Delen via


API's gebruiken om een privékoppeling te maken voor het beheren van Azure-resources

In dit artikel wordt uitgelegd hoe u Azure Private Link kunt gebruiken om de toegang te beperken voor het beheren van resources in uw abonnementen.

Met privékoppelingen hebt u toegang tot Azure-services via een privé-eindpunt in uw virtuele netwerk. Wanneer u privékoppelingen combineert met de bewerkingen van Azure Resource Manager, blokkeert u gebruikers die zich niet op het specifieke eindpunt van het beheer van resources bevindt. Als een kwaadwillende gebruiker referenties ophaalt voor een account in uw abonnement, kan die gebruiker de resources niet beheren zonder zich op het specifieke eindpunt te bevinden.

Private Link biedt de volgende beveiligingsvoordelen:

  • Privétoegang : gebruikers kunnen resources beheren vanuit een particulier netwerk via een privé-eindpunt.

Notitie

Azure Kubernetes Service (AKS) biedt momenteel geen ondersteuning voor de implementatie van het ARM-privé-eindpunt.

Azure Bastion biedt geen ondersteuning voor privékoppelingen. Het wordt aanbevolen om een privé-DNS-zone te gebruiken voor de configuratie van het privé-link-privékoppeling-eindpunt voor resourcebeheer, maar vanwege de overlap met de management.azure.com naam, werkt uw Bastion-exemplaar niet meer. Bekijk de veelgestelde vragen over Azure Bastion voor meer informatie.

Architectuur begrijpen

Belangrijk

Voor deze release kunt u alleen privékoppelingsbeheertoegang toepassen op het niveau van de hoofdbeheergroep. Deze beperking betekent dat private link-toegang wordt toegepast in uw tenant.

Er zijn twee resourcetypen die u gaat gebruiken bij het implementeren van beheer via een privékoppeling.

  • Private Link voor resourcebeheer (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Private Link-koppeling (Microsoft.Authorization/privateLinkAssociations)

In de volgende afbeelding ziet u hoe u een oplossing maakt waarmee de toegang voor het beheren van resources wordt beperkt.

Diagram van private link voor resourcebeheer

De koppeling private link breidt de hoofdbeheergroep uit. De private link-koppeling en de privé-eindpunten verwijzen naar de privékoppeling voor resourcebeheer.

Belangrijk

Accounts met meerdere tenants worden momenteel niet ondersteund voor het beheren van resources via een privékoppeling. U kunt geen private link-koppelingen koppelen aan verschillende tenants met één privékoppeling voor resourcebeheer.

Als uw account meer dan één tenant opent, definieert u een privékoppeling voor slechts één van deze tenants.

Workflow

Als u een privékoppeling voor resources wilt instellen, gebruikt u de volgende stappen. De stappen worden verderop in dit artikel uitgebreid beschreven.

  1. Maak de privékoppeling voor resourcebeheer.
  2. Maak een private link-koppelingskoppeling. De koppeling private link breidt de hoofdbeheergroep uit. Er wordt ook verwezen naar de resource-id voor de privékoppeling voor resourcebeheer.
  3. Voeg een privé-eindpunt toe dat verwijst naar de privékoppeling voor resourcebeheer.

Nadat u deze stappen hebt voltooid, kunt u Azure-resources beheren die zich binnen de hiërarchie van het bereik bevinden. U gebruikt een privé-eindpunt dat is verbonden met het subnet.

U kunt de toegang tot de privékoppeling bewaken. Zie Logboekregistratie en bewaking voor meer informatie.

Vereiste machtigingen

Belangrijk

Voor deze release kunt u alleen privékoppelingsbeheertoegang toepassen op het niveau van de hoofdbeheergroep. Deze beperking betekent dat private link-toegang wordt toegepast in uw tenant.

Als u de private link voor resourcebeheer wilt instellen, hebt u de volgende toegang nodig:

  • Eigenaar van het abonnement. Deze toegang is nodig om een private link-resource voor resourcebeheer te maken.
  • Eigenaar of Inzender in de hoofdbeheergroep. Deze toegang is nodig om de private link-koppelingsresource te maken.
  • De Globale Beheer istrator voor de Microsoft Entra-id is niet automatisch gemachtigd om rollen toe te wijzen aan de hoofdbeheergroep. Als u het maken van privékoppelingen voor resourcebeheer wilt inschakelen, moet de globale Beheer istrator gemachtigd zijn om de hoofdbeheergroep te lezen en de toegang te verhogen om gebruikerstoegang Beheer istratormachtigingen te hebben voor alle abonnementen en beheergroepen in de tenant. Nadat u de machtiging User Access Beheer istrator hebt, moet de globale Beheer istrator de machtiging Eigenaar of Inzender aan de gebruiker verlenen aan de gebruiker die de private link-koppeling maakt.

Als u een privékoppeling voor resourcebeheer wilt maken, verzendt u de volgende aanvraag:

Opmerking

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Noteer de id die wordt geretourneerd voor de privékoppeling voor het nieuwe resourcebeheer. U gebruikt deze voor het maken van de private link-koppeling.

De resourcenaam van een private link-koppelingsresource moet een GUID zijn en wordt nog niet ondersteund om het veld publicNetworkAccess uit te schakelen.

Als u de koppeling private link wilt maken, gebruikt u:

Opmerking

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Privé-eindpunt toevoegen

In dit artikel wordt ervan uitgegaan dat u al een virtueel netwerk hebt. In het subnet dat wordt gebruikt voor het privé-eindpunt, moet u het netwerkbeleid voor privé-eindpunten uitschakelen. Zie Netwerkbeleid uitschakelen voor privé-eindpunten als u geen beleid voor privé-eindpunten hebt uitgeschakeld.

Als u een privé-eindpunt wilt maken, raadpleegt u de documentatie voor privé-eindpunten voor het maken via portal, PowerShell, CLI, Bicep of sjabloon.

Stel in de hoofdtekst van de aanvraag de privateServiceLinkId id in vanaf de privékoppeling voor resourcebeheer. De groupIds moet bevatten ResourceManagement. De locatie van het privé-eindpunt moet hetzelfde zijn als de locatie van het subnet.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

De volgende stap is afhankelijk van of u automatische of handmatige goedkeuring gebruikt. Zie Toegang tot een private link-resource met behulp van de goedkeuringswerkstroom voor meer informatie over goedkeuring.

Het antwoord bevat de goedkeuringsstatus.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Als uw aanvraag automatisch wordt goedgekeurd, kunt u doorgaan naar de volgende sectie. Als voor uw aanvraag handmatige goedkeuring is vereist, wacht u totdat de netwerkbeheerder uw privé-eindpuntverbinding goedkeurt.

Volgende stappen

Zie Azure Private Link voor meer informatie over privékoppelingen.