استخدام المدخل لإنشاء ارتباط خاص لإدارة موارد Azure

  • مقالة

توضح هذه المقالة كيفية استخدام رابط خاص لـAzure لتقييد الوصول لإدارة الموارد في الاشتراكات الخاصة بك. يظهر استخدام مدخل Microsoft Azure لإعداد إدارة الموارد من خلال الوصول الخاص.

تمكنك الارتباطات الخاصة من الوصول إلى خدمات Azure عبر نقطة نهاية خاصة في الشبكة الظاهرية. عند دمج الارتباطات الخاصة مع عمليات إدارة موارد Azure، فإنك تمنع المستخدمين الذين ليسوا في نقطة النهاية المحددة من إدارة الموارد. إذا حصل مستخدم ضار على بيانات اعتماد لحساب في اشتراكك، فلن يتمكن هذا المستخدم من إدارة الموارد دون أن يكون عند نقطة النهاية المحددة.

يوفر الارتباط الخاص المزايا التالية:

  • الوصول الخاص - يمكن للمستخدمين إدارة الموارد من شبكة خاصة عبر نقطة نهاية خاصة.

إشعار

لا تدعم خدمة Azure Kubernetes (AKS) حاليًا تطبيق نقطة النهاية الخاصة لـ ARM.

لا يدعم Azure Bastion الارتباطات الخاصة. يوصى باستخدام منطقة DNS خاصة لتكوين نقطة النهاية الخاصة للرابط الخاص لإدارة الموارد، ولكن نظرًا للتداخل مع اسم management.azure.com، سيتوقف مثيل Bastion عن العمل. لمزيد من المعلومات، اعرض الأسئلة المتداولة لـ Azure Bastion.

فهم البنية

هام

في هذا الإصدار، يمكنك فقط تطبيق الوصول إلى إدارة الارتباطات الخاصة على مستوى مجموعة إدارة الجذر. ويعني هذا التقييد تطبيق الوصول إلى الارتباط الخاص عبر المستأجر.

هناك نوعان من الموارد ستستخدمهما عند تنفيذ الإدارة من خلال ارتباط خاص.

  • ارتباط خاص لإدارة الموارد (Microsoft.Authorization/resourceManagementPrivateLinks)
  • اقتران الارتباطات الخاصة (Microsoft.Authorization/privateLinkAssociations)

توضح الصورة التالية كيفية إنشاء حل يقيد الوصول لإدارة الموارد.

مخطط ارتباط خاص بإدارة الموارد

مد اقتران الارتباط الخاص لمجموعة إدارة الجذر. يشير اقتران الارتباط الخاص ونقاط النهاية الخاصة إلى الارتباط الخاص بإدارة الموارد.

هام

الحسابات متعددة المستأجرين غير مدعومة حالياً لإدارة الموارد من خلال ارتباط خاص. لا يمكنك ربط جمعيات الارتباط الخاصة على مستأجرين مختلفين برابط خاص لإدارة مورد واحد.

إذا كان حسابك يصل إلى أكثر من مستأجر واحد، فحدد رابطاً خاصاً لواحد منهم فقط.

‏‏سير العمل‬

لإعداد ارتباط خاص للموارد، اتبع الخطوات التالية. تُوصف الخطوات بمزيدٍ من التفصيل لاحقًا في هذه المقالة.

  1. إنشاء ارتباط خاص لإدارة الموارد.
  2. قم بإنشاء اقتران ارتباط خاص. مد اقتران الارتباط الخاص لمجموعة إدارة الجذر. كما يشير إلى معرّف المورد للارتباط الخاص بإدارة الموارد.
  3. قم بإضافة نقطة نهاية خاصة تشير إلى الارتباط الخاص بإدارة الموارد.

بعد الانتهاء من هذه الخطوات، يمكنك إدارة موارد Azure الموجودة ضمن التسلسل الهرمي للنطاق. يمكنك استخدام نقطة نهاية خاصة متصل بالشبكة الفرعية.

يمكنك مراقبة الوصول إلى الارتباط الخاص. لمزيد من المعلومات، راجع التسجيل والمراقبة.

