Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall verwendet mehrere Ressourcen, z. B. virtuelle Netzwerke und IP-Adressen, während der Erstellungs- und Verwaltungsvorgänge. Aufgrund dieser Abhängigkeit müssen Sie berechtigungen für alle beteiligten Ressourcen während dieser Vorgänge überprüfen.
Integrierte Azure-Rollen
Weisen Sie Azure-integrierte Rollen einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität zu, z. B. Netzwerkbeitragender, die alle erforderlichen Berechtigungen zum Erstellen des Gateways bietet. Weitere Informationen finden Sie unter Schritte zur Zuweisung einer Azure-Rolle.
Benutzerdefinierte Rollen
Wenn die integrierten Azure-Rollen nicht den spezifischen Anforderungen Ihrer Organisation entsprechen, erstellen Sie eigene benutzerdefinierte Rollen. Ähnlich wie bei integrierten Rollen weisen Sie Benutzern, Gruppen und Dienstprinzipalen benutzerdefinierte Rollen auf den Ebenen der Verwaltungsgruppen, Abonnements und Ressourcengruppen zu. Weitere Informationen finden Sie unter Schritte zum Erstellen einer benutzerdefinierten Rolle.
Um die ordnungsgemäße Funktionalität sicherzustellen, überprüfen Sie Ihre benutzerdefinierten Rollenberechtigungen, um Benutzerdienstprinzipale und verwaltete Identitäten zu bestätigen, die die Azure Firewall betreiben, über die erforderlichen Berechtigungen verfügen. Weitere Informationen zum Hinzufügen fehlender Berechtigungen, die hier aufgeführt sind, finden Sie unter Aktualisieren einer benutzerdefinierten Rolle.
Berechtigungen
Je nachdem, ob Sie neue Ressourcen erstellen oder vorhandene Ressourcen verwenden, fügen Sie die entsprechenden Berechtigungen aus der folgenden Liste für Azure Firewall in einem virtuellen Hubnetzwerk hinzu:
| Ressource | Ressourcenstatus | Erforderliche Azure-Berechtigungen |
|---|---|---|
| Teilnetz | Neu erstellen | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Teilnetz | Vorhandenes verwenden | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP-Adressen | Neu erstellen | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP-Adressen | Vorhandenes verwenden | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| Azure Firewall | Erstellen einer neuen oder Aktualisieren einer vorhandenen | Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualHubs/read |
Wenn Sie eine Azure-Firewall in Azure Virtual WAN erstellen, fügen Sie die folgende Berechtigung hinzu:
| Ressource | Ressourcenstatus | Erforderliche Azure-Berechtigungen |
|---|---|---|
| virtualHubs | Neue erstellen/Vorhandene aktualisieren | Microsoft.Network/virtualHubs/read |
Weitere Informationen finden Sie unter Azure-Berechtigungen für Netzwerke und VNet-Berechtigungen.
Geltungsbereich von Rollen
Wenn Sie eine benutzerdefinierte Rolle erstellen, geben Sie einen Rollenzuweisungsbereich auf einer von vier Ebenen an: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource. Um Zugriff zu gewähren, weisen Sie Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten in einem bestimmten Bereich Rollen zu.
Diese Scopes sind in einer Eltern-Kind-Beziehung strukturiert, wobei jede Hierarchieebene den Scope weiter konkretisiert. Sie können Rollen auf einer dieser Ebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie weiträumig die Rolle angewandt wird.
Beispielsweise kann eine auf Abonnementebene zugewiesene Rolle auf alle Ressourcen innerhalb dieses Abonnements überlappen, während eine rolle, die auf Ressourcengruppenebene zugewiesen ist, nur für Ressourcen innerhalb dieser bestimmten Gruppe gilt. Weitere Informationen finden Sie unter Bereichsebenen.
Weitere Dienste
Informationen zu Rollen und Berechtigungen für andere Dienste finden Sie unter den folgenden Links:
Hinweis
Nachdem Sie Rollenzuweisungen geändert haben, können Sie genügend Zeit für den Azure Resource Manager-Cache zum Aktualisieren zulassen.
Nächste Schritte
Was ist azure Role Based AccessAzure Role Based Access Control