Permisos de Azure RBAC para Azure Private Link
La administración del acceso de los recursos en la nube es una función importantísima para cualquier organización. El control de acceso basado en rol de Azure (Azure RBAC) administra el acceso a los recursos de Azure y las operaciones de estos recursos.
Para implementar un punto de conexión privado o un servicio de vínculo privado, un usuario debe tener asignado un rol integrado como:
Puede proporcionar acceso más pormenorizado mediante la creación de un rol personalizado con los permisos descritos en las secciones siguientes.
Importante
En este artículo se enumeran los permisos específicos para crear un punto de conexión privado o un servicio de vínculo privado. Asegúrese de agregar los permisos específicos relacionados con el servicio al que desea conceder acceso a través de un vínculo privado, como Rol de colaborador de Microsoft.SQL para Azure SQL. Para más información sobre los roles integrados, consulte Control de acceso basado en rol.
Microsoft.Network y el proveedor de recursos específico que va a implementar, por ejemplo, Microsoft.Sql, deben estar registrados en el nivel de suscripción:
Punto de conexión privado
En esta sección se enumeran los permisos granulares necesarios para implementar un punto de conexión privado, administrar directivas de subred de punto de conexión privado e implementar recursos dependientes
| Acción | Descripción |
|---|---|
| Microsoft.Resources/deployments/* | Creación y administración de una implementación |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leer los recursos del grupo de recursos. |
| Microsoft.Network/virtualNetworks/read | Leer la definición de red virtual. |
| Microsoft.Network/virtualNetworks/subnets/read | Leer una definición de subred de red virtual. |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subred de red virtual o actualiza una que ya existe. No es necesario explícitamente para implementar un punto de conexión privado, pero necesario para administrar directivas de subred de punto de conexión privado |
| Microsoft.Network/virtualNetworks/subnets/join/action | Permitir que un punto de conexión privado se una a una red virtual |
| Microsoft.Network/privateEndpoints/read | Leer un recurso de punto de conexión privado. |
| Microsoft.Network/privateEndpoints/write | Crear un punto de conexión privado o actualizar uno ya existente. |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Leer los recursos de punto de conexión privado disponibles. |
Este es el formato JSON de los permisos anteriores. Introduzca sus propios valores de roleName, description y assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Servicio Private Link
En esta sección se enumeran los permisos pormenorizados necesarios para implementar un servicio de vínculo privado, administrar directivas de subred del servicio vínculo privado e implementar recursos dependientes
| Acción | Descripción |
|---|---|
| Microsoft.Resources/deployments/* | Creación y administración de una implementación |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leer los recursos del grupo de recursos. |
| Microsoft.Network/virtualNetworks/read | Leer la definición de red virtual. |
| Microsoft.Network/virtualNetworks/subnets/read | Leer una definición de subred de red virtual. |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subred de red virtual o actualiza una que ya existe. No es necesario explícitamente para implementar un servicio de vínculo privado, pero necesario para administrar directivas de subred de vínculo privado |
| Microsoft.Network/privateLinkServices/read | Leer un recurso de servicio de vínculo privado. |
| Microsoft.Network/privateLinkServices/write | Crear un servicio de vínculo privado o actualizar uno ya existente. |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Leer una definición de conexión de punto de conexión privado. |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Crear una conexión de punto de conexión privado o actualizar una ya existente. |
| Microsoft.Network/networkSecurityGroups/join/action | Se une a un grupo de seguridad de red |
| Microsoft.Network/loadBalancers/read | Leer una definición de equilibrador de carga. |
| Microsoft.Network/loadBalancers/write | Crea un equilibrador de carga o actualiza uno que ya existe |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
RBAC de aprobación para el punto de conexión privado
Normalmente un administrador de red crea un punto de conexión privado. En función de los permisos del control de acceso basado en rol (RBAC) de Azure, el punto de conexión privado que cree se aprueban automáticamente para enviar tráfico a la instancia de API Management o necesitan que el propietario apruebe manualmente la conexión.
| Método de aprobación | Permisos mínimos de RBAC |
|---|---|
| Automático | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
| Manual | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Pasos siguientes
Para más información sobre los servicios de punto de conexión privado y vínculo privado en Azure Private Link, consulte: