角色和权限,请访问以下链接:

后续步骤