Deze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
Toegangsbeheer voor cloudresources is een kritieke functie voor elke organisatie. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) beheert de toegang en bewerkingen van Azure-resources.
Als u een privé-eindpunt of private link-service wilt implementeren, moet een gebruiker een ingebouwde rol hebben toegewezen, zoals:
U kunt gedetailleerdere toegang bieden door een aangepaste rol te maken met de machtigingen die in de volgende secties worden beschreven.
Belangrijk
In dit artikel worden de specifieke machtigingen vermeld voor het maken van een privé-eindpunt of private link-service. Zorg ervoor dat u de specifieke machtigingen toevoegt die betrekking hebben op de service die u via private link toegang wilt verlenen, zoals Microsoft.SQL rol Inzender voor Azure SQL. Zie Op rollen gebaseerd toegangsbeheer voor meer informatie over ingebouwde rollen.
Microsoft.Network en de specifieke resourceprovider die u implementeert, bijvoorbeeld Microsoft.Sql, moeten worden geregistreerd op abonnementsniveau:
In deze sectie worden de gedetailleerde machtigingen vermeld die vereist zijn voor het implementeren van een privé-eindpunt, het beheren van subnetbeleid voor privé-eindpunten en het implementeren van afhankelijke resources
| Actie | Beschrijving |
|---|---|
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | De resources voor de resourcegroep lezen |
| Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk lezen |
| Microsoft.Network/virtualNetworks/subnets/read | Een subnetdefinitie voor een virtueel netwerk lezen |
| Microsoft.Network/virtualNetworks/subnetten/write | Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij. Niet expliciet nodig om een privé-eindpunt te implementeren, maar nodig voor het beheren van subnetbeleid voor privé-eindpunten |
| Microsoft.Network/virtualNetworks/subnets/join/action | Een privé-eindpunt toestaan om lid te worden van een virtueel netwerk |
| Microsoft.Network/privateEndpoints/read | Een privé-eindpuntresource lezen |
| Microsoft.Network/privateEndpoints/write | Hiermee maakt u een nieuw privé-eindpunt of werkt u een bestaand privé-eindpunt bij |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Beschikbare privé-eindpuntbronnen lezen |
Dit is de JSON-indeling van de bovenstaande machtigingen. Voer uw eigen roleName, description en assignableScopes in:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
In deze sectie worden de gedetailleerde machtigingen vermeld die vereist zijn voor het implementeren van een Private Link-service, het beheren van subnetbeleid voor de Private Link-service en het implementeren van afhankelijke resources
| Actie | Beschrijving |
|---|---|
| Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | De resources voor de resourcegroep lezen |
| Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk lezen |
| Microsoft.Network/virtualNetworks/subnets/read | Een subnetdefinitie voor een virtueel netwerk lezen |
| Microsoft.Network/virtualNetworks/subnetten/write | Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij. Niet expliciet nodig om een Private Link-service te implementeren, maar nodig voor het beheren van subnetbeleid voor private link |
| Microsoft.Network/privateLinkServices/read | Een private link-serviceresource lezen |
| Microsoft.Network/privateLinkServices/write | Hiermee maakt u een nieuwe private link-service of werkt u een bestaande private link-service bij |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Een definitie van een privé-eindpuntverbinding lezen |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Hiermee maakt u een nieuwe privé-eindpuntverbinding of werkt u een bestaande privé-eindpuntverbinding bij |
| Microsoft.Network/networkSecurityGroups/join/action | Hiermee wordt een netwerkbeveiligingsgroep toegevoegd |
| Microsoft.Network/loadBalancers/read | Een load balancer-definitie lezen |
| Microsoft.Network/loadBalancers/write | Hiermee maakt u een load balancer of werkt u een bestaande load balancer bij |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management-exemplaar of moet de resource-eigenaar de verbinding handmatig goedkeuren .
| Goedkeuringsmethode | Minimale RBAC-machtigingen |
|---|---|
| Automatisch | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Handmatig | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Zie voor meer informatie over privé-eindpunten en private link-services in Azure Private Link:
Training
Module
Inleiding tot Azure Private Link - Training
Beschrijf hoe Azure Private Link privéconnectiviteit met Azure-services mogelijk maakt, met inbegrip van de functies, hoe het werkt en de gebruiksvoorbeelden.
Certificering
Microsoft Gecertificeerd: Azure Beheerder Medewerker - Certifications
Demonstreer belangrijke vaardigheden voor het configureren, beheren, beveiligen en beheren van belangrijke professionele functies in Microsoft Azure.