Använd portalen för att skapa en privat länk för att hantera Azure-resurser
Den här artikeln beskriver hur du kan använda Azure Private Link för att begränsa åtkomsten för att hantera resurser i dina prenumerationer. Den visar hur du använder Azure-portalen för att konfigurera hantering av resurser via privat åtkomst.
Med privata länkar kan du komma åt Azure-tjänster via en privat slutpunkt i ditt virtuella nätverk. När du kombinerar privata länkar med Azure Resource Manager-åtgärder blockerar du användare som inte är på den specifika slutpunkten från att hantera resurser. Om en obehörig användare får autentiseringsuppgifter till ett konto i din prenumeration kan den användaren inte hantera resurserna utan att vara vid den specifika slutpunkten.
Privat länk ger följande säkerhetsfördelar:
- Privat åtkomst – användare kan hantera resurser från ett privat nätverk via en privat slutpunkt.
Kommentar
Azure Kubernetes Service (AKS) stöder för närvarande inte implementeringen av den privata ARM-slutpunkten.
Azure Bastion stöder inte privata länkar. Vi rekommenderar att du använder en privat DNS-zon för den privata slutpunktskonfigurationen för resurshantering, men på grund av överlappningen med management.azure.com namn slutar Bastion-instansen att fungera. Mer information finns i Vanliga frågor och svar om Azure Bastion.
Förstå arkitektur
Viktigt!
För den här versionen kan du bara använda åtkomst till hantering av privata länkar på rothanteringsgruppens nivå. Den här begränsningen innebär att åtkomst till privata länkar tillämpas i klientorganisationen.
Det finns två resurstyper som du använder när du implementerar hantering via en privat länk.
- Privat länk för resurshantering (Microsoft.Authorization/resourceManagementPrivateLinks)
- Private Link-association (Microsoft.Authorization/privateLinkAssociations)
Följande bild visar hur du skapar en lösning som begränsar åtkomsten för att hantera resurser.
Den privata länkassociationen utökar rothanteringsgruppen. Den privata länkassociationen och de privata slutpunkterna refererar till den privata länken för resurshantering.
Viktigt!
Konton med flera klientorganisationer stöds för närvarande inte för att hantera resurser via en privat länk. Du kan inte ansluta privata länkassociationer på olika klienter till en enskild privat länk för resurshantering.
Om ditt konto har åtkomst till fler än en klientorganisation definierar du en privat länk för endast en av dem.
Arbetsflöde
Använd följande steg för att konfigurera en privat länk för resurser. Stegen beskrivs mer detaljerat senare i den här artikeln.
- Skapa den privata länken för resurshantering.
- Skapa en privat länkassociation. Den privata länkassociationen utökar rothanteringsgruppen. Den refererar också till resurs-ID:t för den privata länken för resurshantering.
- Lägg till en privat slutpunkt som refererar till den privata länken för resurshantering.
När du har slutfört dessa steg kan du hantera Azure-resurser som finns i omfångets hierarki. Du använder en privat slutpunkt som är ansluten till undernätet.
Du kan övervaka åtkomsten till den privata länken. Mer information finns i Loggning och övervakning.
Behörigheter som krävs
Viktigt!
För den här versionen kan du bara använda åtkomst till hantering av privata länkar på rothanteringsgruppens nivå. Den här begränsningen innebär att åtkomst till privata länkar tillämpas i klientorganisationen.
Om du vill konfigurera den privata länken för resurshantering behöver du följande åtkomst:
- Ägare i prenumerationen. Den här åtkomsten krävs för att skapa resurshantering av en privat länkresurs.
- Ägare eller deltagare i rothanteringsgruppen. Den här åtkomsten krävs för att skapa den privata länkassociationsresursen.
- Den globala administratören för Microsoft Entra-ID:t har inte automatiskt behörighet att tilldela roller i rothanteringsgruppen. Om du vill aktivera skapandet av privata länkar för resurshantering måste den globala administratören ha behörighet att läsa rothanteringsgruppen och öka åtkomsten för att ha behörighet som administratör för användaråtkomst för alla prenumerationer och hanteringsgrupper i klientorganisationen. När du har fått behörigheten Administratör för användaråtkomst måste den globala administratören ge ägar- eller deltagarbehörighet i rothanteringsgruppen till den användare som skapar den privata länkassociationen.
Skapa en privat länk för resurshantering
När du skapar en privat länk för resurshantering skapas den privata länkassociationen automatiskt åt dig.
I portalen söker du efter privata länkar för resurshantering och väljer den bland de tillgängliga alternativen.
Om din prenumeration inte redan har privata länkar för resurshantering visas en tom sida. Välj Skapa en privat länk för resurshantering.
Ange värden för den nya privata länken för resurshantering. Rothanteringsgruppen för den valda katalogen används för den nya resursen. Välj Granska + skapa.
När valideringen har slutförts väljer du Skapa.
Skapa en privat slutpunkt
Skapa nu en privat slutpunkt som refererar till den privata länken för resurshantering.
Gå till Private Link Center. Välj Skapa privat slutpunkt.
På fliken Grundläggande anger du värden för din privata slutpunkt.
På fliken Resurs väljer du Anslut till en Azure-resurs i min katalog. För resurstyp väljer du Microsoft.Authorization/resourceManagementPrivateLinks. Som målunderresurs väljer du ResourceManagement.
På fliken Konfiguration väljer du ditt virtuella nätverk. Vi rekommenderar att du integrerar med en privat DNS-zon. Välj Granska + skapa.
När valideringen har slutförts väljer du Skapa.
Verifiera privat DNS-zon
Kontrollera att din miljö är korrekt konfigurerad genom att kontrollera den lokala IP-adressen för DNS-zonen.
I resursgruppen där du distribuerade den privata slutpunkten väljer du den privata DNS-zonresursen med namnet privatelink.azure.com.
Kontrollera att postuppsättningen med namnet management har en giltig lokal IP-adress.
Nästa steg
Mer information om privata länkar finns i Azure Private Link.