Azure RBAC-engedélyek az Azure Private Linkhez
A felhőbeli erőforrások hozzáférés-kezelése minden szervezet számára kritikus fontosságú függvény. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) felügyeli az Azure-erőforrások hozzáférését és műveleteit.
Privát végpont vagy privát kapcsolati szolgáltatás üzembe helyezéséhez a felhasználónak hozzá kell rendelnie egy beépített szerepkört, például:
Részletesebb hozzáférést az alábbi szakaszokban ismertetett engedélyekkel rendelkező egyéni szerepkörök létrehozásával biztosíthat.
Fontos
Ez a cikk a privát végpontok vagy privát kapcsolati szolgáltatások létrehozásához szükséges engedélyeket sorolja fel. Győződjön meg arról, hogy hozzáadja a szolgáltatáshoz kapcsolódó adott engedélyeket, amelyeket privát kapcsolaton keresztül szeretne megadni, például Microsoft.SQL Közreműködői szerepkört az Azure SQL-hez. A beépített szerepkörökről további információt a szerepköralapú hozzáférés-vezérlés című témakörben talál.
A Microsoft.Network-t és az üzembe helyezendő erőforrás-szolgáltatót (például a Microsoft.Sql-t) előfizetési szinten kell regisztrálni:
Privát végpont
Ez a szakasz felsorolja a privát végpont üzembe helyezéséhez, a privát végpont alhálózati szabályzatainak kezeléséhez és a függő erőforrások üzembe helyezéséhez szükséges részletes engedélyeket
Művelet | Leírás |
---|---|
Microsoft.Resources/deployments/* | Üzembe helyezés létrehozása és kezelése |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Az erőforráscsoport erőforrásainak olvasása |
Microsoft.Network/virtualNetworks/read | A virtuális hálózat definíciójának olvasása |
Microsoft.Network/virtualNetworks/alhálózatok/olvasás | Virtuális hálózati alhálózat definíciójának olvasása |
Microsoft.Network/virtualNetworks/alhálózatok/írás | Létrehoz egy virtuális hálózati alhálózatot, vagy frissít egy meglévő virtuális hálózati alhálózatot. Nem kifejezetten szükséges a privát végpont üzembe helyezéséhez, de a privát végpont alhálózati szabályzatainak kezeléséhez szükséges |
Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet | Privát végpont csatlakoztatásának engedélyezése virtuális hálózathoz |
Microsoft.Network/privateEndpoints/read | Privát végpont erőforrásának olvasása |
Microsoft.Network/privateEndpoints/write | Új privát végpont létrehozása vagy meglévő privát végpont frissítése |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Elérhető privát végpont erőforrásainak olvasása |
Itt látható a fenti engedélyek JSON-formátuma. Adja meg saját szerepkörnevét, leírását és hozzárendelhetőscopejait:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Privát kapcsolat szolgáltatás
Ez a szakasz a privát kapcsolati szolgáltatás üzembe helyezéséhez, a privát kapcsolati szolgáltatás alhálózati szabályzatainak kezeléséhez és a függő erőforrások üzembe helyezéséhez szükséges részletes engedélyeket sorolja fel
Művelet | Leírás |
---|---|
Microsoft.Resources/deployments/* | Üzembe helyezés létrehozása és kezelése |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Az erőforráscsoport erőforrásainak olvasása |
Microsoft.Network/virtualNetworks/read | A virtuális hálózat definíciójának olvasása |
Microsoft.Network/virtualNetworks/alhálózatok/olvasás | Virtuális hálózati alhálózat definíciójának olvasása |
Microsoft.Network/virtualNetworks/alhálózatok/írás | Létrehoz egy virtuális hálózati alhálózatot, vagy frissít egy meglévő virtuális hálózati alhálózatot. Nem kifejezetten szükséges egy privát kapcsolati szolgáltatás üzembe helyezéséhez, de a privát kapcsolat alhálózati szabályzatainak kezeléséhez szükséges |
Microsoft.Network/privateLinkServices/read | Privát kapcsolat szolgáltatás erőforrásának olvasása |
Microsoft.Network/privateLinkServices/write | Új privát kapcsolati szolgáltatás létrehozása vagy meglévő privát kapcsolati szolgáltatás frissítése |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Privát végpont kapcsolatdefiníciójának olvasása |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Új privát végpontkapcsolat létrehozása vagy meglévő privát végpontkapcsolat frissítése |
Microsoft.Network/networkSecurityGroups/join/action | Hálózati biztonsági csoporthoz csatlakozik |
Microsoft.Network/loadBalancers/read | Terheléselosztó definíciójának olvasása |
Microsoft.Network/loadBalancers/write | Terheléselosztó létrehozása vagy meglévő terheléselosztó frissítése |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Jóváhagyási RBAC privát végponthoz
A hálózati rendszergazda általában létrehoz egy privát végpontot. Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyétől függően a létrehozott privát végpontok vagy automatikusan jóváhagyják a forgalmat az API Management-példánynak, vagy az erőforrás tulajdonosának manuálisan kell jóváhagynia a kapcsolatot.
Jóváhagyási módszer | Minimális RBAC-engedélyek |
---|---|
Automatikus | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Manuális | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Következő lépések
További információ a privát végpontokról és a privát kapcsolati szolgáltatásokról az Azure Private Linkben: