RBAC-behörigheter för Azure Private Link i Azure
Åtkomsthantering för molnresurser är en viktig funktion för alla organisationer. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hanterar åtkomst och drift av Azure-resurser.
Om du vill distribuera en privat slutpunkt eller en privat länktjänst måste en användare ha tilldelats en inbyggd roll, till exempel:
Du kan ge mer detaljerad åtkomst genom att skapa en anpassad roll med de behörigheter som beskrivs i följande avsnitt.
Viktigt
Den här artikeln innehåller specifika behörigheter för att skapa en privat slutpunkt eller en privat länktjänst. Se till att du lägger till de specifika behörigheter som är relaterade till tjänsten som du vill bevilja åtkomst via privat länk, till exempel Rollen Microsoft.SQL-deltagare för Azure SQL. Mer information om inbyggda roller finns i Rollbaserad Access Control.
Microsoft.Network och den specifika resursprovider som du distribuerar, till exempel Microsoft.Sql, måste vara registrerade på prenumerationsnivå:
Privat slutpunkt
I det här avsnittet visas de detaljerade behörigheter som krävs för att distribuera en privat slutpunkt.
Åtgärd | Beskrivning |
---|---|
Microsoft.Resources/deployments/* | Skapa och hantera en distribution |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Läs resurserna för resursgruppen |
Microsoft.Network/virtualNetworks/read | Läs definitionen för virtuellt nätverk |
Microsoft.Network/virtualNetworks/subnets/read | Läsa en undernätsdefinition för virtuellt nätverk |
Microsoft.Network/virtualNetworks/subnets/write | Skapar ett virtuellt nätverksundernät eller uppdaterar ett befintligt virtuellt nätverksundernät |
Microsoft.Network/virtualNetworks/subnets/join/action | Ansluter till ett virtuellt nätverk |
Microsoft.Network/privateEndpoints/read | Läsa en privat slutpunktsresurs |
Microsoft.Network/privateEndpoints/write | Skapar en ny privat slutpunkt eller uppdaterar en befintlig privat slutpunkt |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Läsa tillgängliga privata slutpunktsresurser |
Här är JSON-formatet för ovanstående behörigheter. Ange din egen roleName, beskrivning och assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Privat länktjänst
I det här avsnittet visas de detaljerade behörigheter som krävs för att distribuera en privat länktjänst.
Åtgärd | Beskrivning |
---|---|
Microsoft.Resources/deployments/* | Skapa och hantera en distribution |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Läs resurserna för resursgruppen |
Microsoft.Network/virtualNetworks/read | Läs definitionen för virtuellt nätverk |
Microsoft.Network/virtualNetworks/subnets/read | Läsa en undernätsdefinition för virtuellt nätverk |
Microsoft.Network/virtualNetworks/subnets/write | Skapar ett virtuellt nätverksundernät eller uppdaterar ett befintligt virtuellt nätverksundernät |
Microsoft.Network/privateLinkServices/read | Läsa en privat länktjänstresurs |
Microsoft.Network/privateLinkServices/write | Skapar en ny privat länktjänst eller uppdaterar en befintlig privat länktjänst |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Läsa en definition för privat slutpunktsanslutning |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Skapar en ny privat slutpunktsanslutning eller uppdaterar en befintlig privat slutpunktsanslutning |
Microsoft.Network/networkSecurityGroups/join/action | Ansluter till en nätverkssäkerhetsgrupp |
Microsoft.Network/loadBalancers/read | Läsa en definition för lastbalanserare |
Microsoft.Network/loadBalancers/write | Skapar en lastbalanserare eller uppdaterar en befintlig lastbalanserare |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Godkännande AV RBAC för privat slutpunkt
Vanligtvis skapar en nätverksadministratör en privat slutpunkt. Beroende på dina RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure godkänns antingen automatiskt en privat slutpunkt som du skapar för att skicka trafik till API Management-instansen, eller så måste resursägaren godkänna anslutningen manuellt.
Godkännandemetod | Minsta RBAC-behörigheter |
---|---|
Automatiskt | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Manuell | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Nästa steg
Mer information om privata slutpunkter och privata länktjänster i Azure Private Link finns i:
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för