Uprawnienia kontroli dostępu opartej na rolach platformy Azure dla usługi Azure Private Link
Zarządzanie dostępem do zasobów w chmurze jest krytyczną funkcją dla każdej organizacji. Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure zarządza dostępem i operacjami zasobów platformy Azure.
Aby wdrożyć prywatny punkt końcowy lub usługę łącza prywatnego, użytkownik musi mieć przypisaną wbudowaną rolę, taką jak:
Możesz zapewnić bardziej szczegółowy dostęp, tworząc rolę niestandardową z uprawnieniami opisanymi w poniższych sekcjach.
Ważne
W tym artykule wymieniono określone uprawnienia do tworzenia prywatnego punktu końcowego lub usługi łącza prywatnego. Upewnij się, że dodano określone uprawnienia związane z usługą, którą chcesz udzielić dostępu za pośrednictwem linku prywatnego, takiego jak rola współautora Microsoft.SQL dla Azure SQL. Aby uzyskać więcej informacji na temat wbudowanych ról, zobacz Role Based Access Control.
Microsoft.Network i określony wdrażany dostawca zasobów, na przykład Microsoft.Sql, muszą być zarejestrowane na poziomie subskrypcji:
Prywatny punkt końcowy
W tej sekcji wymieniono szczegółowe uprawnienia wymagane do wdrożenia prywatnego punktu końcowego.
Akcja | Opis |
---|---|
Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Odczytywanie zasobów dla grupy zasobów |
Microsoft.Network/virtualNetworks/read | Odczytywanie definicji sieci wirtualnej |
Microsoft.Network/virtualNetworks/subnets/read | Odczytywanie definicji podsieci sieci wirtualnej |
Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej |
Microsoft.Network/privateEndpoints/read | Odczytywanie zasobu prywatnego punktu końcowego |
Microsoft.Network/privateEndpoints/write | Tworzy nowy prywatny punkt końcowy lub aktualizuje istniejący prywatny punkt końcowy |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Odczytywanie dostępnych zasobów prywatnego punktu końcowego |
Oto format JSON powyższych uprawnień. Wprowadź własną nazwę roli, opis i przypiszableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Usługa łącza prywatnego
W tej sekcji wymieniono szczegółowe uprawnienia wymagane do wdrożenia usługi łącza prywatnego.
Akcja | Opis |
---|---|
Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Odczytywanie zasobów dla grupy zasobów |
Microsoft.Network/virtualNetworks/read | Odczytywanie definicji sieci wirtualnej |
Microsoft.Network/virtualNetworks/subnets/read | Odczytywanie definicji podsieci sieci wirtualnej |
Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
Microsoft.Network/privateLinkServices/read | Odczytywanie zasobu usługi private link |
Microsoft.Network/privateLinkServices/write | Tworzy nową usługę łącza prywatnego lub aktualizuje istniejącą usługę łącza prywatnego |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Odczytywanie definicji połączenia prywatnego punktu końcowego |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Tworzy nowe połączenie prywatnego punktu końcowego lub aktualizuje istniejące połączenie prywatnego punktu końcowego |
Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń |
Microsoft.Network/loadBalancers/read | Odczytywanie definicji modułu równoważenia obciążenia |
Microsoft.Network/loadBalancers/write | Tworzy moduł równoważenia obciążenia lub aktualizuje istniejący moduł równoważenia obciążenia |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Kontrola dostępu oparta na rolach zatwierdzania dla prywatnego punktu końcowego
Zazwyczaj administrator sieci tworzy prywatny punkt końcowy. W zależności od uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure tworzony prywatny punkt końcowy jest automatycznie zatwierdzony do wysyłania ruchu do wystąpienia API Management lub wymaga ręcznego zatwierdzenia połączenia przez właściciela zasobu.
Metoda zatwierdzania | Minimalne uprawnienia kontroli dostępu opartej na rolach |
---|---|
Automatyczny | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Ręcznie | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Następne kroki
Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i usług linków prywatnych w usłudze Azure Private Link, zobacz:
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla