Azure RBAC-machtigingen voor Azure Private Link
Toegangsbeheer voor cloudresources is een kritieke functie voor elke organisatie. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) beheert de toegang en bewerkingen van Azure-resources.
Als u een privé-eindpunt of private link-service wilt implementeren, moet een gebruiker een ingebouwde rol hebben toegewezen, zoals:
U kunt gedetailleerdere toegang bieden door een aangepaste rol te maken met de machtigingen die in de volgende secties worden beschreven.
Belangrijk
In dit artikel worden de specifieke machtigingen vermeld voor het maken van een privé-eindpunt of private link-service. Zorg ervoor dat u de specifieke machtigingen toevoegt die betrekking hebben op de service die u via private link toegang wilt verlenen, zoals Microsoft.SQL rol Inzender voor Azure SQL. Zie Op rollen gebaseerd toegangsbeheer voor meer informatie over ingebouwde rollen.
Microsoft.Network en de specifieke resourceprovider die u implementeert, bijvoorbeeld Microsoft.Sql, moeten worden geregistreerd op abonnementsniveau:
Privé-eindpunt
In deze sectie worden de gedetailleerde machtigingen vermeld die vereist zijn voor het implementeren van een privé-eindpunt, het beheren van subnetbeleid voor privé-eindpunten en het implementeren van afhankelijke resources
Actie | Beschrijving |
---|---|
Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | De resources voor de resourcegroep lezen |
Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk lezen |
Microsoft.Network/virtualNetworks/subnets/read | Een subnetdefinitie voor een virtueel netwerk lezen |
Microsoft.Network/virtualNetworks/subnetten/write | Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij. Niet expliciet nodig om een privé-eindpunt te implementeren, maar nodig voor het beheren van subnetbeleid voor privé-eindpunten |
Microsoft.Network/virtualNetworks/subnets/join/action | Een privé-eindpunt toestaan om lid te worden van een virtueel netwerk |
Microsoft.Network/privateEndpoints/read | Een privé-eindpuntresource lezen |
Microsoft.Network/privateEndpoints/write | Hiermee maakt u een nieuw privé-eindpunt of werkt u een bestaand privé-eindpunt bij |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Beschikbare privé-eindpuntbronnen lezen |
Dit is de JSON-indeling van de bovenstaande machtigingen. Voer uw eigen roleName, description en assignableScopes in:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Private Link-service
In deze sectie worden de gedetailleerde machtigingen vermeld die vereist zijn voor het implementeren van een Private Link-service, het beheren van subnetbeleid voor de Private Link-service en het implementeren van afhankelijke resources
Actie | Beschrijving |
---|---|
Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | De resources voor de resourcegroep lezen |
Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk lezen |
Microsoft.Network/virtualNetworks/subnets/read | Een subnetdefinitie voor een virtueel netwerk lezen |
Microsoft.Network/virtualNetworks/subnetten/write | Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij. Niet expliciet nodig om een Private Link-service te implementeren, maar nodig voor het beheren van subnetbeleid voor private link |
Microsoft.Network/privateLinkServices/read | Een private link-serviceresource lezen |
Microsoft.Network/privateLinkServices/write | Hiermee maakt u een nieuwe private link-service of werkt u een bestaande private link-service bij |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Een definitie van een privé-eindpuntverbinding lezen |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Hiermee maakt u een nieuwe privé-eindpuntverbinding of werkt u een bestaande privé-eindpuntverbinding bij |
Microsoft.Network/networkSecurityGroups/join/action | Hiermee wordt een netwerkbeveiligingsgroep toegevoegd |
Microsoft.Network/loadBalancers/read | Een load balancer-definitie lezen |
Microsoft.Network/loadBalancers/write | Hiermee maakt u een load balancer of werkt u een bestaande load balancer bij |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Goedkeurings-RBAC voor privé-eindpunt
Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management-exemplaar of moet de resource-eigenaar de verbinding handmatig goedkeuren .
Goedkeuringsmethode | Minimale RBAC-machtigingen |
---|---|
Automatisch | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Handmatig | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Volgende stappen
Zie voor meer informatie over privé-eindpunten en private link-services in Azure Private Link: