Izin Azure RBAC untuk Azure Private Link
Pengelolaan akses untuk sumber daya cloud merupakan fungsi penting bagi organisasi mana pun. Kontrol akses berbasis peran Azure (Azure RBAC) mengelola akses dan operasi sumber daya Azure.
Untuk menyebarkan titik akhir privat atau layanan tautan privat, pengguna harus sudah menetapkan peran bawaan seperti:
Anda dapat memberikan akses yang lebih terperinci dengan membuat peran kustom dengan izin yang dijelaskan di bagian berikut.
Penting
Artikel ini mencantumkan izin khusus untuk membuat titik akhir privat atau layanan tautan privat. Pastikan bahwa Anda menambahkan izin khusus yang terkait dengan layanan yang ingin Anda berikan akses melalui tautan privat, seperti Peran Kontributor Microsoft.SQL untuk Azure SQL. Untuk informasi lebih lanjut tentang peran bawaan, lihat Kontrol Akses Berbasis Peran.
Microsoft.Network dan penyedia sumber daya tertentu yang Anda sebarkan, misalnya Microsoft.Sql, harus terdaftar pada tingkat langganan:
Titik akhir privat
Bagian ini mencantumkan izin terperinci yang diperlukan untuk menyebarkan titik akhir privat, mengelola kebijakan subnet titik akhir privat, dan menyebarkan sumber daya dependen
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Resources/deployments/* | Membuat dan mengelola penyebaran |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Membaca sumber daya untuk grup sumber daya |
| Microsoft.Network/virtualNetworks/read | Membaca definisi jaringan virtual |
| Microsoft.Network/virtualNetworks/subnets/baca | Membaca definisi subnet jaringan virtual |
| Microsoft.Network/virtualNetworks/subnets/write | Membuat subnet jaringan virtual atau memperbarui subnet jaringan virtual yang ada. Tidak diperlukan secara eksplisit untuk menyebarkan titik akhir privat, tetapi diperlukan untuk mengelola kebijakan subnet titik akhir privat |
| Microsoft.Network/virtualNetworks/subnets/gabung/tindakan | Perbolehkan titik akhir privat bergabung dengan jaringan virtual |
| Microsoft.Network/privateEndpoints/read | Membaca sumber daya titik akhir privat |
| Microsoft.Network/privateEndpoints/write | Membuat titik akhir privat baru atau memperbarui titik akhir privat yang sudah ada |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Membaca sumber daya titik akhir privat yang tersedia |
Berikut adalah format JSON dari izin di atas. Masukkan roleName, deskripsi, dan assignableScopes Anda sendiri:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Layanan tautan privat
Bagian ini mencantumkan izin terperinci yang diperlukan untuk menyebarkan layanan tautan privat, mengelola kebijakan subnet layanan tautan privat, dan menyebarkan sumber daya dependen
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Resources/deployments/* | Membuat dan mengelola penyebaran |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Membaca sumber daya untuk grup sumber daya |
| Microsoft.Network/virtualNetworks/read | Membaca definisi jaringan virtual |
| Microsoft.Network/virtualNetworks/subnets/baca | Membaca definisi subnet jaringan virtual |
| Microsoft.Network/virtualNetworks/subnets/write | Membuat subnet jaringan virtual atau memperbarui subnet jaringan virtual yang ada. Tidak diperlukan secara eksplisit untuk menyebarkan layanan tautan privat, tetapi diperlukan untuk mengelola kebijakan subnet tautan privat |
| Microsoft.Network/privateLinkServices/read | Membaca sumber daya layanan tautan privat |
| Microsoft.Network/privateLinkServices/write | Membuat layanan tautan privat baru atau memperbarui layanan tautan privat yang sudah ada |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Membaca definisi koneksi titik akhir privat |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Membuat koneksi titik akhir privat baru atau memperbarui koneksi titik akhir privat yang sudah ada |
| Microsoft.Network/networkSecurityGroups/gabung/tindakan | Bergabung dengan grup keamanan jaringan |
| Microsoft.Network/loadBalancers/read | Membaca definisi penyeimbang muatan |
| Microsoft.Network/loadBalancers/write | Membuat penyeimbang muatan atau memperbarui penyeimbang muatan yang ada |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Persetujuan RBAC untuk titik akhir privat
Biasanya, administrator jaringan membuat titik akhir pribadi. Tergantung pada izin kontrol akses berbasis peran (RBAC) Azure Anda, titik akhir pribadi yang Anda buat disetujui secara otomatis untuk mengirim lalu lintas ke instans API Management, atau mengharuskan pemilik sumber daya untuk menyetujui secara manual sambungan tersebut.
| Metode persetujuan | Izin RBAC minimum |
|---|---|
| Otomatis | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
| Manual | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Langkah berikutnya
Untuk informasi lebih lanjut tentang titik akhir privat dan layanan tautan privat di Azure Private Link, lihat: