Используйте портал для создания приватного канала для управления ресурсами Azure
В этой статье объясняется, как можно использовать Приватный канал Azure для ограничения доступа для управления ресурсами в ваших подписках. В статье показан порядок использования портала Azure для настройки управления ресурсами через приватный доступ.
Приватные каналы предоставляют доступ к службам Azure с помощью частной конечной точки в вашей виртуальной сети. При комбинировании приватных каналов с операциями Azure Resource Manager вы не позволяете управлять ресурсами пользователям, которые не находятся в той или иной конечной точке. Если злоумышленник получает учетные данные для учетной записи в вашей подписке, то такой пользователь не может управлять ресурсами, если он не расположен в определенной конечной точке.
Приватный канал предоставляет следующие преимущества с точки зрения безопасности:
- частный доступ — пользователи могут управлять ресурсами в частной сети с помощью частной конечной точки;
Примечание.
Сейчас служба Azure Kubernetes (AKS) не поддерживает реализацию частной конечной точки ARM.
Бастион Azure не поддерживает приватные каналы. Рекомендуется настроить частную конечную точку приватного канала для управления ресурсами с использованием частной зоны DNS. Но в таком случае из-за перекрытия с именем management.azure.com ваш экземпляр Бастиона перестанет работать. Дополнительные сведения см. в статье Бастион Azure: часто задаваемые вопросы.
Основы архитектуры
Внимание
В этом выпуске доступ к управлению приватными каналами можно осуществлять только на уровне корневой группы управления. Это ограничение означает, что доступ по приватному каналу открывается для вашего клиента.
Существует два типа ресурсов, которые вы будете использовать при реализации управления по приватному каналу.
- Приватный канал для управления ресурсами (Microsoft.Authorization/resourceManagementPrivateLinks)
- Связь приватного канала (Microsoft.Authorization/privateLinkAssociations)
На следующем рисунке показано, как создать решение, которое ограничивает доступ для управления ресурсами.
Связь приватного канала расширяет корневую группу управления. Связь приватного канала и частные конечные точки ссылаются на приватный канал для управления ресурсами.
Внимание
В настоящее время учетные записи с несколькими арендаторами не поддерживаются для управления ресурсами с помощью приватного канала. Вы не можете установить связь приватных каналов для разных арендаторов с одним приватным каналом для управления ресурсами.
Если ваша учетная запись обращается к нескольким арендаторам, определите приватный канал только для одного из них.
Рабочий процесс
Чтобы настроить приватный канал для ресурсов, выполните следующие действия. Эти действия описаны более подробно далее в этой статье.
- Создайте приватный канал для управления ресурсами.
- Создайте связь приватного канала. Связь приватного канала расширяет корневую группу управления. Она также ссылается на ИД ресурса для приватного канала управления ресурсами.
- Добавьте частную конечную точку, которая ссылается на приватный канал управления ресурсами.
После выполнения этих действий можно управлять ресурсами Azure, которые находятся в иерархии области. Вы используете частную конечную точку, подключенную к подсети.
Вы можете отслеживать доступ к приватному каналу. Дополнительные сведения см. в статье Ведение журналов и мониторинг.
Необходимые разрешения
Внимание
В этом выпуске доступ к управлению приватными каналами можно осуществлять только на уровне корневой группы управления. Это ограничение означает, что доступ по приватному каналу открывается для вашего клиента.
Чтобы настроить приватный канал для управления ресурсами, необходим следующий доступ:
- владелец подписки. Этот доступ необходим для создания ресурса приватного канала для управления ресурсами.
- Владелец или участник в корневой группе управления. Этот доступ необходим для создания ресурса связи приватного канала.
- Глобальный Администратор istrator для идентификатора Microsoft Entra ID не имеет разрешения на назначение ролей в корневой группе управления. Чтобы включить создание приватных каналов для управления ресурсами, глобальный администратор должен иметь разрешение на чтение корневой группы управления и повышение уровня доступа. Это нужно для получения привилегии администратора доступа пользователей по отношению ко всем подпискам и группам управления в клиенте. После получения привилегии администратора доступа пользователей глобальный администратор должен предоставить пользователю, создающему связь приватного канала, привилегии уровня владельца или участника для корневой группы управления.
Создание приватного канала для управления ресурсами
Когда вы создаете приватный канал для управления ресурсами, для вас автоматически создается связь приватного канала.
На портале найдите приватные каналы для управления ресурсами и выберите их.
Если в вашей подписке еще нет приватных каналов для управления ресурсами, вы увидите пустую страницу. Выберите Создать приватный канал для управления ресурсами.
Укажите значения для нового приватного канала для управления ресурсами. Корневая группа управления для выбранного вами каталога используется для нового ресурса. Выберите Review + create (Просмотреть и создать).
После прохождения проверки выберите Создать.
Создание частной конечной точки
После этого создайте частную конечную точку, которая ссылается на приватный канал для управления ресурсами.
Перейдите в Центр Приватного канала. Выберите Создание частной конечной точки.
На вкладке Основные сведения укажите значения для вашей частной конечной точки.
На вкладке Ресурс выберите Подключиться к ресурсу Azure в моем каталоге. В качестве типа ресурса выберите Microsoft.Authorization/resourceManagementPrivateLinks. Для целевого подресурса выберите ResourceManagement.
На вкладке Конфигурация выберите свою виртуальную сеть. Мы рекомендуем проводить интеграцию с частной зоной DNS. Выберите Review + create (Просмотреть и создать).
После прохождения проверки выберите Создать.
Проверка частной зоны DNS
Чтобы убедиться, что ваша среда правильно настроена, проверьте локальный IP-адрес для зоны DNS.
В группе ресурсов, в которой вы развернули частную конечную точку, выберите ресурс частной зоны DNS с именем privatelink.azure.com.
Убедитесь, что набор записей с именем management имеет действительный локальный IP-адрес.
Следующие шаги
Дополнительные сведения о частных ссылках см. в разделе Приватный канал Azure.