Usare le API per creare un collegamento privato per la gestione delle risorse di Azure
Questo articolo illustra come usare il collegamento privato di Azure per limitare l'accesso alla gestione delle risorse nelle sottoscrizioni.
I collegamenti privati consentono di accedere ai servizi di Azure tramite un endpoint privato nella rete virtuale. Quando si combinano collegamenti privati con le operazioni di Azure Resource Manager, si impedisce la gestione delle risorse agli utenti che non si trovano nell'endpoint specifico. Se un utente malintenzionato ottiene le credenziali di un account nella sottoscrizione, tale utente non può gestire le risorse senza trovarsi nell'endpoint specifico.
Il collegamento privato offre i seguenti vantaggi per la sicurezza:
- Accesso privato: gli utenti possono gestire le risorse da una rete privata tramite un endpoint privato.
Nota
Il servizio Azure Kubernetes attualmente non supporta l'implementazione dell'endpoint privato Azure Resource Manager.
Azure Bastion non supporta i collegamenti privati. È consigliabile usare una zona DNS privata per la configurazione dell'endpoint privato del collegamento privato di gestione delle risorse, ma a causa della sovrapposizione con il nome management.azure.com, l'istanza Bastion smetterà di funzionare. Per altre informazioni, vedere Domande frequenti su Azure Bastion.
Informazioni sull'architettura
Importante
Per questa versione è possibile applicare l'accesso alla gestione dei collegamenti privati solo a livello del gruppo di gestione radice. Questa limitazione indica che l'accesso al collegamento privato viene applicato nel tenant.
Esistono due tipi di risorse che verranno usati per implementare la gestione tramite un collegamento privato.
- Collegamento privato di gestione delle risorse (Microsoft.Authorization/resourceManagementPrivateLinks)
- Associazione di collegamento privato (Microsoft.Authorization/privateLinkAssociations)
L'immagine seguente illustra come creare una soluzione che limita l'accesso alla gestione delle risorse.
L'associazione di collegamento privato estende il gruppo di gestione radice. L'associazione di collegamento privato e gli endpoint privati fanno riferimento al collegamento privato di gestione delle risorse.
Importante
Gli account multi-tenant non sono attualmente supportati per la gestione delle risorse tramite un collegamento privato. Non è possibile connettere associazioni di collegamento privato presenti in tenant diversi a un singolo collegamento privato di gestione delle risorse.
Se l'account accede a più tenant, definire un collegamento privato solo per uno di essi.
Flusso di lavoro
Per configurare un collegamento privato per le risorse, seguire questa procedura. I passaggi sono descritti in modo più dettagliato più avanti in questo articolo.
- Creare il collegamento privato di gestione delle risorse.
- Creare un'associazione di collegamento privato. L'associazione di collegamento privato estende il gruppo di gestione radice. Fa anche riferimento all'ID risorsa per il collegamento privato di gestione delle risorse.
- Aggiungere un endpoint privato che faccia riferimento al collegamento privato di gestione delle risorse.
Dopo aver completato questi passaggi, è possibile gestire le risorse di Azure all'interno della gerarchia dell'ambito. Si usa un endpoint privato connesso alla subnet.
È possibile monitorare l'accesso al collegamento privato. Per altre informazioni, vedere Registrazione e monitoraggio.
Autorizzazioni necessarie
Importante
Per questa versione è possibile applicare l'accesso alla gestione dei collegamenti privati solo a livello del gruppo di gestione radice. Questa limitazione indica che l'accesso al collegamento privato viene applicato nel tenant.
Per configurare il collegamento privato per la gestione delle risorse, è necessario disporre dell'accesso seguente:
- Proprietario della sottoscrizione. Questo accesso è necessario per creare una risorsa di collegamento privato di gestione delle risorse.
- Proprietario o Collaboratore nel gruppo di gestione radice. Questo accesso è necessario per creare la risorsa di associazione di collegamento privato.
- L'amministratore globale di Microsoft Entra ID non dispone automaticamente dell'autorizzazione all'assegnazione di ruoli al gruppo di gestione radice. Per abilitare la creazione di collegamenti privati di gestione delle risorse, l'amministratore globale deve disporre dell'autorizzazione per leggere il gruppo di gestione radice ed elevare l'accesso per avere l'autorizzazione Amministratore accesso utenti per tutte le sottoscrizioni e i gruppi di gestione nel tenant. Dopo aver ottenuto l'autorizzazione Amministratore accesso utenti, l'amministratore globale deve concedere l'autorizzazione Proprietario o Collaboratore nel gruppo di gestione radice all'utente che crea l'associazione di collegamento privato.
Creare un collegamento privato di gestione delle risorse
Per creare un collegamento privato di gestione delle risorse, inviare la richiesta seguente:
Esempio
# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL
Si noti l'ID restituito per il nuovo collegamento privato di gestione delle risorse. Verrà usato per creare l'associazione di collegamento privato.
Creare un'associazione di collegamento privato
Il nome della risorsa di un'associazione di collegamento privato deve essere un GUID e non è ancora supportato per disabilitare il campo publicNetworkAccess.
Per creare l'associazione di collegamento privato, usare:
Esempio
# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"
Aggiungi endpoint privato
Questo articolo presuppone che si disponga già di una rete virtuale. Nella subnet che verrà usata per l'endpoint privato, è necessario disattivare i criteri di rete degli endpoint privati. Se non sono stati disattivati i criteri di rete degli endpoint privati, vedere Disabilitare i criteri di rete per gli endpoint privati.
Per creare un endpoint privato, vedere la documentazione dell'endpoint privato per la creazione tramite il portale, PowerShell, l'interfaccia della riga di comando, Bicep o il modello.
Nel corpo della richiesta impostare su privateServiceLinkId ID dal collegamento privato di Gestione risorse. L'oggetto groupIds deve contenere ResourceManagement. La posizione dell'endpoint privato deve corrispondere alla posizione della subnet.
{
"location": "westus2",
"properties": {
"privateLinkServiceConnections": [
{
"name": "{connection-name}",
"properties": {
"privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
"groupIds": [
"ResourceManagement"
]
}
}
],
"subnet": {
"id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
}
}
}
Il passaggio successivo varia a seconda che si stia usando l'approvazione automatica o manuale. Per altre informazioni sull'approvazione, vedere Accedere a una risorsa di collegamento privato usando il flusso di lavoro di approvazione.
La risposta include lo stato di approvazione.
"privateLinkServiceConnectionState": {
"actionsRequired": "None",
"description": "",
"status": "Approved"
},
Se la richiesta viene approvata automaticamente, è possibile continuare con la sezione successiva. Se la richiesta richiede l'approvazione manuale, attendere che l'amministratore di rete approvi la connessione all'endpoint privato.
Passaggi successivi
Per altre informazioni sui collegamenti privati, vedere Collegamento privato di Azure.