إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتطلب Azure Route Server أدوارا وأذونات محددة لإنشاء موارده الأساسية وإدارتها. توضح هذه المقالة متطلبات التحكم في الوصول المستند إلى الدور (RBAC) في Azure وتساعدك على تكوين الأذونات المناسبة لمؤسستك.
نظرة عامة
يستخدم Azure Route Server موارد Azure الأساسية المتعددة أثناء عمليات الإنشاء والإدارة. بسبب هذه التبعية، من الضروري التحقق من أن المستخدمين وكيانات الخدمة والهويات المدارة لديهم الأذونات اللازمة على جميع الموارد المعنية.
يساعدك فهم متطلبات الأذونات هذه على:
- تخطيط تعيينات الأدوار لنشر خادم التوجيه
- تحديد المشاكل المتعلقة بالوصول وإصلاحها
- تنفيذ مبادئ الوصول الأقل امتيازا
- إنشاء أدوار مخصصة مصممة خصيصا لاحتياجات مؤسستك
أدوار Azure المضمنة
يوفر Azure أدوارا مضمنة تتضمن الأذونات اللازمة لعمليات Azure Route Server. يمكنك تعيين هذه الأدوار المضمنة في Azure للمستخدمين أو المجموعات أو كيانات الخدمة أو الهويات المدارة.
دور مساهم الشبكة
يوفر الدور المضمن في Network Contributor أذونات شاملة لإنشاء موارد Azure Route Server وإدارتها. يتضمن هذا الدور جميع الأذونات المطلوبة ل:
- إنشاء مثيلات خادم التوجيه
- إدارة تكوينات تناظر BGP
- تكوين إعدادات تبادل المسار
- المراقبة واستكشاف الأخطاء وإصلاحها
للحصول على معلومات حول تعيين الأدوار، راجع خطوات تعيين دور Azure.
أدوار مخصصة
إذا كانت الأدوار المضمنة في Azure لا تفي بمتطلبات الأمان المحددة لمؤسستك، فيمكنك إنشاء أدوار مخصصة. تسمح لك الأدوار المخصصة بتنفيذ مبدأ الامتياز الأقل من خلال منح الحد الأدنى من الأذونات المطلوبة لمهام محددة فقط.
يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات وكيانات الخدمة في نطاقات مجموعة الإدارة والاشتراك ومجموعة الموارد. للحصول على إرشادات مفصلة، راجع خطوات إنشاء دور مخصص.
اعتبارات الأدوار المخصصة
عند إنشاء أدوار مخصصة ل Azure Route Server:
- تأكد من أن المستخدمين وكيانات الخدمة والهويات المدارة لديهم الأذونات اللازمة المدرجة في قسم الأذونات
- اختبار الأدوار المخصصة في بيئة التطوير قبل النشر في الإنتاج
- مراجعة أذونات الأدوار المخصصة وتحديثها بانتظام مع تطور ميزات Azure Route Server
- توثيق أغراض الأدوار المخصصة وتعيينات الأذونات لمؤسستك
لتعديل الأدوار المخصصة الحالية، راجع تحديث دور مخصص.
الأذونات
يتطلب Azure Route Server أذونات محددة على موارد Azure الأساسية. عند إنشاء الموارد التالية أو تحديثها، تأكد من تعيين الأذونات المناسبة:
الأذونات المطلوبة حسب المورد
| مورد | أذونات Azure المطلوبة |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
اعتبارات الأذونات الأخرى
- عناوين IP العامة: يتطلب خادم التوجيه أذونات لإنشاء عناوين IP العامة وإقرانها
- الشبكات الفرعية للشبكة الظاهرية: يعد الوصول للانضمام إلى RouteServerSubnet ضروريا للنشر
لمزيد من المعلومات حول أذونات شبكات Azure، راجع أذونات Azure لأذونات الشبكاتوالشبكة الظاهرية.
نطاق تعيين الدور
عند تحديد الأدوار المخصصة، يمكنك تحديد نطاق تعيين الدور على مستويات متعددة: مجموعة الإدارة والاشتراك ومجموعة الموارد والموارد الفردية. لمنح حق الوصول، قم بتعيين الأدوار للمستخدمين أو المجموعات أو كيانات الخدمة أو الهويات المدارة في النطاق المناسب.
التسلسل الهرمي للنطاق
تتبع هذه النطاقات بنية علاقة الأصل والتابع، حيث يوفر كل مستوى تحكم في الوصول بشكل أكثر تحديدا:
- مجموعة الإدارة: النطاق الأوسع، ينطبق على اشتراكات متعددة
- الاشتراك: ينطبق على جميع الموارد داخل الاشتراك
- مجموعة الموارد: ينطبق فقط على الموارد داخل مجموعة موارد معينة
- المورد: النطاق الأكثر تحديدا، ينطبق على الموارد الفردية
يحدد مستوى النطاق الذي تحدده مدى انطباق الدور. على سبيل المثال، يتتالي الدور المعين على مستوى الاشتراك إلى كافة الموارد ضمن هذا الاشتراك، بينما ينطبق الدور المعين على مستوى مجموعة الموارد فقط على الموارد داخل تلك المجموعة المحددة.
لمزيد من المعلومات حول مستويات النطاق، راجع مستويات النطاق.
إشعار
السماح بوقت كاف لتحديث ذاكرة التخزين المؤقت ل Azure Resource Manager بعد تغييرات تعيين الدور.
خدمات Azure ذات الصلة
للحصول على معلومات الأدوار والأذونات لخدمات شبكات Azure الأخرى، راجع المقالات التالية:
- أدوار وأذونات بوابة تطبيق Azure
- أدوار وأذونات Azure ExpressRoute
- أدوار وأذونات جدار حماية Azure
- أدوار وأذونات Azure Virtual WAN
- أدوار وأذونات NVA المدارة
- أدوار وأذونات بوابة Azure VPN