Autorisations du contrôle d’accès en fonction du rôle Azure pour Azure Private Link
Il est vital pour toute organisation de pouvoir gérer les accès aux ressources situées dans cloud. Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) gère l’accès et les opérations aux ressources Azure.
Pour déployer un point de terminaison privé ou un service de liaison privée, un utilisateur doit avoir attribuer un rôle intégré, tel que :
Vous pouvez fournir un accès plus granulaire en créant un rôle personnalisé avec les autorisations décrites dans les sections suivantes.
Important
Cet article répertorie les autorisations spécifiques pour créer un point de terminaison privé ou un service de liaison privée. Veillez à ajouter les autorisations spécifiques associées au service auquel vous souhaitez accorder l’accès par le biais d’une liaison privée, telle que le rôle Contributeur Microsoft SQL pour Azure SQL. Pour plus d’informations sur les rôles intégrés, consultez Contrôle d’accès en fonction du rôle.
Microsoft.Network et le fournisseur de ressources spécifique que vous déployez, par exemple Microsoft.Sql, doivent être inscrits au niveau de l’abonnement :
Point de terminaison privé
Cette section répertorie les autorisations granulaires requises pour déployer un point de terminaison privé.
| Action | Description |
|---|---|
| Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Lire les ressources pour le groupe de ressources |
| Microsoft.Network/virtualNetworks/read | Lire la définition de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/read | Lire la définition de sous-réseau de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/write | Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Joint un réseau virtuel. |
| Microsoft.Network/privateEndpoints/read | Lire la ressource d’un point de terminaison privé |
| Microsoft.Network/privateEndpoints/write | Crée un nouveau point de terminaison privé, ou met à jour un point de terminaison privé existant |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Lire les ressources de point de terminaison privé disponibles |
Voici le format JSON des autorisations ci-dessus. Entrez votre propre roleName, description et assignableScopes :
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Service de liaison privée
Cette section répertorie les autorisations granulaires requises pour déployer un service de liaison privée.
| Action | Description |
|---|---|
| Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Lire les ressources pour le groupe de ressources |
| Microsoft.Network/virtualNetworks/read | Lire la définition de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/read | Lire la définition de sous-réseau de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/write | Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant. |
| Microsoft.Network/privateLinkServices/read | Lire une ressource de service de liaison privée |
| Microsoft.Network/privateLinkServices/write | Crée un service de liaison privée, ou met à jour un service de liaison privée existant |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Lire une définition de connexion du point de terminaison privé |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Crée une connexion du point de terminaison privé ou met à jour une connexion du point de terminaison privé existante |
| Microsoft.Network/networkSecurityGroups/join/action | Joint un groupe de sécurité réseau. |
| Microsoft.Network/loadBalancers/read | Lire une définition de l’équilibreur de charge |
| Microsoft.Network/loadBalancers/write | Crée un équilibrage de charge ou met à jour un équilibrage de charge existant. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
RBAC d’approbation pour le point de terminaison privé
En règle générale, un administrateur réseau crée un point de terminaison privé. Selon vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, un point de terminaison privé que vous créez est soit automatiquement approuvé pour envoyer du trafic à l’instance Gestion des API, soit nécessite que le propriétaire de la ressource approuve manuellement la connexion.
| Méthode d’approbation | Autorisations RBAC minimales |
|---|---|
| Automatique | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manuel | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Étapes suivantes
Pour plus d’informations sur le point de terminaison privé et les services de liaison privée dans Azure Private Link, consultez :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour