Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Azure Firewall maakt gebruik van meerdere resources, zoals virtuele netwerken en IP-adressen, tijdens het maken en beheren van bewerkingen. Daarom is het essentieel om machtigingen voor alle betrokken resources te verifiëren tijdens deze bewerkingen.
Ingebouwde Azure-rollen
U kunt ervoor kiezen om ingebouwde Azure-rollen toe te wijzen aan een gebruiker, groep, service-principal of beheerde identiteit, zoals Inzender voor netwerken, die ondersteuning bieden voor alle vereiste machtigingen voor het maken van de gateway. Zie Stappen om een Azure-rol toe te wijzen voor meer informatie.
Aangepaste rollen
Als de ingebouwde rollen van Azure niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste rollen maken. Net als bij ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals binnen het bereik van beheergroepen, abonnementen en resourcegroepen. Voor meer informatie raadpleegt u Stappen voor het maken van een aangepaste rol.
Controleer uw aangepaste rolmachtigingen om ervoor te zorgen dat de service-principals en beheerde identiteiten van gebruikers die de Azure Firewall beheren, de benodigde machtigingen hebben om een goede werking te garanderen. Zie Een aangepaste rol bijwerken om eventuele ontbrekende machtigingen toe te voegen die hier worden vermeld.
Machtigingen
Afhankelijk van of u nieuwe resources maakt of bestaande resources gebruikt, voegt u de juiste machtigingen toe uit de volgende lijst voor Azure Firewall in een Hub-VNET:
| Bron | Status van de hulpmiddelen | Vereiste machtigingen voor Azure |
|---|---|---|
| Subnetwerk | Nieuwe maken | Microsoft.Network/virtualNetworks/subnetten/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnetwerk | Bestaande gebruiken | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-adressen | Nieuwe maken | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-adressen | Bestaande gebruiken | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | Nieuwe maken/bestaande bijwerken | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Als u een Azure Firewall in Azure Virtual WAN maakt, voegt u de volgende machtiging toe:
| Bron | Resourcestatus | Vereiste machtigingen voor Azure |
|---|---|---|
| virtualHubs | Nieuwe maken/bestaande bijwerken | Microsoft.Network/virtualHubs/read |
Zie Azure-machtigingen voor netwerk - en virtuele netwerkmachtigingen voor meer informatie.
Rollenbereik
In het proces van aangepaste roldefinitie kunt u een roltoewijzingsbereik opgeven op vier niveaus: beheergroep, abonnement, resourcegroep en resources. Als u toegang wilt verlenen, wijst u rollen toe aan gebruikers, groepen, service-principals of beheerde identiteiten voor een bepaald bereik.
Deze domeinen zijn gestructureerd in een ouder-kindrelatie, waarbij elk niveau van de hiërarchie het domein specifieker maakt. U kunt rollen toewijzen op elk van deze bereikniveaus en het niveau dat u selecteert, bepaalt hoe breed de rol wordt toegepast.
Een rol die op abonnementsniveau is toegewezen, kan bijvoorbeeld trapsgewijs worden toegepast op alle resources binnen dat abonnement, terwijl een rol die is toegewezen op het niveau van de resourcegroep alleen van toepassing is op resources binnen die specifieke groep. Meer informatie over bereikniveau. Raadpleeg Bereikniveaus voor meer informatie.
Aanvullende diensten
Als u rollen en machtigingen voor andere services wilt weergeven, raadpleegt u de volgende koppelingen:
Notitie
Geef voldoende tijd om de Azure Resource Manager-cache te vernieuwen nadat de roltoewijzing is gewijzigd.