Megosztás a következőn keresztül:


Privát hivatkozás létrehozása az Azure-erőforrások kezeléséhez a portál használatával

Ez a cikk bemutatja, hogyan korlátozhatja az Azure Private Linket az előfizetésekben lévő erőforrások kezeléséhez való hozzáférés korlátozásához. Az Azure Portal használatával mutatja be az erőforrások privát hozzáférésen keresztüli felügyeletének beállítását.

A privát hivatkozások lehetővé teszik az Azure-szolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton. Ha privát hivatkozásokat kombinál az Azure Resource Manager műveleteivel, letilthatja az erőforrások kezelését az adott végponton nem szereplő felhasználók számára. Ha egy rosszindulatú felhasználó hitelesítő adatokat kap az előfizetés egyik fiókjához, az adott felhasználó nem tudja kezelni az erőforrásokat anélkül, hogy az adott végponton volna.

A privát kapcsolat a következő biztonsági előnyöket nyújtja:

  • Privát hozzáférés – a felhasználók privát végponton keresztül kezelhetik az erőforrásokat egy magánhálózatról.

Feljegyzés

Az Azure Kubernetes Service (AKS) jelenleg nem támogatja az ARM privát végpont implementálását.

Az Azure Bastion nem támogatja a privát kapcsolatokat. Ajánlott privát DNS-zónát használni az erőforrás-kezelési privát kapcsolat privát végpontkonfigurációjához, de a management.azure.com nevével való átfedés miatt a Bastion-példány működése leáll. További információkért tekintse meg az Azure Bastion gyakori kérdéseit.

Az architektúra ismertetése

Fontos

Ebben a kiadásban csak a gyökérszintű felügyeleti csoport szintjén alkalmazhat privát kapcsolatkezelési hozzáférést. Ez a korlátozás azt jelenti, hogy a privát kapcsolat hozzáférése a bérlőre vonatkozik.

A privát kapcsolaton keresztüli felügyelet megvalósításakor két erőforrástípust fog használni.

  • Erőforrás-kezelési privát kapcsolat (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Privát kapcsolat társítása (Microsoft.Authorization/privateLinkAssociations)

Az alábbi ábra bemutatja, hogyan hozhat létre olyan megoldást, amely korlátozza az erőforrások kezeléséhez való hozzáférést.

Erőforrás-kezelés – privát kapcsolat diagramja

A privát kapcsolat társítása kibővíti a gyökérszintű felügyeleti csoportot. A privát kapcsolat társítása és a privát végpontok az erőforrás-kezelési privát kapcsolatra hivatkoznak.

Fontos

A több-bérlős fiókok jelenleg nem támogatottak az erőforrások privát kapcsolaton keresztüli kezeléséhez. A különböző bérlők privát kapcsolati társításai nem kapcsolhatók egyetlen erőforrás-kezelési privát kapcsolathoz.

Ha a fiókja egynél több bérlőhöz fér hozzá, csak az egyikhez adjon meg privát hivatkozást.

Munkafolyamat

Ha privát hivatkozást szeretne beállítani az erőforrásokhoz, kövesse az alábbi lépéseket. A lépéseket a cikk későbbi részében részletesebben ismertetjük.

  1. Hozza létre az erőforrás-kezelési privát hivatkozást.
  2. Hozzon létre egy privát kapcsolattársítást. A privát kapcsolat társítása kibővíti a gyökérszintű felügyeleti csoportot. Hivatkozik az erőforrás-kezelési privát hivatkozás erőforrás-azonosítóra is.
  3. Adjon hozzá egy privát végpontot, amely az erőforrás-kezelési privát hivatkozásra hivatkozik.

A lépések elvégzése után kezelheti a hatókör hierarchiájának részét képező Azure-erőforrásokat. Az alhálózathoz csatlakoztatott privát végpontot használja.

A privát hivatkozáshoz való hozzáférést figyelheti. További információ: Naplózás és figyelés.

Szükséges engedélyek

Fontos

Ebben a kiadásban csak a gyökérszintű felügyeleti csoport szintjén alkalmazhat privát kapcsolatkezelési hozzáférést. Ez a korlátozás azt jelenti, hogy a privát kapcsolat hozzáférése a bérlőre vonatkozik.

