Delen via


Azure RBAC-machtigingen voor Azure Private Link

Toegangsbeheer voor cloudresources is een kritieke functie voor elke organisatie. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) beheert de toegang en bewerkingen van Azure-resources.

Als u een privé-eindpunt of private link-service wilt implementeren, moet een gebruiker een ingebouwde rol hebben toegewezen, zoals:

U kunt gedetailleerdere toegang bieden door een aangepaste rol te maken met de machtigingen die in de volgende secties worden beschreven.

Belangrijk

In dit artikel worden de specifieke machtigingen vermeld voor het maken van een privé-eindpunt of private link-service. Zorg ervoor dat u de specifieke machtigingen toevoegt die betrekking hebben op de service die u via private link toegang wilt verlenen, zoals Microsoft.SQL rol Inzender voor Azure SQL. Zie Op rollen gebaseerd toegangsbeheer voor meer informatie over ingebouwde rollen.

Microsoft.Network en de specifieke resourceprovider die u implementeert, bijvoorbeeld Microsoft.Sql, moeten worden geregistreerd op abonnementsniveau:

image

Privé-eindpunt

In deze sectie worden de gedetailleerde machtigingen vermeld die vereist zijn voor het implementeren van een privé-eindpunt, het beheren van subnetbeleid voor privé-eindpunten en het implementeren van afhankelijke resources

Actie Beschrijving
Microsoft.Resources/deployments/* Een implementatie maken en beheren
Microsoft.Resources/subscriptions/resourcegroups/resources/read De resources voor de resourcegroep lezen
Microsoft.Network/virtualNetworks/read De definitie van het virtuele netwerk lezen
Microsoft.Network/virtualNetworks/subnets/read Een subnetdefinitie voor een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/subnetten/write Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij.
Niet expliciet nodig om een privé-eindpunt te implementeren, maar nodig voor het beheren van subnetbeleid voor privé-eindpunten
Microsoft.Network/virtualNetworks/subnets/join/action Een privé-eindpunt toestaan om lid te worden van een virtueel netwerk
Microsoft.Network/privateEndpoints/read Een privé-eindpuntresource lezen
Microsoft.Network/privateEndpoints/write Hiermee maakt u een nieuw privé-eindpunt of werkt u een bestaand privé-eindpunt bij
Microsoft.Network/locations/availablePrivateEndpointTypes/read Beschikbare privé-eindpuntbronnen lezen

Dit is de JSON-indeling van de bovenstaande machtigingen. Voer uw eigen roleName, description en assignableScopes in:

{
 "properties": {
   "roleName": "Role Name",
   "description": "Description",
   "assignableScopes": [
     "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
   ],
   "permissions": [
     {
       "actions": [
         "Microsoft.Resources/deployments/*",
         "Microsoft.Resources/subscriptions/resourceGroups/read",
         "Microsoft.Network/virtualNetworks/read",
         "Microsoft.Network/virtualNetworks/subnets/read",
         "Microsoft.Network/virtualNetworks/subnets/write",
         "Microsoft.Network/virtualNetworks/subnets/join/action",
         "Microsoft.Network/privateEndpoints/read",
         "Microsoft.Network/privateEndpoints/write",
         "Microsoft.Network/locations/availablePrivateEndpointTypes/read"
       ],
       "notActions": [],
       "dataActions": [],
       "notDataActions": []
     }
   ]
 }
}

In deze sectie worden de gedetailleerde machtigingen vermeld die vereist zijn voor het implementeren van een Private Link-service, het beheren van subnetbeleid voor de Private Link-service en het implementeren van afhankelijke resources

Actie Beschrijving
Microsoft.Resources/deployments/* Een implementatie maken en beheren
Microsoft.Resources/subscriptions/resourcegroups/resources/read De resources voor de resourcegroep lezen
Microsoft.Network/virtualNetworks/read De definitie van het virtuele netwerk lezen
Microsoft.Network/virtualNetworks/subnets/read Een subnetdefinitie voor een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/subnetten/write Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij.
Niet expliciet nodig om een Private Link-service te implementeren, maar nodig voor het beheren van subnetbeleid voor private link
Microsoft.Network/privateLinkServices/read Een private link-serviceresource lezen
Microsoft.Network/privateLinkServices/write Hiermee maakt u een nieuwe private link-service of werkt u een bestaande private link-service bij
Microsoft.Network/privateLinkServices/privateEndpointConnections/read Een definitie van een privé-eindpuntverbinding lezen
Microsoft.Network/privateLinkServices/privateEndpointConnections/write Hiermee maakt u een nieuwe privé-eindpuntverbinding of werkt u een bestaande privé-eindpuntverbinding bij
Microsoft.Network/networkSecurityGroups/join/action Hiermee wordt een netwerkbeveiligingsgroep toegevoegd
Microsoft.Network/loadBalancers/read Een load balancer-definitie lezen
Microsoft.Network/loadBalancers/write Hiermee maakt u een load balancer of werkt u een bestaande load balancer bij
{
  "properties": {
    "roleName": "Role Name",
    "description": "Description",
    "assignableScopes": [
      "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/privateLinkServices/read",
          "Microsoft.Network/privateLinkServices/write",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/loadBalancers/read",
          "Microsoft.Network/loadBalancers/write"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

Goedkeurings-RBAC voor privé-eindpunt

Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management-exemplaar of moet de resource-eigenaar de verbinding handmatig goedkeuren .

Goedkeuringsmethode Minimale RBAC-machtigingen
Automatisch Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Handmatig Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

Volgende stappen

Zie voor meer informatie over privé-eindpunten en private link-services in Azure Private Link: