Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Azure Route Server nécessite des rôles et des autorisations spécifiques pour créer et gérer ses ressources sous-jacentes. Cet article explique les exigences du contrôle d’accès en fonction du rôle Azure (RBAC) et vous aide à configurer les autorisations appropriées pour votre organisation.
Aperçu
Azure Route Server utilise plusieurs ressources Azure sous-jacentes lors des opérations de création et de gestion. En raison de cette dépendance, il est essentiel de vérifier que les utilisateurs, les principaux de service et les identités managées disposent des autorisations nécessaires sur toutes les ressources impliquées.
La compréhension de ces exigences d’autorisation vous aide à :
- Planifier les attributions de rôles pour le déploiement du serveur de routage
- Résoudre les problèmes liés à l’accès
- Implémenter des principes d’accès avec privilèges minimum
- Créer des rôles personnalisés adaptés aux besoins de votre organisation
Rôles intégrés Azure
Azure fournit des rôles intégrés qui incluent les autorisations nécessaires pour les opérations azure Route Server. Vous pouvez affecter ces rôles intégrés Azure aux utilisateurs, groupes, principaux de service ou identités managées.
Rôle Contributeur réseau
Le rôle intégré Contributeur réseau fournit des autorisations complètes pour la création et la gestion des ressources azure Route Server. Ce rôle inclut toutes les autorisations requises pour :
- Création d’instances de serveur de routage
- Gestion des configurations de peering BGP
- Configuration des paramètres d’échange de routage
- Surveillance et dépannage
Pour plus d’informations sur l’attribution de rôles, consultez Étapes d’attribution d’un rôle Azure.
Rôles personnalisés
Si les rôles intégrés Azure ne répondent pas aux exigences de sécurité spécifiques de votre organisation, vous pouvez créer des rôles personnalisés. Les rôles personnalisés vous permettent d’implémenter le principe du privilège minimum en accordant uniquement les autorisations minimales requises pour des tâches spécifiques.
Vous pouvez attribuer des rôles personnalisés aux utilisateurs, aux groupes et aux principaux de service au niveau des étendues du groupe d’administration, de l’abonnement et du groupe de ressources. Pour obtenir des instructions détaillées, consultez Étapes de création d’un rôle personnalisé.
Considérations relatives aux rôles personnalisés
Lors de la création de rôles personnalisés pour Azure Route Server :
- Vérifiez que les utilisateurs, les principaux de service et les identités managées disposent des autorisations nécessaires répertoriées dans la section Autorisations
- Tester des rôles personnalisés dans un environnement de développement avant le déploiement en production
- Passez régulièrement en revue et mettez à jour les autorisations de rôle personnalisées à mesure que les fonctionnalités azure Route Server évoluent
- Documenter les attributions de rôle personnalisées et les attributions d’autorisations pour votre organisation
Pour modifier des rôles personnalisés existants, consultez Mettre à jour un rôle personnalisé.
Autorisations
Azure Route Server nécessite des autorisations spécifiques sur les ressources Azure sous-jacentes. Lors de la création ou de la mise à jour des ressources suivantes, vérifiez que les autorisations appropriées sont affectées :
Autorisations requises par ressource
| Ressource | Autorisations Azure requises |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Autres considérations relatives aux autorisations
- Adresses IP publiques : le serveur de routage nécessite des autorisations pour créer et associer des adresses IP publiques
- Sous-réseaux de réseau virtuel : l’accès à la jonction de RouteServerSubnet est essentiel pour le déploiement
Pour plus d’informations sur les autorisations de mise en réseau Azure, consultez autorisations Azure pour les autorisations réseau et de réseau virtuel.
Étendue de l’attribution de rôle
Lorsque vous définissez des rôles personnalisés, vous pouvez spécifier l’étendue d’attribution de rôle à plusieurs niveaux : groupe d’administration, abonnement, groupe de ressources et ressources individuelles. Pour accorder l’accès, attribuez des rôles aux utilisateurs, groupes, principaux de service ou identités managées au niveau de l’étendue appropriée.
Hiérarchie détendue
Ces étendues suivent une structure de relation parent-enfant, chaque niveau fournissant un contrôle d’accès plus spécifique :
- Groupe d’administration : Étendue la plus large, s’applique à plusieurs abonnements
- Abonnement : s’applique à toutes les ressources d’un abonnement
- Groupe de ressources : s’applique uniquement aux ressources d’un groupe de ressources spécifique
- Ressource : étendue la plus spécifique, s’applique à des ressources individuelles
Le niveau d’étendue que vous sélectionnez détermine le degré d’application du rôle. Par exemple, un rôle attribué au niveau de l’abonnement se cascade sur toutes les ressources de cet abonnement, tandis qu’un rôle attribué au niveau du groupe de ressources s’applique uniquement aux ressources au sein de ce groupe spécifique.
Pour plus d’informations sur les niveaux d’étendue, consultez Niveaux d’étendue.
Remarque
Laissez suffisamment de temps pour l’actualisation du cache Azure Resource Manager après les modifications de l’attribution de rôle.
Services Azure associés
Pour obtenir des informations sur les rôles et les autorisations pour d’autres services de mise en réseau Azure, consultez les articles suivants :
- Rôles et autorisations Azure Application Gateway
- Rôles et autorisations Azure ExpressRoute
- Rôles et autorisations du Pare-feu Azure
- Rôles et autorisations Azure Virtual WAN
- Rôles et autorisations des appliances virtuelles réseau (NVA) gérées
- Rôles et autorisations de passerelle VPN Azure