Usare il portale per creare un collegamento privato per la gestione delle risorse di Azure
Questo articolo illustra come usare il collegamento privato di Azure per limitare l'accesso alla gestione delle risorse nelle sottoscrizioni. Mostra l'uso del portale di Azure per configurare la gestione delle risorse tramite l'accesso privato.
I collegamenti privati consentono di accedere ai servizi di Azure tramite un endpoint privato nella rete virtuale. Quando si combinano collegamenti privati con le operazioni di Azure Resource Manager, si impedisce la gestione delle risorse agli utenti che non si trovano nell'endpoint specifico. Se un utente malintenzionato ottiene le credenziali di un account nella sottoscrizione, tale utente non può gestire le risorse senza trovarsi nell'endpoint specifico.
Il collegamento privato offre i seguenti vantaggi per la sicurezza:
- Accesso privato: gli utenti possono gestire le risorse da una rete privata tramite un endpoint privato.
Nota
Il servizio Azure Kubernetes attualmente non supporta l'implementazione dell'endpoint privato Azure Resource Manager.
Azure Bastion non supporta i collegamenti privati. È consigliabile usare una zona DNS privata per la configurazione dell'endpoint privato del collegamento privato di gestione delle risorse, ma a causa della sovrapposizione con il nome management.azure.com, l'istanza Bastion smetterà di funzionare. Per altre informazioni, vedere Domande frequenti su Azure Bastion.
Informazioni sull'architettura
Importante
Per questa versione è possibile applicare l'accesso alla gestione dei collegamenti privati solo a livello del gruppo di gestione radice. Questa limitazione indica che l'accesso al collegamento privato viene applicato nel tenant.
Esistono due tipi di risorse che verranno usati per implementare la gestione tramite un collegamento privato.
- Collegamento privato di gestione delle risorse (Microsoft.Authorization/resourceManagementPrivateLinks)
- Associazione di collegamento privato (Microsoft.Authorization/privateLinkAssociations)
L'immagine seguente illustra come creare una soluzione che limita l'accesso alla gestione delle risorse.
L'associazione di collegamento privato estende il gruppo di gestione radice. L'associazione di collegamento privato e gli endpoint privati fanno riferimento al collegamento privato di gestione delle risorse.
Importante
Gli account multi-tenant non sono attualmente supportati per la gestione delle risorse tramite un collegamento privato. Non è possibile connettere associazioni di collegamento privato presenti in tenant diversi a un singolo collegamento privato di gestione delle risorse.
Se l'account accede a più tenant, definire un collegamento privato solo per uno di essi.
Flusso di lavoro
Per configurare un collegamento privato per le risorse, seguire questa procedura. I passaggi sono descritti in modo più dettagliato più avanti in questo articolo.
- Creare il collegamento privato di gestione delle risorse.
- Creare un'associazione di collegamento privato. L'associazione di collegamento privato estende il gruppo di gestione radice. Fa anche riferimento all'ID risorsa per il collegamento privato di gestione delle risorse.
- Aggiungere un endpoint privato che faccia riferimento al collegamento privato di gestione delle risorse.
Dopo aver completato questi passaggi, è possibile gestire le risorse di Azure all'interno della gerarchia dell'ambito. Si usa un endpoint privato connesso alla subnet.
È possibile monitorare l'accesso al collegamento privato. Per altre informazioni, vedere Registrazione e monitoraggio.
Autorizzazioni necessarie
Importante
Per questa versione è possibile applicare l'accesso alla gestione dei collegamenti privati solo a livello del gruppo di gestione radice. Questa limitazione indica che l'accesso al collegamento privato viene applicato nel tenant.
Per configurare il collegamento privato per la gestione delle risorse, è necessario disporre dell'accesso seguente:
- Proprietario della sottoscrizione. Questo accesso è necessario per creare una risorsa di collegamento privato di gestione delle risorse.
- Proprietario o Collaboratore nel gruppo di gestione radice. Questo accesso è necessario per creare la risorsa di associazione di collegamento privato.
- L'amministratore globale di Microsoft Entra ID non dispone automaticamente dell'autorizzazione all'assegnazione di ruoli al gruppo di gestione radice. Per abilitare la creazione di collegamenti privati di gestione delle risorse, l'amministratore globale deve disporre dell'autorizzazione per leggere il gruppo di gestione radice ed elevare l'accesso per avere l'autorizzazione Amministratore accesso utenti per tutte le sottoscrizioni e i gruppi di gestione nel tenant. Dopo aver ottenuto l'autorizzazione Amministratore accesso utenti, l'amministratore globale deve concedere l'autorizzazione Proprietario o Collaboratore nel gruppo di gestione radice all'utente che crea l'associazione di collegamento privato.
Creare un collegamento privato di gestione delle risorse
Quando si crea un collegamento privato di gestione delle risorse, l'associazione di collegamento privato viene creata automaticamente.
Nel portale cercare Collegamenti privati di gestione delle risorse e selezionarlo nelle opzioni disponibili.
Se la sottoscrizione non ha già collegamenti privati di gestione delle risorse, verrà visualizzata una pagina vuota. Selezionare Crea collegamento privato di gestione delle risorse.
Specificare i valori per il nuovo collegamento privato di gestione delle risorse. Il gruppo di gestione radice per la directory selezionata viene usato per la nuova risorsa. Selezionare Rivedi e crea.
Al termine della convalida selezionare Crea.
Creare un endpoint privato
A questo punto, creare un endpoint privato che faccia riferimento al collegamento privato di gestione delle risorse.
Passare al Centro collegamento privato. Selezionare Crea endpoint privato.
Nella scheda Dati principali specificare i valori per l'endpoint privato.
Nella scheda Risorsa selezionare Connettersi a una risorsa di Azure nella directory. Per tipo di risorsa selezionare Microsoft.Authorization/resourceManagementPrivateLinks. Per la sottorisorsa di destinazione selezionare ResourceManagement.
Nella scheda Configurazione selezionare la rete virtuale. È consigliabile eseguire l'integrazione con una zona DNS privata. Selezionare Rivedi e crea.
Al termine della convalida selezionare Crea.
Verificare la zona DNS privata
Per assicurarsi che l'ambiente sia configurato correttamente, verificare l'indirizzo IP locale per la zona DNS.
Nel gruppo di risorse in cui è stato distribuito l'endpoint privato selezionare la risorsa zona DNS privata denominata privatelink.azure.com.
Verificare che il set di record denominato management abbia un indirizzo IP locale valido.
Passaggi successivi
Per altre informazioni sui collegamenti privati, vedere Collegamento privato di Azure.