Menggunakan portal untuk membuat tautan pribadi untuk mengelola sumber daya Azure
Artikel ini menjelaskan bagaimana Anda dapat menggunakan Azure Private Link untuk membatasi akses untuk mengelola sumber daya dalam langganan Anda. Ini menunjukkan menggunakan portal Azure untuk menyiapkan pengelolaan sumber daya melalui akses pribadi.
Tautan privat memungkinkan Anda mengakses layanan Azure melalui titik akhir privat di jaringan virtual Anda. Saat Anda menggabungkan tautan privat dengan operasi Azure Resource Manager, Anda memblokir pengguna yang tidak berada di titik akhir tertentu dari mengelola sumber daya. Jika pengguna yang jahat mendapatkan info masuk ke akun dalam langganan Anda, pengguna tersebut tidak dapat mengelola sumber daya tanpa berada di titik akhir tertentu.
Tautan privat memberikan keuntungan keamanan berikut:
- Akses Privat - pengguna dapat mengelola sumber daya dari jaringan pribadi melalui titik akhir privat.
Catatan
Azure Kubernetes Service (AKS) saat ini tidak mendukung implementasi titik akhir privat ARM.
Azure Bastion tidak mendukung link privat. Disarankan untuk menggunakan zona DNS privat untuk konfigurasi titik akhir privat link privat manajemen sumber daya Anda, tetapi karena tumpang tindih dengan nama management.azure.com, instans Bastion Anda akan berhenti berfungsi. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Azure Bastion.
Memahami arsitektur
Penting
Untuk rilis ini, Anda hanya dapat menerapkan akses manajemen tautan pribadi di tingkat grup manajemen akar. Batasan ini berarti akses tautan privat diterapkan di seluruh penyewa Anda.
Ada dua jenis sumber daya yang akan Anda gunakan saat menerapkan manajemen melalui tautan privat.
- Tautan privat pengelolaan sumber daya (Microsoft.Authorization/resourceManagementPrivateLinks)
- Asosiasi tautan privat (Microsoft.Authorization/privateLinkAssociations)
Gambar berikut menunjukkan cara membangun solusi yang membatasi akses untuk mengelola sumber daya.
Asosiasi tautan privat memperluas grup manajemen akar. Asosiasi tautan privat dan titik akhir privat merujuk tautan privat manajemen sumber daya.
Penting
Akun multi-penyewa saat ini tidak didukung untuk mengelola sumber daya melalui link privat. Anda tidak dapat menyambungkan asosiasi link privat pada penyewa yang berbeda ke link privat pengelolaan sumber daya tunggal.
Jika akun Anda mengakses lebih dari satu penyewa, tentukan link privat hanya untuk satu penyewa.
Alur kerja
Untuk menyiapkan tautan privat untuk sumber daya, gunakan langkah-langkah berikut. Langkah-langkah dijelaskan secara lebih rinci kemudian dalam artikel ini.
- Buat tautan privat pengelolaan sumber daya.
- Buat asosiasi tautan privat. Asosiasi tautan privat memperluas grup manajemen akar. Ini juga merujuk ID sumber daya untuk tautan privat manajemen sumber daya.
- Tambahkan titik akhir privat yang mereferensikan tautan privat pengelolaan sumber daya.
Setelah menyelesaikan langkah-langkah tersebut, Anda dapat mengelola sumber daya Azure yang berada dalam hierarki cakupan. Anda menggunakan titik akhir privat yang terhubung ke subnet.
Anda dapat memantau akses ke tautan privat. Untuk informasi lebih lanjut, lihat Pencatatan dan pemantauan.
Izin yang diperlukan
Penting
Untuk rilis ini, Anda hanya dapat menerapkan akses manajemen tautan pribadi di tingkat grup manajemen akar. Batasan ini berarti akses tautan privat diterapkan di seluruh penyewa Anda.
Untuk menyiapkan tautan privat untuk manajemen sumber daya, Anda memerlukan akses berikut:
- Pemilik pada langganan. Akses ini diperlukan untuk membuat sumber daya tautan privat manajemen sumber daya.
- Pemilik atau Kontributor di grup manajemen akar. Akses ini diperlukan untuk membuat sumber daya asosiasi tautan privat.
- Administrator Global untuk ID Microsoft Entra tidak secara otomatis memiliki izin untuk menetapkan peran di grup manajemen akar. Untuk mengaktifkan pembuatan tautan privat manajemen sumber daya, Administrator Global harus memiliki izin untuk membaca grup manajemen akar dan meningkatkan akses agar memiliki izin Administrator Akses Pengguna pada semua langganan dan grup manajemen di penyewa. Setelah mendapatkan izin Administrator Akses Pengguna, Administrator Global harus memberikan izin Pemilik atau Kontributor di grup manajemen akar kepada pengguna yang membuat pengaitan tautan privat.
Buat tautan pribadi pengelolaan sumber daya
Ketika Anda membuat link pribadi manajemen sumber daya, asosiasi link pribadi secara otomatis dibuat untuk Anda.
Di portal, telusuri Tautan pribadi pengelolaan sumber daya dan pilih dari opsi yang tersedia.
Jika langganan Anda belum memiliki tautan pribadi manajemen sumber daya, Anda akan melihat halaman kosong. Pilih Buat tautan pribadi pengelolaan sumber daya.
Memberikan nilai untuk link pribadi manajemen sumber daya baru. Grup manajemen root untuk direktori yang Anda pilih digunakan untuk sumber daya baru. Pilih Tinjau + buat.
Setelah melalui validasi, pilih Buat.
Buat titik akhir pribadi
Sekarang, buat titik akhir pribadi yang merujuk tautan pribadi manajemen sumber daya.
Navigasikan ke Pusat Tautan Pribadi. Pilih Buat titik akhir privat.
Di tab Dasar-dasar, berikan nilai untuk titik akhir pribadi Anda.
Di tab Sumber Daya, pilih Sambungkan ke sumber daya Azure di direktori saya. Untuk jenis sumber daya, pilih Microsoft.Authorization/resourceManagementPrivateLinks. Untuk subsumber daya target, pilih ResourceManagement.
Di tab Konfigurasi, pilih jaringan virtual Anda. Sebaiknya integrasikan dengan zona DNS pribadi. Pilih Tinjau + buat.
Setelah melalui validasi, pilih Buat.
Verifikasi zona DNS pribadi
Untuk memastikan lingkungan Anda dikonfigurasi dengan benar, periksa alamat IP lokal untuk zona DNS.
Di grup sumber daya tempat Anda menerapkan titik akhir pribadi, pilih sumber daya zona DNS pribadi bernama privatelink.azure.com.
Verifikasi bahwa kumpulan data bernama manajemen memiliki alamat IP lokal yang valid.
Langkah berikutnya
Untuk mempelajari lebih lanjut tentang tautan pribadi, lihat Tautan Pribadi Azure.