الأذونات المطلوبة

هام

في هذا الإصدار، يمكنك فقط تطبيق الوصول إلى إدارة الارتباطات الخاصة على مستوى مجموعة إدارة الجذر. ويعني هذا التقييد تطبيق الوصول إلى الارتباط الخاص عبر المستأجر.

لإعداد الارتباط الخاص لإدارة الموارد، تحتاج إلى الوصول التالي:

  • المالك في الاشتراك. إن ذلك الوصول مطلوب لإنشاء مورد ارتباط خاص بإدارة الموارد.
  • المالك أو المساهم في مجموعة إدارة الجذر. إن هذا الوصول مطلوب لإنشاء مورد اقتران الارتباط الخاص.
  • لا يملك مسؤول istrator العمومي لمعرف Microsoft Entra الإذن تلقائيا لتعيين الأدوار في مجموعة إدارة الجذر. لتمكين إنشاء ارتباطات خاصة بإدارة الموارد، يجب أن يكون لدى المسؤول العام الإذن لقراءة مجموعة إدارة الجذر ورفع مستوى الوصول إلى إذن «مسؤول وصول المستخدم» على جميع الاشتراكات ومجموعات الإدارة في المستأجر. بعد حصولك على إذن «مسؤول وصول المستخدم»، يجب على المسؤول العام منح المالك أو المساهم إذنًا في مجموعة إدارة الجذر للمستخدم الذي يقوم بإنشاء اقتران الارتباط الخاص.

عند «Create» رابط خاص بإدارة الموارد، يتم إنشاء رابط خاص تلقائيًا لك.

  1. في «مدخل Microsoft Azure »، ابحث عن «روابط إدارة الموارد الخاصة» وحددها من الخيارات المتاحة.

    لقطة شاشة لشريط بحث مدخل Microsoft Azure مع إدخال

  2. إذا لم يكن لاشتراكك روابط خاصة بإدارة الموارد، فسترى صفحة فارغة. حدد «Create» رابط خاص بإدارة الموارد.

    لقطة شاشة لمدخل Azure تعرض زر

  3. توفير قيم الارتباط الخاص بإدارة الموارد الجديدة. يتم استخدام مجموعة إدارة الجذر للدليل الذي حددته للمورد الجديد. حدد "Review + create".

    لقطة شاشة لمدخل Azure مع حقول لتوفير قيم للارتباط الخاص لإدارة الموارد الجديدة.

  4. بعد تجاوز التحقق من الصحة، حدد إنشاء.

إنشاء نقطة نهاية خاصة

الآن، قم بإنشاء «create» نقطة نهاية خاصة تشير إلى الارتباط الخاص بإدارة الموارد.

  1. انتقل إلى مركز رابط خاص. حدد«Create» نقطة نهاية خاصة.

    لقطة شاشة لمركز الارتباط الخاص لمدخل Microsoft Azure مع تمييز

  2. في علامة التبويب «Basics»، قم بتوفير القيم لنقطة النهاية الخاصة بك.

    لقطة شاشة لمدخل Azure تعرض علامة التبويب

  3. في علامة التبويب «Resource»، حدد «Connect» بمورد Azure في الدليل الخاص بي. لنوع المورد، «select «Microsoft.Authorization/resourceManagementPrivateLinks. بالنسبة للموارد الفرعية المستهدفة، «select»ResourceManagement.

    لقطة شاشة لمدخل Azure تعرض علامة التبويب

  4. في علامة التبويب «Configuration»، حدد «select» الشبكة الافتراضية. نوصي بالتكامل مع منطقة DNS الخاصة. حدد "Review + create".

  5. بعد تجاوز التحقق من الصحة، حدد إنشاء.

تحقق من منطقة DNS الخاصة

للتأكد من تكوين البيئة بشكل صحيح، تحقق من عنوان IP المحلي لمنطقة DNS.

  1. في مجموعة الموارد حيث قمت بنشر نقطة النهاية الخاصة، حدد مورد منطقة DNS الخاصة يسمى « privatelink.azure.com».

  2. تحقق من أن مجموعة السجلات المسماة بالإدارة لها عنوان IP محلي صالح.

    لقطة شاشة لمدخل Azure تعرض مورد منطقة DNS الخاص مع مجموعة السجلات المسماة

الخطوات التالية

للحصول على مزيد من المعلومات حول الروابط الخاصة، راجع رابط Azure الخاص.