Az erőforrás-kezelés privát hivatkozásának beállításához a következő hozzáférésre van szüksége:

  • Az előfizetés tulajdonosa. Ez a hozzáférés szükséges az erőforrás-kezelés privát kapcsolati erőforrásának létrehozásához.
  • Tulajdonos vagy közreműködő a gyökérszintű felügyeleti csoportban. Ez a hozzáférés szükséges a privát kapcsolat társítása erőforrás létrehozásához.
  • A Microsoft Entra-azonosító globális Rendszergazda istratorának nincs automatikus engedélye szerepkörök hozzárendelésére a gyökérszintű felügyeleti csoportban. Az erőforrás-kezelés privát hivatkozásainak létrehozásához a globális Rendszergazda istratornak engedéllyel kell rendelkeznie a gyökérszintű felügyeleti csoport olvasásához, és fel kell emelnie a hozzáférést ahhoz, hogy felhasználói hozzáféréssel Rendszergazda istrator engedéllyel rendelkezzen a bérlő összes előfizetésére és felügyeleti csoportjára. Miután beszerezte a Felhasználói hozzáférés Rendszergazda istrator engedélyt, a globális Rendszergazda istratornak tulajdonosi vagy közreműködői engedélyt kell adnia a legfelső szintű felügyeleti csoportban a privát kapcsolat társítóját létrehozó felhasználónak.

Erőforrás-kezelési privát kapcsolat létrehozásakor a privát kapcsolat társítása automatikusan létrejön Önnek.

  1. A portálon keresse meg az erőforrás-kezelés privát hivatkozásait, és válassza ki az elérhető lehetőségek közül.

    Képernyőkép az Azure Portal keresősávjáról, amelyen meg van adva az Erőforrás-kezelés.

  2. Ha az előfizetése még nem rendelkezik erőforrás-kezelési privát hivatkozásokkal, egy üres oldal jelenik meg. Válassza az Erőforrás-kezelés privát hivatkozásának létrehozása lehetőséget.

    Képernyőkép az Azure Portalról az

  3. Adjon meg értékeket az új erőforrás-kezelési privát kapcsolathoz. A kiválasztott címtár gyökérszintű felügyeleti csoportját használja a rendszer az új erőforráshoz. Válassza az Áttekintés + létrehozás lehetőséget.

    Képernyőkép az Azure Portalról az új erőforrás-kezelési privát hivatkozás értékeinek megadásához szükséges mezőkkel.

  4. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

Privát végpont létrehozása

Most hozzon létre egy privát végpontot, amely az erőforrás-kezelési privát hivatkozásra hivatkozik.

  1. Lépjen a Privát kapcsolat központra. Válassza a Privát végpont létrehozása lehetőséget.

    Képernyőkép az Azure Portal Privát kapcsolatközpontjáról, kiemelt

  2. Az Alapok lapon adja meg a privát végpont értékeit.

    Képernyőkép az Azure Portalról, amelyen az

  3. Az Erőforrás lapon válassza Csatlakozás egy Azure-erőforráshoz a címtáramban. Erőforrástípus esetén válassza a Microsoft.Authorization/resourceManagementPrivateLinks lehetőséget. A cél-alforrás esetében válassza a ResourceManagement lehetőséget.

    Képernyőkép az Azure Portalról, amelyen az

  4. A Konfiguráció lapon válassza ki a virtuális hálózatot. Javasoljuk, hogy integráljon egy privát DNS-zónával. Válassza az Áttekintés + létrehozás lehetőséget.

  5. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

Privát DNS-zóna ellenőrzése

A környezet megfelelő konfigurálásához ellenőrizze a DNS-zóna helyi IP-címét.

  1. A privát végpontot üzembe helyező erőforráscsoportban válassza ki a privatelink.azure.com nevű privát DNS-zónaerőforrást.

  2. Ellenőrizze, hogy a rekordhalmaz nevesített kezelése érvényes helyi IP-címmel rendelkezik-e.

    Képernyőkép az Azure Portalról, amely megjeleníti a privát DNS-zónaerőforrást a

Következő lépések

A privát hivatkozásokról további információt az Azure Private Linkben talál.