Роли и разрешения для сервера маршрутизации Azure

Azure Route Server требует определенных ролей и разрешений для создания базовых ресурсов и управления ими. В этой статье описываются требования к управлению доступом на основе ролей Azure (RBAC) и помогают настроить соответствующие разрешения для вашей организации.

Обзор

Azure Route Server использует несколько базовых ресурсов Azure во время создания и управления. Из-за этой зависимости важно убедиться, что пользователи, учетные записи служб и управляемые удостоверения имеют необходимые разрешения на все задействованные ресурсы.

Общие сведения об этих требованиях к разрешениям помогут вам:

  • Планирование назначений ролей для развертывания сервера маршрутизации
  • Устранение неполадок, связанных с доступом
  • Реализация принципов доступа с минимальными привилегиями
  • Создание настраиваемых ролей, адаптированных к потребностям вашей организации

Встроенные роли Azure

Azure предоставляет встроенные роли, которые включают необходимые разрешения для операций Azure Route Server. Эти встроенные роли Azure можно назначать пользователям, группам, учетным записям служб или управляемым удостоверениям.

Роль участника сети

Встроенная роль участника сети предоставляет комплексные разрешения для создания ресурсов сервера маршрутизации Azure и управления ими. Эта роль включает все необходимые разрешения для:

  • Создание экземпляров сервера маршрутизации
  • Управление конфигурациями пиринга BGP
  • Настройка параметров обмена маршрутами
  • Мониторинг и устранение неполадок

Сведения о назначении ролей см. в статье "Действия по назначению роли Azure".

Пользовательские роли

Если встроенные роли Azure не соответствуют конкретным требованиям безопасности вашей организации, можно создать пользовательские роли. Пользовательские роли позволяют реализовать принцип наименьших привилегий, предоставляя только минимальные разрешения, необходимые для конкретных задач.

Пользовательские роли можно назначать пользователям, группам и субъектам-службам на уровнях главных групп управления, подписок и групп ресурсов. Подробные инструкции см. в разделе "Действия по созданию настраиваемой роли".

Рекомендации по настраиваемой роли

При создании пользовательских ролей для сервера Маршрутизации Azure:

  • Убедитесь, что у пользователей, служебных учетных записей и управляемых идентичностей есть необходимые права, перечисленные в разделе Разрешения
  • Тестирование пользовательских ролей в среде разработки перед развертыванием в рабочей среде
  • Регулярно просматривайте и обновляйте разрешения настраиваемых ролей по мере развития функций Сервера маршрутизации Azure
  • Документирование целей пользовательских ролей и распределения разрешений для вашей организации

Сведения об изменении существующих пользовательских ролей см. в разделе "Обновление настраиваемой роли".

Разрешения

Для сервера маршрутизации Azure требуются определенные разрешения для базовых ресурсов Azure. При создании или обновлении следующих ресурсов убедитесь, что назначены соответствующие разрешения:

Необходимые разрешения по ресурсу

Ресурс Требуемые разрешения Azure
виртуальные концентраторы/конфигурации IP Microsoft.Network/publicIPAddresses/join/action (присоединение/действие)
Microsoft.Network/virtualNetworks/subnets/join/action (присоединение)

Другие аспекты разрешений

  • Общедоступные IP-адреса: сервер маршрутизации требует разрешений для создания и связывания общедоступных IP-адресов
  • Подсети виртуальной сети: доступ к подключению к RouteServerSubnet необходим для развертывания.

Дополнительные сведения о разрешениях сети Azure см. в статье "Разрешения Azure для сетевых и виртуальных сетей".

Область назначения ролей

При определении пользовательских ролей можно указать область назначения ролей на нескольких уровнях: группа управления, подписка, группа ресурсов и отдельные ресурсы. Чтобы предоставить доступ, назначьте роли пользователям, группам, сервисным принципалам или управляемым идентифицируемым объектам в соответствующем контексте.

Иерархия областей

Эти области следуют структуре отношений "родительский-дочерний" с каждым уровнем, обеспечивающим более конкретный контроль доступа:

  • Группа управления: Наиболее широкий охват, охватывает несколько подписок
  • Подписка: применяется ко всем ресурсам в подписке
  • Группа ресурсов: применяется только к ресурсам в определенной группе ресурсов
  • Ресурс: наиболее узкая область охвата для отдельных ресурсов

Уровень области, который вы выбираете, определяет, насколько широко применяется роль. Например, роль, назначенная на уровне подписки, распространяется на все ресурсы в этой подписке, а роль, назначенная на уровне группы ресурсов, применяется только к ресурсам в пределах этой конкретной группы.

Дополнительные сведения об уровнях областей см. в разделе "Уровни области".

Примечание.

Разрешите достаточно времени для обновления кэша Azure Resource Manager после изменения назначения ролей.

Сведения о ролях и разрешениях для других сетевых служб Azure см. в следующих статьях: