Azure RBAC-machtigingen voor Azure Private Link
Toegangsbeheer voor cloudresources is een essentiële functie voor elke organisatie. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) beheert de toegang en bewerkingen van Azure-resources.
Voor het implementeren van een privé-eindpunt of Private Link-service moet een gebruiker een ingebouwde rol hebben toegewezen, zoals:
U kunt gedetailleerdere toegang bieden door een aangepaste rol te maken met de machtigingen die in de volgende secties worden beschreven.
Belangrijk
In dit artikel vindt u de specifieke machtigingen voor het maken van een privé-eindpunt of private link-service. Zorg ervoor dat u de specifieke machtigingen toevoegt met betrekking tot de service die u toegang wilt verlenen via private link, zoals De rol Microsoft.SQL-inzender voor Azure SQL. Zie Op rollen gebaseerde Access Control voor meer informatie over ingebouwde rollen.
Microsoft.Network en de specifieke resourceprovider die u implementeert, bijvoorbeeld Microsoft.Sql, moeten worden geregistreerd op abonnementsniveau:
Privé-eindpunt
In deze sectie vindt u gedetailleerde machtigingen die vereist zijn voor het implementeren van een privé-eindpunt.
Actie | Beschrijving |
---|---|
Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | De resources voor de resourcegroep lezen |
Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk lezen |
Microsoft.Network/virtualNetworks/subnets/read | De definitie van een subnet van een virtueel netwerk lezen |
Microsoft.Network/virtualNetworks/subnets/write | Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij |
Microsoft.Network/virtualNetworks/subnets/join/action | Lid worden van een virtueel netwerk |
Microsoft.Network/privateEndpoints/read | Een privé-eindpuntresource lezen |
Microsoft.Network/privateEndpoints/write | Hiermee maakt u een nieuw privé-eindpunt of werkt u een bestaand privé-eindpunt bij |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Beschikbare resources voor privé-eindpunten lezen |
Dit is de JSON-indeling van de bovenstaande machtigingen. Voer uw eigen roleName, beschrijving en assignableScopes in:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Private Link-service
In deze sectie vindt u de gedetailleerde machtigingen die nodig zijn voor het implementeren van een Private Link-service.
Actie | Beschrijving |
---|---|
Microsoft.Resources/deployments/* | Een implementatie maken en beheren |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | De resources voor de resourcegroep lezen |
Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk lezen |
Microsoft.Network/virtualNetworks/subnets/read | De definitie van een subnet van een virtueel netwerk lezen |
Microsoft.Network/virtualNetworks/subnets/write | Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij |
Microsoft.Network/privateLinkServices/read | Een private link-serviceresource lezen |
Microsoft.Network/privateLinkServices/write | Hiermee maakt u een nieuwe Private Link-service of werkt u een bestaande Private Link-service bij |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | De definitie van een privé-eindpuntverbinding lezen |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Hiermee maakt u een nieuwe privé-eindpuntverbinding of werkt u een bestaande privé-eindpuntverbinding bij |
Microsoft.Network/networkSecurityGroups/join/action | Lid worden van een netwerkbeveiligingsgroep |
Microsoft.Network/loadBalancers/read | Een load balancer-definitie lezen |
Microsoft.Network/loadBalancers/write | Hiermee maakt u een load balancer of werkt u een bestaande load balancer bij |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Goedkeurings-RBAC voor privé-eindpunt
Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management exemplaar of vereist dat de resource-eigenaar de verbinding handmatig goedkeurt.
Goedkeuringsmethode | Minimale RBAC-machtigingen |
---|---|
Automatisch | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Handmatig | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Volgende stappen
Zie voor meer informatie over privé-eindpunten en Private Link-services in Azure Private Link: