Tworzenie łącza prywatnego do zarządzania zasobami platformy Azure za pomocą interfejsów API

  • Artykuł

W tym artykule wyjaśniono, jak za pomocą usługi Azure Private Link ograniczyć dostęp do zarządzania zasobami w ramach subskrypcji.

Linki prywatne umożliwiają dostęp do usług platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Łącząc łącza prywatne z operacjami usługi Azure Resource Manager, blokujesz użytkownikom, którzy nie znajdują się w określonym punkcie końcowym, z zarządzania zasobami. Jeśli złośliwy użytkownik otrzyma poświadczenia do konta w ramach subskrypcji, ten użytkownik nie może zarządzać zasobami bez znajdowania się w określonym punkcie końcowym.

Usługa Private Link zapewnia następujące korzyści zabezpieczeń:

  • Dostęp prywatny — użytkownicy mogą zarządzać zasobami z sieci prywatnej za pośrednictwem prywatnego punktu końcowego.

Uwaga

Usługa Azure Kubernetes Service (AKS) obecnie nie obsługuje implementacji prywatnego punktu końcowego usługi ARM.

Usługa Azure Bastion nie obsługuje łączy prywatnych. Zaleca się użycie prywatnej strefy DNS dla konfiguracji prywatnego punktu końcowego łącza zarządzania zasobami, ale ze względu na nakładanie się na nazwę management.azure.com wystąpienie usługi Bastion przestanie działać. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.

Omówienie architektury

Ważne

W tej wersji można stosować dostęp do zarządzania łączami prywatnymi tylko na poziomie głównej grupy zarządzania. To ograniczenie oznacza, że dostęp do łącza prywatnego jest stosowany w dzierżawie.

Istnieją dwa typy zasobów, których będziesz używać podczas implementowania zarządzania za pośrednictwem łącza prywatnego.

  • Link prywatny do zarządzania zasobami (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Skojarzenie łącza prywatnego (Microsoft.Authorization/privateLinkAssociations)

Na poniższej ilustracji przedstawiono sposób konstruowania rozwiązania, które ogranicza dostęp do zarządzania zasobami.

Diagram łącza prywatnego zarządzania zasobami

Skojarzenie łącza prywatnego rozszerza główną grupę zarządzania. Skojarzenie łącza prywatnego i prywatne punkty końcowe odwołują się do łącza prywatnego zarządzania zasobami.

Ważne

Konta z wieloma dzierżawami nie są obecnie obsługiwane do zarządzania zasobami za pośrednictwem łącza prywatnego. Nie można połączyć skojarzeń łącza prywatnego w różnych dzierżawach z pojedynczym linkiem prywatnym do zarządzania zasobami.

Jeśli twoje konto uzyskuje dostęp do więcej niż jednej dzierżawy, zdefiniuj link prywatny tylko dla jednego z nich.

Przepływ pracy

Aby skonfigurować link prywatny dla zasobów, wykonaj następujące kroki. Kroki zostały szczegółowo opisane w dalszej części tego artykułu.

  1. Utwórz link prywatny do zarządzania zasobami.
  2. Utwórz skojarzenie łącza prywatnego. Skojarzenie łącza prywatnego rozszerza główną grupę zarządzania. Odwołuje się również do identyfikatora zasobu dla łącza prywatnego zarządzania zasobami.
  3. Dodaj prywatny punkt końcowy, który odwołuje się do łącza prywatnego zarządzania zasobami.

Po wykonaniu tych kroków możesz zarządzać zasobami platformy Azure, które znajdują się w hierarchii zakresu. Należy użyć prywatnego punktu końcowego połączonego z podsiecią.

Dostęp do łącza prywatnego można monitorować. Aby uzyskać więcej informacji, zobacz Rejestrowanie i monitorowanie.

Wymagane uprawnienia

Ważne

W tej wersji można stosować dostęp do zarządzania łączami prywatnymi tylko na poziomie głównej grupy zarządzania. To ograniczenie oznacza, że dostęp do łącza prywatnego jest stosowany w dzierżawie.

Aby skonfigurować link prywatny do zarządzania zasobami, potrzebny jest następujący dostęp:

  • Właściciel subskrypcji. Ten dostęp jest potrzebny do utworzenia zasobu łącza prywatnego zarządzania zasobami.
  • Właściciel lub Współautor w głównej grupie zarządzania. Ten dostęp jest potrzebny do utworzenia zasobu skojarzenia łącza prywatnego.
  • Globalny Administracja istrator identyfikatora Entra firmy Microsoft nie ma automatycznie uprawnień do przypisywania ról w głównej grupie zarządzania. Aby włączyć tworzenie linków prywatnych do zarządzania zasobami, administrator globalny Administracja musi mieć uprawnienia do odczytu głównej grupy zarządzania i podnieść poziom dostępu, aby mieć uprawnienia dostępu użytkowników Administracja istrator dla wszystkich subskrypcji i grup zarządzania w dzierżawie. Po otrzymaniu uprawnienia Administracja istratora dostępu użytkowników administrator globalny Administracja istrator musi udzielić uprawnienia Właściciel lub Współautor w głównej grupie zarządzania do użytkownika tworzącego skojarzenie łącza prywatnego.

Aby utworzyć link prywatny do zarządzania zasobami, wyślij następujące żądanie:

Przykład

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Zwróć uwagę na identyfikator zwracany dla nowego łącza prywatnego zarządzania zasobami. Użyjesz go do utworzenia skojarzenia łącza prywatnego.

Nazwa zasobu skojarzenia łącza prywatnego musi być identyfikatorem GUID i nie jest jeszcze obsługiwana, aby wyłączyć pole publicNetworkAccess.

Aby utworzyć skojarzenie łącza prywatnego, użyj:

Przykład

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Dodawanie prywatnego punktu końcowego

W tym artykule założono, że masz już sieć wirtualną. W podsieci, która będzie używana dla prywatnego punktu końcowego, należy wyłączyć zasady sieci prywatnego punktu końcowego. Jeśli nie wyłączono zasad sieci prywatnych punktów końcowych, zobacz Wyłączanie zasad sieci dla prywatnych punktów końcowych.

Aby utworzyć prywatny punkt końcowy, zobacz dokumentację prywatnego punktu końcowego dotyczącą tworzenia za pośrednictwem portalu, programu PowerShell, interfejsu wiersza polecenia, Bicep lub szablonu.

W treści żądania ustaw privateServiceLinkId identyfikator z łącza prywatnego zarządzania zasobami. Element groupIds musi zawierać wartość ResourceManagement. Lokalizacja prywatnego punktu końcowego musi być taka sama jak lokalizacja podsieci.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

Następny krok różni się w zależności od tego, czy używasz automatycznego, czy ręcznego zatwierdzania. Aby uzyskać więcej informacji na temat zatwierdzania, zobacz Dostęp do zasobu łącza prywatnego przy użyciu przepływu pracy zatwierdzania.

Odpowiedź zawiera stan zatwierdzenia.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Jeśli żądanie zostanie automatycznie zatwierdzone, możesz przejść do następnej sekcji. Jeśli żądanie wymaga ręcznego zatwierdzenia, poczekaj, aż administrator sieci zatwierdzi połączenie prywatnego punktu końcowego.

Następne kroki

Aby dowiedzieć się więcej na temat linków prywatnych, zobacz Azure Private Link.