Partager via

Utiliser des API pour créer une liaison privée pour gérer les ressources Azure

  • Article

Cet article explique comment vous pouvez utiliser Azure Private Link pour limiter l’accès pour la gestion des ressources dans vos abonnements.

Les liaisons privées vous permettent d’accéder aux services Azure sur un point de terminaison privé de votre réseau virtuel. Lorsque vous combinez des liaisons privées avec des opérations d’Azure Resource Manager, vous empêchez les utilisateurs qui ne se trouvent pas sur le point de terminaison spécifique de gérer les ressources. Si un utilisateur malveillant obtient les informations d’identification d’un compte de votre abonnement, il ne peut pas gérer les ressources sans être sur le point de terminaison spécifique.

Une liaison privée procure les avantages de sécurité suivants :

  • Accès privé : les utilisateurs peuvent gérer les ressources à partir d’un réseau privé via un point de terminaison privé.

Notes

Actuellement, Azure Kubernetes Service (AKS) ne prend pas en charge l’implémentation du point de terminaison privé ARM.

Azure Bastion ne prend pas en charge les liaisons privées. Il est recommandé d’utiliser une zone DNS privée pour la configuration du point de terminaison privé d’une liaison privée, mais en raison du chevauchement avec le nom management.azure.com, votre instance de Bastion cessera de fonctionner. Pour plus d’informations, consultez la FAQ de Bastion.

Comprendre l’architecture

Important

Pour cette version, vous pouvez uniquement appliquer l’accès de gestion des liaisons privées au niveau du groupe d’administration racine. Cette limitation signifie que l’accès aux liaisons privées s’applique à votre locataire.

Vous utiliserez deux types de ressources lors de l’implémentation de la gestion via une liaison privée.

  • Liaison privée de gestion des ressources (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Association de liaison privée (Microsoft.Authorization/privateLinkAssociations)

L’image suivante montre comment construire une solution qui limite l’accès pour la gestion des ressources.

Schéma d’une liaison privée de gestion des ressources

L’association de liaison privée étend le groupe d’administration racine. L’association de liaison privée et les points de terminaison privés font référence à la liaison privée de gestion des ressources.

Important

Les comptes mutualisés ne sont actuellement pas pris en charge pour la gestion des ressources via un lien privé. Vous ne pouvez pas connecter des associations de liens privés sur différents locataires à un lien privé de gestion des ressources unique.

Si votre compte accède à plusieurs locataires, définissez un lien privé pour un seul d’entre eux.

Workflow

Pour configurer une liaison privée pour les ressources, procédez comme suit. Les étapes sont décrites plus en détails ultérieurement dans cet article.

  1. Créez la liaison privée de gestion des ressources.
  2. Créez une association de liaison privée. L’association de liaison privée étend le groupe d’administration racine. Elle fait également référence à l’ID de ressource de la liaison privée de gestion des ressources.
  3. Ajoutez un point de terminaison privé qui fait référence à la liaison privée de gestion des ressources.

Lorsque ces étapes sont terminées, vous pouvez gérer les ressources Azure qui se trouvent dans la hiérarchie de l’étendue. Vous utilisez un point de terminaison privé qui est connecté au sous-réseau.

Vous pouvez surveiller l’accès à la liaison privée. Pour plus d’informations, consultez Journalisation et surveillance.

Autorisations requises

Important

Pour cette version, vous pouvez uniquement appliquer l’accès de gestion des liaisons privées au niveau du groupe d’administration racine. Cette limitation signifie que l’accès aux liaisons privées s’applique à votre locataire.

Pour configurer la liaison privée pour la gestion des ressources, vous avez besoin de l’accès suivant :

  • Propriétaire sur l'abonnement. Cet accès est nécessaire pour créer une ressource de liaison privée de gestion des ressources.
  • Propriétaire ou Contributeur du groupe d’administration racine. Cet accès est nécessaire pour créer la ressource d’association de liaison privée.
  • L’administrateur général de Microsoft Entra ID n’est pas automatiquement autorisé à attribuer des rôles au niveau du groupe d’administration racine. Pour permettre la création de liaisons privées de gestion des ressources, l’administrateur général doit disposer d’une autorisation de lecture sur le groupe d’administration racine et d’un accès élevé pour disposer de l’autorisation Administrateur de l’accès utilisateur sur tous les abonnements et groupes d’administration du locataire. Après que vous avez obtenu l’autorisation Administrateur de l’accès utilisateur, l’administrateur général doit accorder à l’utilisateur qui crée l’association de liaison privée l’autorisation Propriétaire ou Collaborateur au niveau du groupe d’administration racine.

Pour créer une liaison privée de gestion des ressources, envoyez la demande suivante :

Exemple

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Notez l’ID renvoyé pour la nouvelle liaison privée de gestion des ressources. Vous allez l’utiliser pour créer l’association de liaison privée.

Le nom d’une ressource d’association de liaison privée doit être un GUID et il n’est pas encore pris en charge pour désactiver le champ publicNetworkAccess.

Pour créer l’association de liaison privée, utilisez :

Exemple

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Ajouter un point de terminaison privé

Cet article part du principe que vous disposez déjà d’un réseau virtuel. Dans le sous-réseau qui sera utilisé pour le point de terminaison privé, vous devez désactiver les stratégies réseau de point de terminaison privé. Si vous n’avez pas désactivé les stratégies réseau de point de terminaison privé, consultez Désactiver les stratégies réseau pour les points de terminaison privés.

Pour créer un point de terminaison privé, consultez la documentation sur le point de terminaison privé pour la création via le portail, PowerShell, l’interface CLI, Bicep ou un modèle.

Dans le corps de la demande, définissez l’ID privateServiceLinkId sur l’ID de la liaison privée de gestion des ressources. Les groupIds doit contenir ResourceManagement. L’emplacement du point de terminaison privé doit être identique à celui du sous-réseau.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

L’étape suivante varie selon que vous utilisez une approbation manuelle ou automatique. Pour plus d’informations sur l’approbation, consultez Accès à une ressource Private Link à l’aide du flux de travail d’approbation.

La réponse comprend l’état d’approbation.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Si votre demande est approuvée automatiquement, vous pouvez passer à la section suivante. Si votre demande nécessite une approbation manuelle, attendez que l’administrateur réseau approuve votre connexion de point de terminaison privé.

Étapes suivantes

Pour plus d’informations sur les liaisons privées, consultez Azure Private Link.