Azure Private Link 用の Azure RBAC アクセス許可
クラウド リソースに対するアクセスの管理は、すべての組織にとって重要な機能です。 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスと操作を管理します。
プライベート エンドポイントまたはプライベート リンク サービスをデプロイするには、ユーザーに次のような組み込みのロールが割り当てられている必要があります。
以降のセクションで説明するアクセス許可を持つカスタム ロールを作成することで、よりきめ細かいアクセスを提供できます。
重要
この記事では、プライベート エンドポイントまたはプライベート リンク サービスを作成するための特定のアクセス許可の一覧を示します。 Azure SQL の Microsoft.SQL 共同作成者ロールなど、プライベート リンクを使用してアクセス権を付与するサービスに関連する特定のアクセス許可を追加してください。 組み込みロールの詳細については、ロールベースのアクセス制御に関するページをご覧ください。
Microsoft.Network と、デプロイする特定のリソース プロバイダー (Microsoft Sql など) をサブスクリプション レベルで登録する必要があります。
プライベート エンドポイント
このセクションでは、プライベート エンドポイントをデプロイするために必要なきめ細かいアクセス許可の一覧を示します。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | リソース グループのリソースを読み取ります |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を読み取ります |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を読み取ります |
| Microsoft.Network/virtualNetworks/subnets/write | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 |
| Microsoft.Network/privateEndpoints/read | プライベート エンドポイントのリソースを読み取ります |
| Microsoft.Network/privateEndpoints/write | 新しいプライベート エンドポイントを作成するか、または既存のプライベート エンドポイントを更新します |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | 使用できるプライベート エンドポイント リソースを読み取ります |
上記のアクセス許可の JSON 形式を次に示します。 独自の roleName、description、および assignableScopes を入力します。
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
プライベート リンク サービス
このセクションでは、プライベート リンク サービスをデプロイするために必要な詳細なアクセス許可の一覧を示します。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | リソース グループのリソースを読み取ります |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を読み取ります |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を読み取ります |
| Microsoft.Network/virtualNetworks/subnets/write | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。 |
| Microsoft.Network/privateLinkServices/read | プライベート リンクのサービス リソースを読み取ります |
| Microsoft.Network/privateLinkServices/write | 新しいプライベート リンク サービスを作成するか、または既存のプライベート リンク サービスを更新します |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | プライベート エンドポイント接続の定義を読み取ります |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | 新しいプライベート エンドポイント接続を作成するか、または既存のプライベート エンドポイント接続を更新します |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を読み取ります |
| Microsoft.Network/loadBalancers/write | ロード バランサーを作成するか、既存のロード バランサーを更新します。 |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
プライベート エンドポイントの RBAC 承認
通常、ネットワーク管理者がプライベート エンドポイントを作成します。 Azure のロールベースのアクセス制御 (RBAC) アクセス許可に応じて、作成するプライベート エンドポイントは、API Management インスタンスにトラフィックを送信するように "自動的に承認" されるか、リソース所有者が接続を "手動で承認" する必要があるか、のどちらかです。
| 承認方法 | RBAC の最小アクセス許可 |
|---|---|
| 自動 | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| マニュアル | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
次のステップ
Azure Private Link のプライベート エンドポイントおよびプライベート リンク サービスの詳細については、以下を参照してください。