Megosztás a következőn keresztül:


Azure RBAC-engedélyek az Azure Private Linkhez

A felhőbeli erőforrások hozzáférés-kezelése minden szervezet számára kritikus fontosságú függvény. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) felügyeli az Azure-erőforrások hozzáférését és műveleteit.

Privát végpont vagy privát kapcsolati szolgáltatás üzembe helyezéséhez a felhasználónak hozzá kell rendelnie egy beépített szerepkört, például:

Részletesebb hozzáférést az alábbi szakaszokban ismertetett engedélyekkel rendelkező egyéni szerepkörök létrehozásával biztosíthat.

Fontos

Ez a cikk a privát végpontok vagy privát kapcsolati szolgáltatások létrehozásához szükséges engedélyeket sorolja fel. Győződjön meg arról, hogy hozzáadja a szolgáltatáshoz kapcsolódó adott engedélyeket, amelyeket privát kapcsolaton keresztül szeretne megadni, például Microsoft.SQL Közreműködői szerepkört az Azure SQL-hez. A beépített szerepkörökről további információt a szerepköralapú hozzáférés-vezérlés című témakörben talál.

A Microsoft.Network-t és az üzembe helyezendő erőforrás-szolgáltatót (például a Microsoft.Sql-t) előfizetési szinten kell regisztrálni:

rendszerkép

Privát végpont

Ez a szakasz felsorolja a privát végpont üzembe helyezéséhez, a privát végpont alhálózati szabályzatainak kezeléséhez és a függő erőforrások üzembe helyezéséhez szükséges részletes engedélyeket

Művelet Leírás
Microsoft.Resources/deployments/* Üzembe helyezés létrehozása és kezelése
Microsoft.Resources/subscriptions/resourcegroups/resources/read Az erőforráscsoport erőforrásainak olvasása
Microsoft.Network/virtualNetworks/read A virtuális hálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/olvasás Virtuális hálózati alhálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/írás Létrehoz egy virtuális hálózati alhálózatot, vagy frissít egy meglévő virtuális hálózati alhálózatot.
Nem kifejezetten szükséges a privát végpont üzembe helyezéséhez, de a privát végpont alhálózati szabályzatainak kezeléséhez szükséges
Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet Privát végpont csatlakoztatásának engedélyezése virtuális hálózathoz
Microsoft.Network/privateEndpoints/read Privát végpont erőforrásának olvasása
Microsoft.Network/privateEndpoints/write Új privát végpont létrehozása vagy meglévő privát végpont frissítése
Microsoft.Network/locations/availablePrivateEndpointTypes/read Elérhető privát végpont erőforrásainak olvasása

Itt látható a fenti engedélyek JSON-formátuma. Adja meg saját szerepkörnevét, leírását és hozzárendelhetőscopejait:

{
 "properties": {
   "roleName": "Role Name",
   "description": "Description",
   "assignableScopes": [
     "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
   ],
   "permissions": [
     {
       "actions": [
         "Microsoft.Resources/deployments/*",
         "Microsoft.Resources/subscriptions/resourceGroups/read",
         "Microsoft.Network/virtualNetworks/read",
         "Microsoft.Network/virtualNetworks/subnets/read",
         "Microsoft.Network/virtualNetworks/subnets/write",
         "Microsoft.Network/virtualNetworks/subnets/join/action",
         "Microsoft.Network/privateEndpoints/read",
         "Microsoft.Network/privateEndpoints/write",
         "Microsoft.Network/locations/availablePrivateEndpointTypes/read"
       ],
       "notActions": [],
       "dataActions": [],
       "notDataActions": []
     }
   ]
 }
}

Ez a szakasz a privát kapcsolati szolgáltatás üzembe helyezéséhez, a privát kapcsolati szolgáltatás alhálózati szabályzatainak kezeléséhez és a függő erőforrások üzembe helyezéséhez szükséges részletes engedélyeket sorolja fel

Művelet Leírás
Microsoft.Resources/deployments/* Üzembe helyezés létrehozása és kezelése
Microsoft.Resources/subscriptions/resourcegroups/resources/read Az erőforráscsoport erőforrásainak olvasása
Microsoft.Network/virtualNetworks/read A virtuális hálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/olvasás Virtuális hálózati alhálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/írás Létrehoz egy virtuális hálózati alhálózatot, vagy frissít egy meglévő virtuális hálózati alhálózatot.
Nem kifejezetten szükséges egy privát kapcsolati szolgáltatás üzembe helyezéséhez, de a privát kapcsolat alhálózati szabályzatainak kezeléséhez szükséges
Microsoft.Network/privateLinkServices/read Privát kapcsolat szolgáltatás erőforrásának olvasása
Microsoft.Network/privateLinkServices/write Új privát kapcsolati szolgáltatás létrehozása vagy meglévő privát kapcsolati szolgáltatás frissítése
Microsoft.Network/privateLinkServices/privateEndpointConnections/read Privát végpont kapcsolatdefiníciójának olvasása
Microsoft.Network/privateLinkServices/privateEndpointConnections/write Új privát végpontkapcsolat létrehozása vagy meglévő privát végpontkapcsolat frissítése
Microsoft.Network/networkSecurityGroups/join/action Hálózati biztonsági csoporthoz csatlakozik
Microsoft.Network/loadBalancers/read Terheléselosztó definíciójának olvasása
Microsoft.Network/loadBalancers/write Terheléselosztó létrehozása vagy meglévő terheléselosztó frissítése
{
  "properties": {
    "roleName": "Role Name",
    "description": "Description",
    "assignableScopes": [
      "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/privateLinkServices/read",
          "Microsoft.Network/privateLinkServices/write",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/loadBalancers/read",
          "Microsoft.Network/loadBalancers/write"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

Jóváhagyási RBAC privát végponthoz

A hálózati rendszergazda általában létrehoz egy privát végpontot. Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyétől függően a létrehozott privát végpontok vagy automatikusan jóváhagyják a forgalmat az API Management-példánynak, vagy az erőforrás tulajdonosának manuálisan kell jóváhagynia a kapcsolatot.

Jóváhagyási módszer Minimális RBAC-engedélyek
Automatikus Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Manuális Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

Következő lépések

További információ a privát végpontokról és a privát kapcsolati szolgáltatásokról az Azure Private Linkben: