Azure Firewall在创建和管理操作期间使用多个资源,例如虚拟网络和 IP 地址。 由于此依赖项,需要在这些操作期间验证所有所涉及的资源的权限。
Azure内置角色
将 Azure 内置角色分配给用户、组、服务主体或托管标识,例如 Network 参与者,该角色支持创建网关所需的所有权限。 有关详细信息,请参阅 分配 Azure 角色的步骤。
自定义角色
如果 Azure内置角色不符合组织的特定需求,请创建自定义角色。 与内置角色一样,将自定义角色分配给管理组、订阅和资源组范围内的用户、组和服务主体。 有关详细信息,请参阅创建自定义角色的步骤。
若要确保功能正常,请检查自定义角色权限,确认运行Azure Firewall的用户服务主体和托管标识具有必要的权限。 要添加此处列出的任何缺失权限,请参阅更新自定义角色。
权限
根据是要创建新资源还是使用现有资源,请从以下列表中为中心虚拟网络中的Azure Firewall添加适当的权限:
| 资源 | 资源状态 | 所需的 Azure 权限 |
|---|---|---|
| 子网 | 新建 | Microsoft。Network/virtualNetworks/subnets/write Microsoft/Network/virtualNetworks/subnets/join/action |
| 子网 | 使用现有项 | Microsoft。Network/virtualNetworks/subnets/read Microsoft/Network/virtualNetworks/subnets/join/action |
| IP 地址 | 新建 | Microsoft。Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP 地址 | 使用现有项 | Microsoft。Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure 防火墙 | 新建或更新现有 | Microsoft/Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
如果要在Azure Virtual WAN中创建Azure Firewall,请添加以下权限:
| 资源 | 资源状态 | 所需的 Azure 权限 |
|---|---|---|
| virtualHubs | 新建/更新现有 | Microsoft.Network/virtualHubs/read |
角色范围
创建自定义角色时,请在四个级别之一指定角色分配范围:管理组、订阅、资源组或资源。 若要授予访问权限,请将角色分配给特定范围内的用户、组、服务主体或托管标识。
这些范围以父子关系进行结构化,层次结构的每一级使范围更加具体。 可以在范围的任意级别分配角色,角色的应用范围取决于所选的级别。
例如,在订阅级别分配的角色可以级联到该订阅中的所有资源,而资源组级别分配的角色仅适用于该特定组中的资源。 有关详细信息,请参阅 范围级别。
其他服务
如需查看其他服务的角色和权限,请访问以下链接:
注释
更改角色分配后,请留出足够的时间来刷新 Azure Resource Manager cache。