Erstellen einer privaten Verbindung zum Verwalten von Azure-Ressourcen im Azure-Portal

  • Artikel

In diesem Artikel wird erläutert, wie Sie mit Azure Private Link den Zugriff für die Verwaltung von Ressourcen in Ihren Abonnements einschränken. Sie erfahren, wie Sie im Azure-Portal die Verwaltung von Ressourcen über einen privaten Zugriff einrichten.

Mithilfe privater Verbindungen können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste zugreifen. Wenn Sie private Verbindungen mit Azure Resource Manager-Vorgängen kombinieren, blockieren Sie die Verwaltung von Ressourcen durch Benutzer, die sich nicht am spezifischen Endpunkt befinden. Wenn ein böswilliger Benutzer Anmeldeinformationen für ein Konto in Ihrem Abonnement erlangt, kann dieser Benutzer die Ressourcen nur dann verwalten, wenn er sich an dem spezifischen Endpunkt befindet.

Eine private Verbindung bietet die folgende Sicherheitsvorteile:

  • Privater Zugriff: Benutzer können Ressourcen aus einem privaten Netzwerk über einen privaten Endpunkt verwalten.

Hinweis

Azure Kubernetes Service (AKS) unterstützt derzeit die Implementierung des privaten ARM-Endpunkts nicht.

Azure Bastion unterstützt keine privaten Links. Es wird empfohlen, eine private DNS-Zone für die Konfiguration privater Verbindungen und privater Endpunkte für die Ressourcenverwaltung zu verwenden, aber aufgrund der Überschneidung mit dem Namen „management.azure.com“ funktioniert Ihre Bastion-Instanz nicht mehr. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Bastion.

Informationen zur Architektur

Wichtig

Für dieses Release können Sie den Verwaltungszugriff für private Verbindungen nur auf der Ebene der Stammverwaltungsgruppe anwenden. Diese Einschränkung bedeutet, dass der Zugriff über private Verbindungen mandantenweit angewendet wird.

Es gibt zwei Ressourcentypen, die Sie beim Implementieren der Verwaltung über eine private Verbindung verwenden.

  • Private Ressourcenmanagementverbindung (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Zuordnung der privaten Verbindung (Microsoft.Authorization/privateLinkAssociations)

Die folgende Abbildung zeigt, wie Sie eine Lösung erstellen, die den Zugriff auf die Ressourcenverwaltung einschränkt.

Diagramm mit privater Ressourcenmanagementverbindung

Die Zuordnung der privaten Verbindung erweitert die Stammverwaltungsgruppe. Die Zuordnung der privaten Verbindung und die privaten Endpunkte verweisen auf die private Ressourcenmanagementverbindung.

Wichtig

Konten mit mehreren Mandanten werden derzeit nicht für die Verwaltung von Ressourcen über eine private Verbindung unterstützt. Sie können Zuordnungen privater Verbindungen auf verschiedenen Mandanten nicht mit einer einzelnen privaten Ressourcenmanagementverbindung verbinden.

Wenn Ihr Konto auf mehr als einen Mandanten zugreift, definieren Sie nur eine private Verbindung für einen Mandanten.

Workflow

Um eine private Verbindung für Ressourcen einzurichten, führen Sie die folgenden Schritte durch. Die Schritte werden weiter unten in diesem Artikel ausführlicher beschrieben.

  1. Erstellen Sie die private Ressourcenmanagementverbindung.
  2. Erstellen Sie eine Zuordnung der privaten Verbindung. Die Zuordnung der privaten Verbindung erweitert die Stammverwaltungsgruppe. Außerdem verweist sie auf die Ressourcen-ID für die private Ressourcenmanagementverbindung.
  3. Fügen Sie einen privaten Endpunkt hinzu, der auf die private Ressourcenmanagementverbindung verweist.

Nach Abschluss dieser Schritte können Sie Azure-Ressourcen innerhalb der Hierarchie des Bereichs verwalten. Sie verwenden einen privaten Endpunkt, der mit dem Subnetz verbunden ist.

Sie können den Zugriff auf die private Verbindung überwachen. Weitere Informationen finden Sie unter Protokollierung und Überwachung.

Erforderliche Berechtigungen

Wichtig

Für dieses Release können Sie den Verwaltungszugriff für private Verbindungen nur auf der Ebene der Stammverwaltungsgruppe anwenden. Diese Einschränkung bedeutet, dass der Zugriff über private Verbindungen mandantenweit angewendet wird.

