Use as APIs para criar um link privado para gerenciar recursos do Azure

Este artigo explica como você pode usar o Link Privado do Azure para restringir o acesso ao gerenciamento de recursos em suas assinaturas.

O Link Privado permite que você acesse os Serviços do Azure em um ponto de extremidade privado na sua rede virtual. Ao combinar links privados com as operações do Azure Resource Manager, você bloqueia os usuários que não estão no ponto de extremidade específico do gerenciamento de recursos. Se um usuário mal-intencionado receber credenciais para uma conta em sua assinatura, esse usuário não poderá gerenciar os recursos sem estar no ponto de extremidade específico.

O Link Privado oferece os seguintes benefícios de segurança:

• Acesso privado – os usuários podem gerenciar recursos de uma rede privada por meio de um ponto de extremidade privado.

Observação

O Serviço de Kubernetes do Azure (AKS) atualmente não dá suporte à implementação do ponto de extremidade privado do ARM.

O Azure Bastion não dá suporte a links privados. Recomenda-se usar uma zona DNS privada para sua configuração de ponto de extremidade privado de link privado de gerenciamento de recursos, mas devido à sobreposição com o nome management.azure.com, sua instância Bastion deixará de funcionar. Para obter mais informações, veja Perguntas frequentes sobre o Azure Bastion.

Compreenda a arquitetura

Importante

Para esta versão, você só pode aplicar o acesso de gerenciamento do link privado no nível do grupo de gerenciamento raiz. Essa limitação significa que o acesso ao link privado é aplicado em seu locatário.

Há dois tipos de recursos que você usará ao implementar o gerenciamento por meio de um link privado.

• Link privado de gerenciamento de recursos (Microsoft.Authorization/resourceManagementPrivateLinks)
• Associação de link privado (Microsoft. Authorization/privateLinkAssociations)

A imagem a seguir mostra como construir uma solução que restrinja o acesso para gerenciar recursos.

A associação de link privado estende o grupo de gerenciamento raiz. A associação de link privado e os pontos de extremidade privados referenciam o link privado do gerenciamento de recursos.

Importante

No momento, não há suporte para contas multilocatários para o gerenciamento de recursos por meio de um link privado. Não é possível conectar associações de link privado em locatários diferentes a um único link privado de gerenciamento de recursos.

Se a sua conta acessa mais de um locatário, defina um link privado para apenas um deles.

Fluxo de trabalho

Para configurar um link privado para os recursos, use as etapas a seguir. As etapas são descritas mais detalhadamente mais adiante neste artigo.

1. Criar um link privado de gerenciamento de recursos.
2. Criar uma associação de link privado. A associação de link privado estende o grupo de gerenciamento raiz. Ela também faz referência à ID do recurso para o link privado do gerenciamento de recursos.
3. Adicione um ponto de extremidade privado que referencie o link privado do gerenciamento de recursos.

Depois de concluir essas etapas, você poderá gerenciar os recursos do Azure que estão dentro da hierarquia do escopo. Use um ponto de extremidade privado que esteja conectado à sub-rede.

Você pode monitorar o acesso ao link privado. Para obter mais informações, consulte Registro de log e monitoramento.

Permissões necessárias

Importante

Para esta versão, você só pode aplicar o acesso de gerenciamento do link privado no nível do grupo de gerenciamento raiz. Essa limitação significa que o acesso ao link privado é aplicado em seu locatário.

Para configurar o link privado para o gerenciamento de recursos, você precisará do seguinte acesso:

• Proprietário da assinatura. Esse acesso é necessário para criar recurso de link privado de gerenciamento de recursos.
• Proprietário ou colaborador no grupo de gerenciamento raiz. Esse acesso é necessário para criar o recurso de associação de link privado.
• O administrador global do Microsoft Entra ID não tem automaticamente permissão para atribuir funções no grupo de gerenciamento raiz. Para habilitar a criação de links privados de gerenciamento de recursos, o administrador global deve ter permissão para ler o grupo de gerenciamento raiz e elevar o acesso para ter permissão de administrador de acesso de usuário em todas as assinaturas e grupos de gerenciamento no locatário. Depois de obter a permissão de administrador de acesso do usuário, o administrador global deverá conceder permissão de proprietário ou colaborador no grupo de gerenciamento raiz para o usuário que está criando a associação de link privado.

