Azure RBAC-Berechtigungen für Azure Private Link
Die Zugriffsverwaltung für Cloudressourcen ist eine wichtige Funktion für jede Organisation. Mit der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) wird der Zugriff auf und Betrieb von Azure-Ressourcen verwaltet.
Zum Bereitstellen eines privaten Endpunkts oder Private Link-Diensts muss einem Benutzer eine integrierte Rolle zugewiesen sein, z. B.:
Sie können einen präziseren Zugriff bereitstellen, indem Sie eine benutzerdefinierte Rolle mit den in den folgenden Abschnitten beschriebenen Berechtigungen erstellen.
Wichtig
In diesem Artikel werden die spezifischen Berechtigungen zum Erstellen eines privaten Endpunkts oder Private Link-Diensts aufgeführt. Stellen Sie sicher, dass Sie die spezifischen Berechtigungen für den Dienst hinzufügen, dem Sie Zugriff über Private Link gewähren möchten, z. B. Microsoft. SQL Rolle „Mitwirkender“ für Azure SQL. Weitere Informationen zu integrierten Rollen finden Sie im Artikel über die rollenbasierte Zugriffssteuerung in Azure.
Microsoft.Network und der spezifische Ressourcenanbieter, den Sie bereitstellen, z. B. Microsoft.Sql, müssen auf Abonnementebene registriert werden:
Privater Endpunkt
In diesem Abschnitt werden die detaillierten Berechtigungen aufgeführt, die zum Bereitstellen eines privaten Endpunkts erforderlich sind.
Aktion | BESCHREIBUNG |
---|---|
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Liest die Ressourcen für die Ressourcengruppe |
Microsoft.Network/virtualNetworks/read | Liest die Definition des virtuellen Netzwerks |
Microsoft.Network/virtualNetworks/subnets/read | Liest eine Subnetzdefinition für virtuelle Netzwerke aus |
Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. |
Microsoft.Network/privateEndpoints/read | Liest eine private Endpunktressource |
Microsoft.Network/privateEndpoints/write | Erstellt einen neuen privaten Endpunkt oder aktualisiert einen vorhandenen privaten Endpunkt |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Liest die verfügbaren privaten Endpunktressourcen |
Hier ist das JSON-Format der oben genannten Berechtigungen angegeben. Geben Sie Ihren eigenen roleName, description und assignableScopes ein:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Private Link-Dienst
In diesem Abschnitt werden die detaillierten Berechtigungen aufgeführt, die zum Bereitstellen eines Private Link-Diensts erforderlich sind.
Aktion | BESCHREIBUNG |
---|---|
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Liest die Ressourcen für die Ressourcengruppe |
Microsoft.Network/virtualNetworks/read | Liest die Definition des virtuellen Netzwerks |
Microsoft.Network/virtualNetworks/subnets/read | Liest eine Subnetzdefinition für virtuelle Netzwerke aus |
Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
Microsoft.Network/privateLinkServices/read | Liest eine Private Link-Dienstressource |
Microsoft.Network/privateLinkServices/write | Erstellt einen neuen Private Link-Dienst oder aktualisiert einen vorhandenen Private Link-Dienst. |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Liest die Definition einer privaten Endpunktverbindung |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Erstellt eine neue private Endpunktverbindung oder aktualisiert eine vorhandene private Endpunktverbindung |
Microsoft.Network/networkSecurityGroups/join/action | Verknüpft eine Netzwerksicherheitsgruppe. |
Microsoft.Network/loadBalancers/read | Liest eine Lastenausgleichsdefinition |
Microsoft.Network/loadBalancers/write | Erstellt einen Lastenausgleich oder aktualisiert einen vorhandenen Lastenausgleich. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Rollenbasierte Zugriffssteuerung (RBAC) für private Endpunkte genehmigen
In der Regel werden private Endpunkte von einem Netzwerkadministrator erstellt. Abhängig von den über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure erteilten Berechtigungen wird ein von Ihnen erstellter privater Endpunkt entweder automatisch genehmigt, sodass er Datenverkehr an die API Management-Instanz senden kann, oder der Ressourcenbesitzer muss die Verbindung manuell genehmigen.
Genehmigungsmethode | RBAC-Mindestberechtigungen |
---|---|
Automatic | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Manuell | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Nächste Schritte
Weitere Informationen zu privaten Endpunkten und Private Link-Diensten in Azure Private Link finden Sie unter: