Informacje o rolach i uprawnieniach dla usługi Azure Route Server
Usługa Azure Route Server korzysta z wielu zasobów bazowych podczas operacji tworzenia i zarządzania. W związku z tym niezbędne jest zweryfikowanie uprawnień do wszystkich potrzebnych zasobów podczas wykonywania tych operacji.
Możesz przypisać wbudowane role platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej, takiej jak Współautor sieci, który obsługuje wszystkie wymagane uprawnienia do tworzenia bramy. Aby uzyskać więcej informacji, zobacz Kroki, które należy wykonać, aby przypisać role platformy Azure.
Jeśli wbudowane role platformy Azure nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe kontroli dostępu na podstawie ról. Podobnie jak w przypadku ról wbudowanych, można przypisywać role niestandardowe do użytkowników, grup i jednostek usługi w zakresach grup zarządzania, subskrypcji i grup zasobów. Aby uzyskać więcej informacji, zapoznaj się z artykułem Kroki tworzenia roli niestandardowej.
Aby zapewnić odpowiednią funkcjonalność, sprawdź uprawnienia roli niestandardowej w celu potwierdzenia, że jednostki usługi użytkownika i zarządzane tożsamości wchodzące w interakcje z serwerem Route Server posiadają niezbędne uprawnienia. Aby dodać wszystkie brakujące uprawnienia wymienione tutaj, zapoznaj się z artykułem Aktualizowanie roli niestandardowej.
Podczas tworzenia lub aktualizowania poniższych zasobów dodaj odpowiednie uprawnienia z poniższej listy:
Zasób | Wymagane uprawnienia platformy Azure |
---|---|
virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
Aby uzyskać więcej informacji, zobacz Uprawnienia platformy Azure dotyczące uprawnień sieci i sieci wirtualnej.
W procesie niestandardowej definicji roli można określić zakres przypisania roli na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasoby. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie.
Te zakresy są ustrukturyzowane w relacji nadrzędny-podrzędny, z każdym poziomem hierarchii, dzięki czemu zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu, a wybrany poziom określa, jak szeroko jest stosowana rola.
Na przykład rola przypisana na poziomie subskrypcji może być kaskadowa do wszystkich zasobów w ramach tej subskrypcji, podczas gdy rola przypisana na poziomie grupy zasobów będzie miała zastosowanie tylko do zasobów w ramach tej konkretnej grupy. Dowiedz się więcej o poziomie zakresu Aby uzyskać więcej informacji, zobacz Poziomy zakresu.
Uwaga
Zezwalaj na wystarczającą ilość czasu na odświeżenie pamięci podręcznej usługi Azure Resource Manager po zmianie przypisania roli.
Aby wyświetlić role i uprawnienia dla innych usług, zobacz następujące linki: