Azure RBAC-machtigingen voor Azure Private Link

Toegangsbeheer voor cloudresources is een essentiële functie voor elke organisatie. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) beheert de toegang en bewerkingen van Azure-resources.

Voor het implementeren van een privé-eindpunt of Private Link-service moet een gebruiker een ingebouwde rol hebben toegewezen, zoals:

• Eigenaar
• Inzender
• Inzender voor netwerken

U kunt gedetailleerdere toegang bieden door een aangepaste rol te maken met de machtigingen die in de volgende secties worden beschreven.

Belangrijk

In dit artikel vindt u de specifieke machtigingen voor het maken van een privé-eindpunt of private link-service. Zorg ervoor dat u de specifieke machtigingen toevoegt met betrekking tot de service die u toegang wilt verlenen via private link, zoals De rol Microsoft.SQL-inzender voor Azure SQL. Zie Op rollen gebaseerde Access Control voor meer informatie over ingebouwde rollen.

Microsoft.Network en de specifieke resourceprovider die u implementeert, bijvoorbeeld Microsoft.Sql, moeten worden geregistreerd op abonnementsniveau:

Privé-eindpunt

In deze sectie vindt u gedetailleerde machtigingen die vereist zijn voor het implementeren van een privé-eindpunt.

Actie	Beschrijving
Microsoft.Resources/deployments/*	Een implementatie maken en beheren
Microsoft.Resources/subscriptions/resourcegroups/resources/read	De resources voor de resourcegroep lezen
Microsoft.Network/virtualNetworks/read	De definitie van het virtuele netwerk lezen
Microsoft.Network/virtualNetworks/subnets/read	De definitie van een subnet van een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/subnets/write	Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij
Microsoft.Network/virtualNetworks/subnets/join/action	Lid worden van een virtueel netwerk
Microsoft.Network/privateEndpoints/read	Een privé-eindpuntresource lezen
Microsoft.Network/privateEndpoints/write	Hiermee maakt u een nieuw privé-eindpunt of werkt u een bestaand privé-eindpunt bij
Microsoft.Network/locations/availablePrivateEndpointTypes/read	Beschikbare resources voor privé-eindpunten lezen

Dit is de JSON-indeling van de bovenstaande machtigingen. Voer uw eigen roleName, beschrijving en assignableScopes in:

{
 "properties": {
   "roleName": "Role Name",
   "description": "Description",
   "assignableScopes": [
     "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
   ],
   "permissions": [
     {
       "actions": [
         "Microsoft.Resources/deployments/*",
         "Microsoft.Resources/subscriptions/resourceGroups/read",
         "Microsoft.Network/virtualNetworks/read",
         "Microsoft.Network/virtualNetworks/subnets/read",
         "Microsoft.Network/virtualNetworks/subnets/write",
         "Microsoft.Network/virtualNetworks/subnets/join/action",
         "Microsoft.Network/privateEndpoints/read",
         "Microsoft.Network/privateEndpoints/write",
         "Microsoft.Network/locations/availablePrivateEndpointTypes/read"
       ],
       "notActions": [],
       "dataActions": [],
       "notDataActions": []
     }
   ]
 }
}

Private Link-service

In deze sectie vindt u de gedetailleerde machtigingen die nodig zijn voor het implementeren van een Private Link-service.

Actie	Beschrijving
Microsoft.Resources/deployments/*	Een implementatie maken en beheren
Microsoft.Resources/subscriptions/resourcegroups/resources/read	De resources voor de resourcegroep lezen
Microsoft.Network/virtualNetworks/read	De definitie van het virtuele netwerk lezen
Microsoft.Network/virtualNetworks/subnets/read	De definitie van een subnet van een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/subnets/write	Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij
Microsoft.Network/privateLinkServices/read	Een private link-serviceresource lezen
Microsoft.Network/privateLinkServices/write	Hiermee maakt u een nieuwe Private Link-service of werkt u een bestaande Private Link-service bij
Microsoft.Network/privateLinkServices/privateEndpointConnections/read	De definitie van een privé-eindpuntverbinding lezen
Microsoft.Network/privateLinkServices/privateEndpointConnections/write	Hiermee maakt u een nieuwe privé-eindpuntverbinding of werkt u een bestaande privé-eindpuntverbinding bij
Microsoft.Network/networkSecurityGroups/join/action	Lid worden van een netwerkbeveiligingsgroep
Microsoft.Network/loadBalancers/read	Een load balancer-definitie lezen
Microsoft.Network/loadBalancers/write	Hiermee maakt u een load balancer of werkt u een bestaande load balancer bij

{
  "properties": {
    "roleName": "Role Name",
    "description": "Description",
    "assignableScopes": [
      "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/privateLinkServices/read",
          "Microsoft.Network/privateLinkServices/write",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/loadBalancers/read",
          "Microsoft.Network/loadBalancers/write"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

Goedkeurings-RBAC voor privé-eindpunt

Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management exemplaar of vereist dat de resource-eigenaar de verbinding handmatig goedkeurt.

Goedkeuringsmethode	Minimale RBAC-machtigingen
Automatisch	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Handmatig	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Volgende stappen

Zie voor meer informatie over privé-eindpunten en Private Link-services in Azure Private Link:

• Wat is een privé-eindpunt van Azure?
• Wat is de Azure Private Link-service?