Utiliser le portail pour créer une liaison privée pour la gestion des ressources Azure

  • Article

Cet article explique comment vous pouvez utiliser Azure Private Link pour limiter l’accès pour la gestion des ressources dans vos abonnements. Il illustre l’utilisation du portail Azure pour configurer la gestion des ressources à l’aide d’une liaison privée.

Les liaisons privées vous permettent d’accéder aux services Azure sur un point de terminaison privé de votre réseau virtuel. Lorsque vous combinez des liaisons privées avec des opérations d’Azure Resource Manager, vous empêchez les utilisateurs qui ne se trouvent pas sur le point de terminaison spécifique de gérer les ressources. Si un utilisateur malveillant obtient les informations d’identification d’un compte de votre abonnement, il ne peut pas gérer les ressources sans être sur le point de terminaison spécifique.

Une liaison privée procure les avantages de sécurité suivants :

  • Accès privé : les utilisateurs peuvent gérer les ressources à partir d’un réseau privé via un point de terminaison privé.

Notes

Actuellement, Azure Kubernetes Service (AKS) ne prend pas en charge l’implémentation du point de terminaison privé ARM.

Azure Bastion ne prend pas en charge les liaisons privées. Il est recommandé d’utiliser une zone DNS privée pour la configuration du point de terminaison privé d’une liaison privée, mais en raison du chevauchement avec le nom management.azure.com, votre instance de Bastion cessera de fonctionner. Pour plus d’informations, consultez la FAQ de Bastion.

Comprendre l’architecture

Important

Pour cette version, vous pouvez uniquement appliquer l’accès de gestion des liaisons privées au niveau du groupe d’administration racine. Cette limitation signifie que l’accès aux liaisons privées s’applique à votre locataire.

Vous utiliserez deux types de ressources lors de l’implémentation de la gestion via une liaison privée.

  • Liaison privée de gestion des ressources (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Association de liaison privée (Microsoft.Authorization/privateLinkAssociations)

L’image suivante montre comment construire une solution qui limite l’accès pour la gestion des ressources.

Schéma d’une liaison privée de gestion des ressources

L’association de liaison privée étend le groupe d’administration racine. L’association de liaison privée et les points de terminaison privés font référence à la liaison privée de gestion des ressources.

Important

Les comptes mutualisés ne sont actuellement pas pris en charge pour la gestion des ressources via un lien privé. Vous ne pouvez pas connecter des associations de liens privés sur différents locataires à un lien privé de gestion des ressources unique.

Si votre compte accède à plusieurs locataires, définissez un lien privé pour un seul d’entre eux.

Workflow

Pour configurer une liaison privée pour les ressources, procédez comme suit. Les étapes sont décrites plus en détails ultérieurement dans cet article.

  1. Créez la liaison privée de gestion des ressources.
  2. Créez une association de liaison privée. L’association de liaison privée étend le groupe d’administration racine. Elle fait également référence à l’ID de ressource de la liaison privée de gestion des ressources.
  3. Ajoutez un point de terminaison privé qui fait référence à la liaison privée de gestion des ressources.

Lorsque ces étapes sont terminées, vous pouvez gérer les ressources Azure qui se trouvent dans la hiérarchie de l’étendue. Vous utilisez un point de terminaison privé qui est connecté au sous-réseau.

Vous pouvez surveiller l’accès à la liaison privée. Pour plus d’informations, consultez Journalisation et surveillance.

Autorisations requises

Important

Pour cette version, vous pouvez uniquement appliquer l’accès de gestion des liaisons privées au niveau du groupe d’administration racine. Cette limitation signifie que l’accès aux liaisons privées s’applique à votre locataire.

Pour configurer la liaison privée pour la gestion des ressources, vous avez besoin de l’accès suivant :

  • Propriétaire sur l'abonnement. Cet accès est nécessaire pour créer une ressource de liaison privée de gestion des ressources.
  • Propriétaire ou Contributeur du groupe d’administration racine. Cet accès est nécessaire pour créer la ressource d’association de liaison privée.
  • L’administrateur général de Microsoft Entra ID n’est pas automatiquement autorisé à attribuer des rôles au niveau du groupe d’administration racine. Pour permettre la création de liaisons privées de gestion des ressources, l’administrateur général doit disposer d’une autorisation de lecture sur le groupe d’administration racine et d’un accès élevé pour disposer de l’autorisation Administrateur de l’accès utilisateur sur tous les abonnements et groupes d’administration du locataire. Après que vous avez obtenu l’autorisation Administrateur de l’accès utilisateur, l’administrateur général doit accorder à l’utilisateur qui crée l’association de liaison privée l’autorisation Propriétaire ou Collaborateur au niveau du groupe d’administration racine.

Lorsque vous créez une liaison privée de gestion des ressources, vous créez automatiquement l’association de liaison privée.

  1. Dans le portail, recherchez des liaisons privées de gestion des ressources et sélectionnez parmi les options disponibles.

    Capture d'écran de la barre de recherche du portail Azure avec la mention Gestion des ressources.

  2. Si votre abonnement ne dispose pas déjà de liaisons privées de gestion des ressources, vous verrez une page vierge. Sélectionnez Créer une liaison privée de gestion des ressources.

    Capture d'écran du portail Azure montrant le bouton Créer un lien privé de gestion des ressources.

  3. Fournissez des valeurs pour la nouvelle liaison privée de gestion des ressources. Le groupe d’administration racine pour le répertoire que vous avez sélectionné est utilisé pour la nouvelle ressource. Sélectionnez Revoir + créer.

    Capture d'écran du portail Azure avec les champs permettant de fournir des valeurs pour le nouveau lien privé de gestion des ressources.

  4. Une fois la validation réussie, sélectionnez Créer.

Créer un point de terminaison privé

Créez maintenant un point de terminaison privé qui fait référence à la liaison privée de gestion des ressources.

  1. Accédez au Centre Private Link. Sélectionnez Créer un point de terminaison privé.

    Capture d'écran du Private Link Center du portail Azure avec l'option Create private endpoint (Créer un point de terminaison privé) en surbrillance.

  2. Dans l’onglet De base, fournissez des valeurs pour votre point de terminaison privé.

    Capture d'écran du portail Azure montrant l'onglet Basics avec des champs pour fournir des valeurs pour le point de terminaison privé.

  3. Dans l’onglet Ressource, sélectionnez Se connecter à une ressource Azure dans mon annuaire. Pour le type de ressource, sélectionnez Microsoft.Authorization/resourceManagementPrivateLinks. Pour la sous-ressource cible, sélectionnez ResourceManagement.

    Capture d'écran du portail Azure montrant l'onglet Ressource avec des champs pour sélectionner le type de ressource et la sous-ressource cible pour le point de terminaison privé.

  4. Dans l’onglet configuration, sélectionnez votre réseau virtuel. Nous vous recommandons d’intégrer à une zone DNS privée. Sélectionnez Revoir + créer.

  5. Une fois la validation réussie, sélectionnez Créer.

Vérifier la zone DNS privée

Pour vous assurer que votre environnement est correctement configuré, vérifiez l’adresse IP locale de la zone DNS.

  1. Dans le groupe de ressources où vous avez déployé le point de terminaison privé, sélectionnez la ressource de zone DNS privée nommée privatelink.azure.com.

  2. Vérifiez que le jeu d’enregistrements nommé management a une adresse IP locale valide.

    Capture d'écran du portail Azure affichant la ressource de la zone DNS privée avec le jeu d'enregistrements nommé Gestion et son adresse IP locale.

Étapes suivantes

Pour plus d’informations sur les liaisons privées, consultez Azure Private Link.