Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Firewall využívá během operací vytváření a správy více prostředků, jako jsou virtuální sítě a IP adresy. Z tohoto důvodu je nezbytné během těchto operací ověřit oprávnění ke všem zahrnutým prostředkům.
Předdefinované role v Azure
Můžete se rozhodnout přiřadit Azure integrované role, jako je například Přispěvatel sítě, uživateli, skupině, aplikačnímu objektu nebo spravované identitě, která podporují všechna požadovaná oprávnění pro vytvoření brány. Další informace najdete v tématu Postup přiřazení role Azure.
Vlastní role
Pokud vestavěné role Azure nesplňují konkrétní potřeby vaší organizace, můžete si vytvořit vlastní role. Stejně jako vestavěné role můžete uživatelům, skupinám a služebním identitám přiřadit vlastní role na úrovních skupin pro správu, předplatného a skupin prostředků. Další informace naleznete v tématu Postup vytvoření vlastní role.
Pokud chcete zajistit správnou funkčnost, zkontrolujte vlastní oprávnění role a ověřte, že instanční objekty uživatelů a spravované identity provozující bránu Azure Firewall mají potřebná oprávnění. Pokud chcete přidat některá zde uvedená chybějící oprávnění, přečtěte si téma Aktualizace vlastní role.
Oprávnění
V závislosti na tom, jestli vytváříte nové prostředky nebo používáte existující prostředky, přidejte příslušná oprávnění z následujícího seznamu pro službu Azure Firewall ve virtuální síti centra:
| Prostředek | Stav zdroje | Vyžadovaná oprávnění Azure |
|---|---|---|
| Podsíť | Vytvořit nový | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Podsíť | Použít existující | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| Adresy IP | Vytvořit nový | Microsoft.Network/publicIPAddresses/zapsat Microsoft.Network/publicIPAddresses/join/action |
| Adresy IP | Použít existující | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | Vytvořit nové/aktualizovat stávající | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Pokud vytváříte bránu Azure Firewall ve službě Azure Virtual WAN, přidejte následující oprávnění:
| Prostředek | Stav zdroje | Vyžadovaná oprávnění Azure |
|---|---|---|
| virtualHubs | Vytvořit nové/aktualizovat stávající | Microsoft.Network/virtualHubs/read |
Další informace najdete v tématu Oprávnění Azure pro sítě a oprávnění pro virtuální síť.
Rozsah rolí
V procesu definice vlastní role můžete zadat obor přiřazení role na čtyřech úrovních: správní skupina, předplatné, skupina prostředků a zdroje. Chcete-li udělit přístup, přiřaďte role uživatelům, skupinám, instančním objektům nebo spravovaným identitám v konkrétním rozsahu.
Tyto obory jsou strukturovány ve vztahu nadřazenosti a podřízenosti, přičemž každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru a úroveň, kterou vyberete, určuje, jak široce se role použije.
Například role přiřazená na úrovni předplatného se může kaskádově snížit na všechny prostředky v rámci daného předplatného, zatímco role přiřazená na úrovni skupiny prostředků se bude vztahovat pouze na prostředky v rámci této konkrétní skupiny. Další informace o úrovni oboru Další informace najdete v tématu Úrovně oboru.
Další služby
Pokud chcete zobrazit role a oprávnění pro jiné služby, podívejte se na následující odkazy:
Poznámka:
Počkejte dostatek času na aktualizaci mezipaměti Azure Resource Manageru po změně přiřazení role.
Další kroky
Co je řízení přístupu na základě roleAzure Role-Based Access Control (RBAC)