Um die private Verbindung für die Ressourcenverwaltung einzurichten, benötigen Sie den folgenden Zugriff:

  • Abonnementbesitzer. Dieser Zugriff ist erforderlich, um eine private Ressourcenmanagementverbindung zu erstellen.
  • Besitzer oder Mitwirkender in der Stammverwaltungsgruppe. Dieser Zugriff ist erforderlich, um die Zuordnungsressource für die private Verbindung zu erstellen.
  • Der globale Administrator für die Microsoft Entra ID-Instanz ist nicht automatisch zum Zuweisen von Rollen in der Stammverwaltungsgruppe berechtigt. Um das Erstellen privater Ressourcenmanagementverbindungen zu ermöglichen, muss der globale Administrator über die Berechtigung zum Lesen der Stammverwaltungsgruppe und zum Erweitern der Zugriffsrechte verfügen, damit er für alle Abonnements und Verwaltungsgruppen im Mandanten die Berechtigung eines Benutzerzugriffsadministrators besitzt. Nachdem der globale Administrator die Berechtigung „Benutzerzugriffsadministrator“ erhalten hat, muss er dem Benutzer, der die Zuordnung der privaten Verbindung erstellt, die Berechtigung „Besitzer“ oder „Mitwirkender“ für die Stammverwaltungsgruppe erteilen.

Wenn Sie eine private Verbindung zur Verwaltung von Ressourcen erstellen, wird diese automatisch zugeordnet.

  1. Suchen Sie im Azure-Portal nach Private Ressourcenmanagementverbindungen, und wählen Sie die Option aus.

    Screenshot: Suchleiste im Azure-Portal mit dem eingegebenen Suchbegriff „Ressourcenverwaltung“.

  2. Wenn Ihr Abonnement noch keine privaten Verbindungen zur Ressourcenverwaltung enthält, wird eine leere Seite angezeigt. Klicken Sie auf Private Ressourcenmanagementverbindung erstellen.

    Screenshot: Azure-Portal mit der Schaltfläche „Private Ressourcenmanagementverbindung erstellen“.

  3. Geben Sie Werte für die neue private Verbindung zur Ressourcenverwaltung an. Die Stammverwaltungsgruppe für das ausgewählte Verzeichnis wird für die neue Ressource verwendet. Klicken Sie auf Überprüfen + erstellen.

    Screenshot: Azure-Portal mit Feldern zur Angabe von Werten für die neue private Ressourcenmanagementverbindung.

  4. Wenn die Überprüfung erfolgreich war, wählen Sie Erstellen aus.

Erstellen eines privaten Endpunkts

Erstellen Sie nun einen privaten Endpunkt, der auf die private Ressourcenmanagementverbindung verweist.

  1. Navigieren Sie zum Private Link Center. Wählen Sie Privaten Endpunkt erstellen aus.

    Screenshot:Private Link Center im Azure-Portal mit hervorgehobener Option „Privaten Endpunkt erstellen“.

  2. Geben Sie auf der Registerkarte Grundlagen Werte für Ihren privaten Endpunkt an.

    Screenshot: Registerkarte „Grundlagen“ im Azure-Portal mit Feldern zur Angabe von Werten für den privaten Endpunkt.

  3. Wählen Sie auf der Registerkarte Ressource die Option Verbindung mit einer Azure-Ressource in meinem Verzeichnis herstellen aus. Wählen Sie als Ressourcentyp die Option Microsoft.Authorization/resourceManagementPrivateLinks aus. Wählen Sie als untergeordnete Zielressource die Option ResourceManagement aus.

    Screenshot: Registerkarte „Ressource“ im Azure-Portal mit Feldern zur Auswahl des Ressourcentyps und der Zielunterressource für den privaten Endpunkt.

  4. Wählen Sie auf der Registerkarte Konfiguration Ihr virtuelles Netzwerk aus. Es wird empfohlen, eine Integration mit einer privaten DNS-Zone auszuführen. Klicken Sie auf Überprüfen + erstellen.

  5. Wenn die Überprüfung erfolgreich war, wählen Sie Erstellen aus.

Überprüfen der privaten DNS-Zone

Überprüfen Sie die lokale IP-Adresse für die DNS-Zone, um sicherzustellen, dass Ihre Umgebung ordnungsgemäß konfiguriert ist.

  1. Wählen Sie in der Ressourcengruppe, in der Sie den privaten Endpunkt bereitgestellt haben, die Ressource der privaten DNS-Zone mit dem Namen privatelink.azure.com aus.

  2. Vergewissern Sie sich, dass die Datensatzgruppe mit dem Namen management über eine gültige lokale IP-Adresse verfügt.

    Screenshot: Im Azure-Portal wird die private DNS-Zonenressource mit dem Ressourceneintragssatz namens „management“ und der lokalen IP-Adresse angezeigt.

Nächste Schritte

Weitere Informationen zu privaten Verbindungen finden Sie unter Azure Private Link.