Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Route Server memerlukan peran dan izin tertentu untuk membuat dan mengelola sumber daya yang mendasarnya. Artikel ini menjelaskan persyaratan kontrol akses berbasis peran (RBAC) Azure dan membantu Anda mengonfigurasi izin yang sesuai untuk organisasi Anda.
Gambaran Umum
Azure Route Server menggunakan beberapa sumber daya Azure yang mendasar selama operasi pembuatan dan manajemen. Karena dependensi ini, penting untuk memverifikasi bahwa pengguna, perwakilan layanan, dan identitas terkelola memiliki izin yang diperlukan pada semua sumber daya yang terlibat.
Memahami persyaratan izin ini membantu Anda:
- Merencanakan penugasan peran untuk penyebaran Route Server
- Memecahkan masalah terkait akses
- Menerapkan prinsip akses hak istimewa terkecil
- Membuat peran kustom yang disesuaikan dengan kebutuhan organisasi Anda
Peran bawaan Azure
Azure menyediakan peran bawaan yang menyertakan izin yang diperlukan untuk operasi Azure Route Server. Anda dapat menetapkan peran bawaan Azure ini kepada pengguna, grup, perwakilan layanan, atau identitas terkelola.
Peran Kontributor Jaringan
Peran bawaan Kontributor Jaringan menyediakan izin komprehensif untuk membuat dan mengelola sumber daya Azure Route Server. Peran ini mencakup semua izin yang diperlukan untuk:
- Membuat instans Route Server
- Pengelolaan konfigurasi BGP peering
- Mengonfigurasi pengaturan pertukaran rute
- Pemantauan dan pemecahan masalah
Untuk informasi tentang menetapkan peran, lihat Langkah-langkah untuk menetapkan peran Azure.
Peran kustom
Jika peran bawaan Azure tidak memenuhi persyaratan keamanan khusus organisasi Anda, Anda dapat membuat peran kustom. Peran kustom memungkinkan Anda menerapkan prinsip hak istimewa paling sedikit dengan hanya memberikan izin minimum yang diperlukan untuk tugas tertentu.
Anda dapat menetapkan peran kustom untuk pengguna, grup, dan perwakilan layanan di cakupan grup manajemen, langganan, dan grup sumber daya. Untuk panduan mendetail, lihat Langkah-langkah untuk membuat peran kustom.
Pertimbangan peran khusus
Saat membuat peran kustom untuk Azure Route Server:
- Pastikan pengguna, perwakilan layanan, dan identitas terkelola memiliki izin yang diperlukan yang tercantum di bagian Izin
- Menguji peran kustom di lingkungan pengembangan sebelum menyebarkan ke produksi
- Meninjau dan memperbarui izin peran kustom secara teratur saat fitur Azure Route Server berkembang
- Mendokumentasikan tujuan peran kustom dan penetapan izin untuk organisasi Anda
Untuk mengubah peran kustom yang ada, lihat Memperbarui peran kustom.
Izin
Azure Route Server memerlukan izin khusus tentang sumber daya Azure yang mendasar. Saat membuat atau memperbarui sumber daya berikut, pastikan izin yang sesuai ditetapkan:
Izin yang diperlukan menurut sumber daya
| Sumber daya | Izin Azure yang diperlukan |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/bergabung/aksi Microsoft.Network/virtualNetworks/subnets/gabung/tindakan |
Pertimbangan izin lainnya
- Alamat IP publik: Route Server memerlukan izin untuk membuat dan mengaitkan alamat IP publik
- Subnet jaringan virtual: Akses untuk bergabung dengan RouteServerSubnet sangat penting untuk penyebaran
Untuk informasi selengkapnya tentang izin jaringan Azure, lihat Izin Azure untuk izin Jaringan dan Jaringan virtual.
Cakupan penetapan peran
Saat menentukan peran kustom, Anda dapat menentukan cakupan penetapan peran di beberapa tingkat: grup manajemen, langganan, grup sumber daya, dan sumber daya individual. Untuk memberikan akses, tetapkan peran kepada pengguna, grup, perwakilan layanan, atau identitas terkelola pada cakupan yang sesuai.
Hierarki cakupan
Cakupan ini mengikuti struktur hubungan induk-anak, dengan setiap tingkat menyediakan kontrol akses yang lebih spesifik:
- Grup manajemen: Cakupan terluas, berlaku untuk beberapa langganan
- Langganan: Berlaku untuk semua sumber daya dalam langganan
- Grup sumber daya: Hanya berlaku untuk sumber daya dalam grup sumber daya tertentu
- Sumber daya: Cakupan paling spesifik, berlaku untuk sumber daya individual
Tingkat cakupan yang Anda pilih menentukan seberapa luas peran tersebut berlaku. Misalnya, peran yang ditetapkan di tingkat langganan berskala ke semua sumber daya dalam langganan tersebut, sementara peran yang ditetapkan di tingkat grup sumber daya hanya berlaku untuk sumber daya dalam grup tertentu tersebut.
Untuk informasi selengkapnya tentang tingkat cakupan, lihat Tingkat cakupan.
Catatan
Izinkan waktu yang memadai untuk cache Azure Resource Manager untuk di-refresh setelah perubahan penetapan peran.
Layanan Azure terkait
Untuk informasi peran dan izin untuk layanan jaringan Azure lainnya, lihat artikel berikut ini:
- Peran dan izin Azure Application Gateway
- Peran dan izin Azure ExpressRoute
- Peran dan izin Azure Firewall
- Peran dan izin Azure Virtual WAN
- Peran dan izin NVA yang dikelola
- Peran dan izin Azure VPN Gateway