Criar um link privado de gerenciamento de recursos

Para criar um link privado de gerenciamento de recursos, envie a seguinte solicitação:

CLI do Azure

Exemplo

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

PowerShell

Exemplo

# Login first with Connect-AzAccount if not using Cloud Shell
New-AzResourceManagementPrivateLink -ResourceGroupName PrivateLinkTestRG -Name NewRMPL

REST

Chamada REST

PUT
https://management.azure.com/subscriptions/{subscriptionID}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{rmplName}?api-version=2020-05-01

No corpo da solicitação, inclua o local desejado para o recurso:

{
  "location":"{region}"
}

A operação retorna:

{  
  "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
  "location": "{region}",
  "name": "{rmplName}",
  "properties": {
    "privateEndpointConnections": []
  },
  "resourceGroup": "{rgName}",
  "type": "Microsoft.Authorization/resourceManagementPrivateLinks"
}

Observe a ID que é retornada para o novo link privado de gerenciamento de recursos. Você o usará para criar a associação de link privado.

Criar a associação de link privado

O nome do recurso de um recurso de associação de link privado deve ser um GUID e ainda não há suporte para desabilitar o campo publicNetworkAccess.

Para criar a associação de link privado, use:

CLI do Azure

Exemplo

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

PowerShell

Exemplo

# Login first with Connect-AzAccount if not using Cloud Shell
New-AzPrivateLinkAssociation -ManagementGroupId fc096d27-0434-4460-a3ea-110df0422a2d -Name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 -PrivateLink "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL" -PublicNetworkAccess enabled | fl

REST

Chamada REST

PUT
https://management.azure.com/providers/Microsoft.Management/managementGroups/{managementGroupId}/providers/Microsoft.Authorization/privateLinkAssociations/{GUID}?api-version=2020-05-01 

No corpo da solicitação, inclua:

{
  "properties": {
    "privateLink": "/subscriptions/{subscription-id}/resourceGroups/{rg-name}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{rmplName}",
    "publicNetworkAccess": "enabled"
  }
}

A operação retorna:

{
  "id": {plaResourceId},
  "name": {plaName},
  "properties": {
    "privateLink": {rmplResourceId},
    "publicNetworkAccess": "Enabled",
    "tenantId": "{tenantId}",
    "scope": "/providers/Microsoft.Management/managementGroups/{managementGroupId}"
  },
  "type": "Microsoft.Authorization/privateLinkAssociations"
}

Adicionar o ponto de extremidade privado

Este artigo pressupõe que você já tenha uma rede virtual. Na sub-rede que será usada para o ponto de extremidade privado, você deve desativar as políticas de rede do ponto de extremidade privado. Se você não tiver desativado as políticas de rede do ponto de extremidade privado, consulte Desabilitar políticas de rede para pontos de extremidades privados.

Para criar um ponto de extremidade privado, consulte a documentação do Ponto de Extremidade Privado para criar por meio do Portal, PowerShell, CLI, Bicep ou modelo.

No corpo da solicitação, defina o privateServiceLinkId para a ID do link privado de gerenciamento de recursos. O groupIds deve conter o ResourceManagement. O local do ponto de extremidade privado deve ser o mesmo que o local da sub-rede.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

A próxima etapa varia dependendo se você está usando aprovação automática ou manual. Para obter mais informações sobre aprovação, consulte Acesso a um recurso de link privado usando o fluxo de trabalho de aprovação.

A resposta inclui o estado de aprovação.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Se sua solicitação for aprovada automaticamente, você poderá continuar para a próxima seção. Se sua solicitação exigir aprovação manual, aguarde até que o administrador da rede aprove sua conexão de ponto de extremidade privada.

Próximas etapas

Para saber mais sobre links privados, confira Link Privado do Azure.