Permissões RBAC do Azure para o Azure Private Link
A gestão de acesso para recursos da cloud é uma função crítica para qualquer organização. O controlo de acesso baseado em funções do Azure (RBAC do Azure) gere o acesso e as operações dos recursos do Azure.
Para implementar um ponto final privado ou um serviço de ligação privada, um utilizador tem de ter atribuído uma função incorporada, como:
Pode fornecer acesso mais granular ao criar uma função personalizada com as permissões descritas nas secções seguintes.
Importante
Este artigo lista as permissões específicas para criar um ponto final privado ou um serviço de ligação privada. Certifique-se de que adiciona as permissões específicas relacionadas com o serviço que pretende conceder acesso através de uma ligação privada, como a Função de Contribuidor Microsoft.SQL para SQL do Azure. Para obter mais informações sobre funções incorporadas, veja Role Based Controlo de Acesso (Controlo de Acesso Baseada em Funções).
Microsoft.Network e o fornecedor de recursos específico que está a implementar, por exemplo Microsoft.Sql, têm de estar registados ao nível da subscrição:
Ponto final privado
Esta secção lista as permissões granulares necessárias para implementar um ponto final privado.
| Ação | Descrição |
|---|---|
| Microsoft.Resources/deployments/* | Criar e gerir uma implementação |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Ler os recursos do grupo de recursos |
| Microsoft.Network/virtualNetworks/read | Ler a definição de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/read | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/write | Cria uma sub-rede de rede virtual ou atualiza uma sub-rede de rede virtual existente |
| Microsoft.Network/virtualNetworks/sub-redes/join/action | Associa uma rede virtual |
| Microsoft.Network/privateEndpoints/read | Ler um recurso de ponto final privado |
| Microsoft.Network/privateEndpoints/write | Cria um novo ponto final privado ou atualiza um ponto final privado existente |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Ler os recursos de ponto final privado disponíveis |
Eis o formato JSON das permissões acima. Introduza o seu próprio roleName, descrição e assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Serviço de ligação privada
Esta secção lista as permissões granulares necessárias para implementar um serviço de ligação privada.
| Ação | Descrição |
|---|---|
| Microsoft.Resources/deployments/* | Criar e gerir uma implementação |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Ler os recursos do grupo de recursos |
| Microsoft.Network/virtualNetworks/read | Ler a definição de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/read | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/write | Cria uma sub-rede de rede virtual ou atualiza uma sub-rede de rede virtual existente |
| Microsoft.Network/privateLinkServices/read | Ler um recurso de serviço de ligação privada |
| Microsoft.Network/privateLinkServices/write | Cria um novo serviço de ligação privada ou atualiza um serviço de ligação privada existente |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Ler uma definição de ligação de ponto final privado |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Cria uma nova ligação de ponto final privado ou atualiza uma ligação de ponto final privado existente |
| Microsoft.Network/networkSecurityGroups/join/action | Associa-se a um grupo de segurança de rede |
| Microsoft.Network/loadBalancers/read | Ler uma definição de balanceador de carga |
| Microsoft.Network/loadBalancers/write | Cria um balanceador de carga ou atualiza um balanceador de carga existente |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
RBAC de Aprovação para ponto final privado
Normalmente, um administrador de rede cria um ponto final privado. Dependendo das permissões de controlo de acesso baseado em funções (RBAC) do Azure, um ponto final privado que criar é aprovado automaticamente para enviar tráfego para a instância Gestão de API ou requer que o proprietário do recurso aprove manualmente a ligação.
| Método de aprovação | Permissões RBAC mínimas |
|---|---|
| Automático | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manual | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Passos seguintes
Para obter mais informações sobre o ponto final privado e os serviços de ligação privada no Azure Private Link, veja: