Gunakan API untuk membuat tautan privat untuk mengelola sumber daya Azure
Artikel ini menjelaskan bagaimana Anda dapat menggunakan Azure Private Link untuk membatasi akses untuk mengelola sumber daya dalam langganan Anda.
Tautan privat memungkinkan Anda mengakses layanan Azure melalui titik akhir privat di jaringan virtual Anda. Saat Anda menggabungkan tautan privat dengan operasi Azure Resource Manager, Anda memblokir pengguna yang tidak berada di titik akhir tertentu dari mengelola sumber daya. Jika pengguna yang jahat mendapatkan info masuk ke akun dalam langganan Anda, pengguna tersebut tidak dapat mengelola sumber daya tanpa berada di titik akhir tertentu.
Tautan privat memberikan keuntungan keamanan berikut:
- Akses Privat - pengguna dapat mengelola sumber daya dari jaringan pribadi melalui titik akhir privat.
Catatan
Azure Kubernetes Service (AKS) saat ini tidak mendukung implementasi titik akhir privat ARM.
Azure Bastion tidak mendukung link privat. Disarankan untuk menggunakan zona DNS privat untuk konfigurasi titik akhir privat link privat manajemen sumber daya Anda, tetapi karena tumpang tindih dengan nama management.azure.com, instans Bastion Anda akan berhenti berfungsi. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Azure Bastion.
Memahami arsitektur
Penting
Untuk rilis ini, Anda hanya dapat menerapkan akses manajemen tautan pribadi di tingkat grup manajemen akar. Batasan ini berarti akses tautan privat diterapkan di seluruh penyewa Anda.
Ada dua jenis sumber daya yang akan Anda gunakan saat menerapkan manajemen melalui tautan privat.
- Tautan privat pengelolaan sumber daya (Microsoft.Authorization/resourceManagementPrivateLinks)
- Asosiasi tautan privat (Microsoft.Authorization/privateLinkAssociations)
Gambar berikut menunjukkan cara membangun solusi yang membatasi akses untuk mengelola sumber daya.
Asosiasi tautan privat memperluas grup manajemen akar. Asosiasi tautan privat dan titik akhir privat merujuk tautan privat manajemen sumber daya.
Penting
Akun multi-penyewa saat ini tidak didukung untuk mengelola sumber daya melalui link privat. Anda tidak dapat menyambungkan asosiasi link privat pada penyewa yang berbeda ke link privat pengelolaan sumber daya tunggal.
Jika akun Anda mengakses lebih dari satu penyewa, tentukan link privat hanya untuk satu penyewa.
Alur kerja
Untuk menyiapkan tautan privat untuk sumber daya, gunakan langkah-langkah berikut. Langkah-langkah dijelaskan secara lebih rinci kemudian dalam artikel ini.
- Buat tautan privat pengelolaan sumber daya.
- Buat asosiasi tautan privat. Asosiasi tautan privat memperluas grup manajemen akar. Ini juga merujuk ID sumber daya untuk tautan privat manajemen sumber daya.
- Tambahkan titik akhir privat yang mereferensikan tautan privat pengelolaan sumber daya.
Setelah menyelesaikan langkah-langkah tersebut, Anda dapat mengelola sumber daya Azure yang berada dalam hierarki cakupan. Anda menggunakan titik akhir privat yang terhubung ke subnet.
Anda dapat memantau akses ke tautan privat. Untuk informasi lebih lanjut, lihat Pencatatan dan pemantauan.
Izin yang diperlukan
Penting
Untuk rilis ini, Anda hanya dapat menerapkan akses manajemen tautan pribadi di tingkat grup manajemen akar. Batasan ini berarti akses tautan privat diterapkan di seluruh penyewa Anda.
Untuk menyiapkan tautan privat untuk manajemen sumber daya, Anda memerlukan akses berikut:
- Pemilik pada langganan. Akses ini diperlukan untuk membuat sumber daya tautan privat manajemen sumber daya.
- Pemilik atau Kontributor di grup manajemen akar. Akses ini diperlukan untuk membuat sumber daya asosiasi tautan privat.
- Administrator Global untuk ID Microsoft Entra tidak secara otomatis memiliki izin untuk menetapkan peran di grup manajemen akar. Untuk mengaktifkan pembuatan tautan privat manajemen sumber daya, Administrator Global harus memiliki izin untuk membaca grup manajemen akar dan meningkatkan akses agar memiliki izin Administrator Akses Pengguna pada semua langganan dan grup manajemen di penyewa. Setelah mendapatkan izin Administrator Akses Pengguna, Administrator Global harus memberikan izin Pemilik atau Kontributor di grup manajemen akar kepada pengguna yang membuat pengaitan tautan privat.
Buat tautan pribadi pengelolaan sumber daya
Untuk membuat link pribadi manajemen sumber daya, kirim permintaan berikut:
Contoh
# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL
Perhatikan ID yang dikembalikan untuk tautan pribadi manajemen sumber daya baru. Anda akan menggunakannya untuk membuat asosiasi tautan pribadi.
Buat asosiasi tautan pribadi
Nama sumber daya asosiasi link privat harus berupa GUID, dan belum didukung untuk menonaktifkan bidang publicNetworkAccess.
Untuk membuat asosiasi tautan pribadi, gunakan:
Contoh
# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"
Tambahkan titik akhir privat
Artikel ini mengasumsikan Anda sudah memiliki jaringan virtual. Di subnet yang akan digunakan untuk titik akhir pribadi, Anda harus menonaktifkan kebijakan jaringan endpoint pribadi. Jika Anda belum menonaktifkan kebijakan jaringan endpoint pribadi, lihat Menonaktifkan kebijakan jaringan untuk titik akhir pribadi.
Untuk membuat titik akhir privat, lihat dokumentasi Titik Akhir Privat untuk membuat via Portal, PowerShell, CLI, Bicep, atau templat.
Di badan permintaan, atur privateServiceLinkId ke ID dari tautan pribadi manajemen sumber daya Anda. groupIds harus berisi ResourceManagement. Lokasi titik akhir pribadi harus sama dengan lokasi subnet.
{
"location": "westus2",
"properties": {
"privateLinkServiceConnections": [
{
"name": "{connection-name}",
"properties": {
"privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
"groupIds": [
"ResourceManagement"
]
}
}
],
"subnet": {
"id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
}
}
}
Langkah selanjutnya bervariasi tergantung apakah Anda menggunakan persetujuan otomatis atau manual. Untuk informasi selengkapnya tentang persetujuan, lihat Akses ke sumber daya tautan pribadi menggunakan alur kerja persetujuan.
Jawabannya termasuk persetujuan negara.
"privateLinkServiceConnectionState": {
"actionsRequired": "None",
"description": "",
"status": "Approved"
},
Jika permintaan Anda disetujui secara otomatis, Anda dapat melanjutkan ke bagian berikutnya. Jika permintaan Anda memerlukan persetujuan manual, tunggu admin jaringan untuk menyetujui koneksi endpoint pribadi Anda.
Langkah berikutnya
Untuk mempelajari lebih lanjut tentang tautan pribadi, lihat Tautan Pribadi Azure.