Oprávnění Azure RBAC pro službu Azure Private Link
Správa přístupu ke cloudovým prostředkům je důležitou funkcí pro každou organizaci. Řízení přístupu na základě role v Azure (Azure RBAC) spravuje přístup a provoz prostředků Azure.
K nasazení privátního koncového bodu nebo služby privátního propojení musí mít uživatel přiřazenou předdefinovanou roli, například:
Podrobnější přístup můžete poskytnout vytvořením vlastní role s oprávněními popsanými v následujících částech.
Důležité
Tento článek uvádí konkrétní oprávnění k vytvoření privátního koncového bodu nebo služby privátního propojení. Nezapomeňte přidat konkrétní oprávnění související se službou, ke které chcete udělit přístup prostřednictvím privátního propojení, jako je role Přispěvatel Microsoft.SQL pro Azure SQL. Další informace o předdefinovaných rolích najdete v tématu Access Control na základě rolí.
Microsoft.Network a konkrétní poskytovatel prostředků, který nasazujete, například Microsoft.Sql, musí být zaregistrované na úrovni předplatného:
Privátní koncový bod
V této části jsou uvedena podrobná oprávnění potřebná k nasazení privátního koncového bodu.
Akce | Popis |
---|---|
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Čtení prostředků pro skupinu prostředků |
Microsoft.Network/virtualNetworks/read | Přečtení definice virtuální sítě |
Microsoft.Network/virtualNetworks/subnets/read | Přečtení definice podsítě virtuální sítě |
Microsoft.Network/virtualNetworks/subnets/write | Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě. |
Microsoft.Network/virtualNetworks/subnets/join/action | Připojí se k virtuální síti. |
Microsoft.Network/privateEndpoints/read | Čtení prostředku privátního koncového bodu |
Microsoft.Network/privateEndpoints/write | Vytvoří nový privátní koncový bod nebo aktualizuje existující privátní koncový bod. |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Čtení dostupných prostředků privátních koncových bodů |
Tady je formát JSON výše uvedených oprávnění. Zadejte vlastní roleName, description a assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Služba Private Link
V této části jsou uvedena podrobná oprávnění potřebná k nasazení služby private link.
Akce | Popis |
---|---|
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Čtení prostředků pro skupinu prostředků |
Microsoft.Network/virtualNetworks/read | Přečtení definice virtuální sítě |
Microsoft.Network/virtualNetworks/subnets/read | Přečtení definice podsítě virtuální sítě |
Microsoft.Network/virtualNetworks/subnets/write | Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě. |
Microsoft.Network/privateLinkServices/read | Čtení prostředku služby private link |
Microsoft.Network/privateLinkServices/write | Vytvoří novou službu privátního propojení nebo aktualizuje stávající službu privátního propojení. |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Přečtení definice připojení privátního koncového bodu |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Vytvoří nové připojení privátního koncového bodu nebo aktualizuje stávající připojení privátního koncového bodu. |
Microsoft.Network/networkSecurityGroups/join/action | Připojí se ke skupině zabezpečení sítě. |
Microsoft.Network/loadBalancers/read | Čtení definice nástroje pro vyrovnávání zatížení |
Microsoft.Network/loadBalancers/write | Vytvoří nástroj pro vyrovnávání zatížení nebo aktualizuje existující nástroj pro vyrovnávání zatížení. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Schválení RBAC pro privátní koncový bod
Správce sítě obvykle vytvoří privátní koncový bod. V závislosti na vašich oprávněních řízení přístupu na základě role v Azure (RBAC) se privátní koncový bod, který vytvoříte, buď automaticky schválí k odesílání provozu do instance API Management, nebo vyžaduje, aby vlastník prostředku ručně schválil připojení.
Metoda schválení | Minimální oprávnění RBAC |
---|---|
Automaticky | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Ruční | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Další kroky
Další informace o službách privátního koncového bodu a privátního propojení ve službě Azure Private Link najdete tady: