Dela via

Använda API:er för att skapa en privat länk för att hantera Azure-resurser

  • Artikel

Den här artikeln beskriver hur du kan använda Azure Private Link för att begränsa åtkomsten för att hantera resurser i dina prenumerationer.

Med privata länkar kan du komma åt Azure-tjänster via en privat slutpunkt i ditt virtuella nätverk. När du kombinerar privata länkar med Azure Resource Manager-åtgärder blockerar du användare som inte är på den specifika slutpunkten från att hantera resurser. Om en obehörig användare får autentiseringsuppgifter till ett konto i din prenumeration kan den användaren inte hantera resurserna utan att vara vid den specifika slutpunkten.

Privat länk ger följande säkerhetsfördelar:

  • Privat åtkomst – användare kan hantera resurser från ett privat nätverk via en privat slutpunkt.

Kommentar

Azure Kubernetes Service (AKS) stöder för närvarande inte implementeringen av den privata ARM-slutpunkten.

Azure Bastion stöder inte privata länkar. Vi rekommenderar att du använder en privat DNS-zon för den privata slutpunktskonfigurationen för resurshantering, men på grund av överlappningen med management.azure.com namn slutar Bastion-instansen att fungera. Mer information finns i Vanliga frågor och svar om Azure Bastion.

Förstå arkitektur

Viktigt!

För den här versionen kan du bara använda åtkomst till hantering av privata länkar på rothanteringsgruppens nivå. Den här begränsningen innebär att åtkomst till privata länkar tillämpas i klientorganisationen.

Det finns två resurstyper som du använder när du implementerar hantering via en privat länk.

  • Privat länk för resurshantering (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Private Link-association (Microsoft.Authorization/privateLinkAssociations)

Följande bild visar hur du skapar en lösning som begränsar åtkomsten för att hantera resurser.

Diagram över privat länk för resurshantering

Den privata länkassociationen utökar rothanteringsgruppen. Den privata länkassociationen och de privata slutpunkterna refererar till den privata länken för resurshantering.

Viktigt!

Konton med flera klientorganisationer stöds för närvarande inte för att hantera resurser via en privat länk. Du kan inte ansluta privata länkassociationer på olika klienter till en enskild privat länk för resurshantering.

Om ditt konto har åtkomst till fler än en klientorganisation definierar du en privat länk för endast en av dem.

Arbetsflöde

Använd följande steg för att konfigurera en privat länk för resurser. Stegen beskrivs mer detaljerat senare i den här artikeln.

  1. Skapa den privata länken för resurshantering.
  2. Skapa en privat länkassociation. Den privata länkassociationen utökar rothanteringsgruppen. Den refererar också till resurs-ID:t för den privata länken för resurshantering.
  3. Lägg till en privat slutpunkt som refererar till den privata länken för resurshantering.

När du har slutfört dessa steg kan du hantera Azure-resurser som finns i omfångets hierarki. Du använder en privat slutpunkt som är ansluten till undernätet.

Du kan övervaka åtkomsten till den privata länken. Mer information finns i Loggning och övervakning.

Behörigheter som krävs

Viktigt!

För den här versionen kan du bara använda åtkomst till hantering av privata länkar på rothanteringsgruppens nivå. Den här begränsningen innebär att åtkomst till privata länkar tillämpas i klientorganisationen.

Om du vill konfigurera den privata länken för resurshantering behöver du följande åtkomst:

  • Ägare i prenumerationen. Den här åtkomsten krävs för att skapa resurshantering av en privat länkresurs.
  • Ägare eller deltagare i rothanteringsgruppen. Den här åtkomsten krävs för att skapa den privata länkassociationsresursen.
  • Den globala administratören för Microsoft Entra-ID:t har inte automatiskt behörighet att tilldela roller i rothanteringsgruppen. Om du vill aktivera skapandet av privata länkar för resurshantering måste den globala administratören ha behörighet att läsa rothanteringsgruppen och öka åtkomsten för att ha behörighet som administratör för användaråtkomst för alla prenumerationer och hanteringsgrupper i klientorganisationen. När du har fått behörigheten Administratör för användaråtkomst måste den globala administratören ge ägar- eller deltagarbehörighet i rothanteringsgruppen till den användare som skapar den privata länkassociationen.

Om du vill skapa en privat länk för resurshantering skickar du följande begäran:

Exempel

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Observera det ID som returneras för den nya privata länken för resurshantering. Du använder den för att skapa den privata länkassociationen.

Resursnamnet för en privat länkassociation måste vara ett GUID och det stöds ännu inte för att inaktivera fältet publicNetworkAccess.

Om du vill skapa den privata länkassociationen använder du:

Exempel

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Lägg till privat slutpunkt

Den här artikeln förutsätter att du redan har ett virtuellt nätverk. I det undernät som ska användas för den privata slutpunkten måste du inaktivera nätverksprinciper för privata slutpunkter. Om du inte har inaktiverat nätverksprinciper för privata slutpunkter kan du läsa Inaktivera nätverksprinciper för privata slutpunkter.

Information om hur du skapar en privat slutpunkt finns i Dokumentation om privat slutpunkt för att skapa via portalen, PowerShell, CLI, Bicep eller mall.

I begärandetexten privateServiceLinkId anger du till ID:t från din privata länk för resurshantering. groupIds Måste innehålla ResourceManagement. Platsen för den privata slutpunkten måste vara samma som platsen för undernätet.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

Nästa steg varierar beroende på om du använder automatiskt eller manuellt godkännande. Mer information om godkännande finns i Åtkomst till en privat länkresurs med hjälp av arbetsflödet för godkännande.

Svaret innehåller godkännandetillstånd.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Om din begäran godkänns automatiskt kan du fortsätta till nästa avsnitt. Om din begäran kräver manuellt godkännande väntar du på att nätverksadministratören godkänner din privata slutpunktsanslutning.

Nästa steg

Mer information om privata länkar finns i Azure Private Link.