Uso del portal para crear un vínculo privado para administrar recursos

  • Artículo

En este artículo se explica cómo usar Azure Private Link para restringir el acceso a fin de administrar los recursos de las suscripciones. En él se muestra el uso de Azure Portal para configurar la administración de los recursos por medio del acceso privado.

Los vínculos privados permiten acceder a los servicios de Azure a través de un punto de conexión privado en la red virtual. Al combinar los vínculos privados con las operaciones de Azure Resource Manager, se bloquea a los usuarios que no están en el punto de conexión específico para la administración de recursos. Si un usuario malintencionado obtiene las credenciales de una cuenta de la suscripción, este no podrá administrar los recursos si no está en el punto de conexión específico.

Un vínculo privado proporciona las ventajas de seguridad siguientes:

  • Acceso privado: los usuarios pueden administrar recursos desde una red privada a través de un punto de conexión privado.

Nota:

Azure Kubernetes Service (AKS) no admite actualmente la implementación del punto de conexión privado de ARM.

Azure Bastion no admite vínculos privados. Se recomienda usar una zona DNS privada para la configuración del punto de conexión privado del vínculo privado de administración de recursos, pero debido a la superposición con el nombre management.azure.com, la instancia de Bastion dejará de funcionar. Para más información, consulte las Preguntas frecuentes sobre Azure Bastion.

Descripción de la arquitectura

Importante

Para esta versión, solo puede aplicar el acceso de administración de vínculos privados en el nivel del grupo de administración raíz. Esta limitación significa que el acceso al vínculo privado se aplica en todo el inquilino.

Hay dos tipos de recursos que se usan al implementar la administración a través de un vínculo privado.

  • Vínculo privado de administración de recursos (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Asociación de vínculo privado (Microsoft.Authorization/privateLinkAssociations)

En la imagen siguiente se muestra cómo crear una solución que restrinja el acceso para la administración de recursos.

Diagrama del vínculo privado de administración de recursos

La asociación de vínculo privado extiende el grupo de administración raíz. La asociación de vínculo privado y los puntos de conexión privados hacen referencia al vínculo privado de administración de recursos.

Importante

Actualmente no se admiten las cuentas multiinquilino para administrar recursos a través de un vínculo privado. No se pueden conectar asociaciones de vínculo privado en distintos inquilinos a un único vínculo privado de administración de recursos.

Si la cuenta tiene acceso a más de un inquilino, defina un vínculo privado solo para uno de ellos.

Flujo de trabajo

Para configurar un vínculo privado de los recursos, siga estos pasos. Los pasos se describen con más detalle posteriormente en este artículo.

  1. Cree el vínculo privado de administración de recursos.
  2. Cree una asociación de vínculo privado. La asociación de vínculo privado extiende el grupo de administración raíz. También hace referencia al identificador de recurso para el vínculo privado de administración de recursos.
  3. Agregue un punto de conexión privado que haga referencia al vínculo privado de administración de recursos.

Después de completar esos pasos, puede administrar los recursos de Azure que se encuentren en la jerarquía del ámbito. Use un punto de conexión privado que esté conectado a la subred.

Puede supervisar el acceso al vínculo privado. Para obtener más información, vea el documento sobre supervisión y registro.

Permisos necesarios

Importante

Para esta versión, solo puede aplicar el acceso de administración de vínculos privados en el nivel del grupo de administración raíz. Esta limitación significa que el acceso al vínculo privado se aplica en todo el inquilino.

Si quiere configurar el vínculo privado para la administración de recursos, debe tener el tipo de acceso siguiente:

  • Propietario de la suscripción. Este acceso es necesario para crear un recurso de vínculo privado de administración de recursos.
  • Propietario o Colaborador en el grupo de administración raíz. Este acceso es necesario para crear el recurso de asociación de vínculo privado.
  • El administrador global de Microsoft Entra ID no tiene permiso de forma automática para asignar roles en el grupo de administración raíz. Para habilitar la creación de vínculos privados de administración de recursos, el Administrador global debe tener permiso para leer el grupo de administración raíz y elevar el acceso para tener permiso de Administrador de acceso de usuario en todas las suscripciones y grupos de administración del inquilino. Después de obtener el permiso de Administrador de acceso de usuario, el Administrador global debe conceder el permiso de Propietario o Colaborador en el grupo de administración raíz al usuario que crea la asociación de vínculo privado.

Al crear un vínculo privado de administración de recursos, la asociación del vínculo privado se crea automáticamente.

  1. En el portal, busque la opción Vínculos privados de administración de recursos y selecciónela entre las disponibles.

    Captura de pantalla de la barra de búsqueda de Azure Portal con

  2. Si la suscripción aún no tiene vínculos privados de administración de recursos, aparece una página en blanco. Seleccione Crear vínculo privado de administración de recursos.

    Captura de pantalla de Azure Portal que muestra el botón

  3. Proporcione valores para el nuevo vínculo privado de administración de recursos. Se usa el grupo de administración raíz del directorio seleccionado para el nuevo recurso. Seleccione Revisar + crear.

    Captura de pantalla de Azure Portal con campos que proporcionan valores para el nuevo vínculo privado de administración de recursos.

  4. Una vez pasada la validación, seleccione Crear.

Creación de un punto de conexión privado

Ahora cree un punto de conexión privado que haga referencia al vínculo privado de administración de recursos.

  1. Vaya a Private Link Center. Seleccione Creación de un punto de conexión privado.

    Captura del Private Link Center de Azure Portal con

  2. En la pestaña Aspectos básicos, proporcione valores para el punto de conexión privado.

    Captura de pantalla de Azure Portal que muestra la pestaña

  3. Seleccione Conectarse a un recurso de Azure en mi directorio en la pestaña Recurso. En el tipo de recurso, seleccione Microsoft.Authorization/resourceManagementPrivateLinks. En el subrecurso de destino, seleccione ResourceManagement.

    Captura de pantalla de Azure Portal que muestra la pestaña

  4. En la pestaña Configuración, seleccione la red virtual. Se recomienda integrar con una zona DNS privada. Seleccione Revisar + crear.

  5. Una vez pasada la validación, seleccione Crear.

Verificación de una zona DNS privada

Para asegurarse de que el entorno se ha configurado correctamente, compruebe la dirección IP local de la zona DNS.

  1. En el grupo de recursos donde ha implementado el punto de conexión privado, seleccione el recurso de zona DNS privada denominado privatelink.azure.com.

  2. Compruebe que el conjunto de registros denominado management tiene una dirección IP local válida.

    Captura de pantalla de Azure Portal que muestra el recurso de zona DNS privado con el conjunto de registros llamado

Pasos siguientes

Para obtener más información sobre los puntos de conexión privados, vea Azure Private Link.