Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Брандмауэр Azure использует несколько ресурсов, таких как виртуальные сети и IP-адреса, во время операций создания и управления. Из-за этого необходимо проверить разрешения на все задействованные ресурсы во время этих операций.
Встроенные роли Azure
Вы можете назначить встроенные роли Azure пользователю, группе, субъекту-службе или управляемому удостоверению, например участнику сети, которые обладают всеми необходимыми разрешениями для создания шлюза. Дополнительные сведения см. в статье Шаги по назначению роли в Azure.
Пользовательские роли
Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли. Как и встроенные роли, ваши пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровне группы управления, подписки и группы ресурсов. Дополнительные сведения см. в статье Процедура создания пользовательской роли.
Чтобы обеспечить правильную функциональность, проверьте разрешения вашей настраиваемой роли, чтобы убедиться, что основные службы пользователей и управляемые удостоверения, работающие с Azure Firewall, имеют необходимые разрешения. Сведения о добавлении отсутствующих разрешений, перечисленных здесь, см. в разделе Обновление пользовательской роли.
Разрешения
В зависимости от того, создаёте ли вы новые ресурсы или используете существующие, добавьте соответствующие разрешения из следующего списка для Брандмауэров Azure в концентраторной виртуальной сети.
| Ресурс | Состояние ресурса | Требуемые разрешения Azure |
|---|---|---|
| Подсеть | Создать новое | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Подсеть | Использовать существующий | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-адреса | Создать новое | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action (присоединение/действие) |
| IP-адреса | Использовать существующий | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action (присоединение/действие) |
| Брандмауэр Azure | Создание нового или обновления существующего | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action (присоединение/действие) Microsoft.Network/virtualHubs/read |
Если вы создаете Брандмауэр Azure в Azure Виртуальная глобальная сеть, добавьте следующее разрешение:
| Ресурс | Состояние ресурса | Требуемые разрешения Azure |
|---|---|---|
| virtualHubs | Создание нового или обновления существующего | Microsoft.Network/virtualHubs/read |
Дополнительные сведения см. в разделе "Разрешения Azure для сетевых и виртуальных сетей".
Область ролей
В процессе определения пользовательской роли можно указать область назначения ролей на четырех уровнях: группа управления, подписка, группа ресурсов и ресурсы. Чтобы предоставить доступ, необходимо назначить роли для пользователей, групп, субъектов-служб или управляемых удостоверений в определенной области применимости.
Эти области структурированы в виде отношений «родитель-дитя», причем с каждым уровнем иерархии область становится более конкретной. Вы можете назначать роли на любом из этих уровней области, а выбранный уровень определяет, как широко применяется роль.
Например, роль, назначенная на уровне подписки, может каскадно уменьшаться до всех ресурсов в этой подписке, а роль, назначенная на уровне группы ресурсов, будет применяться только к ресурсам в этой конкретной группе. Дополнительные сведения об уровне области см. в разделе "Уровни области".
Дополнительные услуги
Чтобы просмотреть роли и разрешения для других служб, ознакомьтесь со следующими ссылками:
Примечание.
Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.
Следующие шаги
Что такое Ролевой доступ AzureКонтроль доступа на основе ролей в Azure