Aracılığıyla paylaş

Azure kaynaklarını yönetmek için özel bağlantı oluşturmak için API'leri kullanma

  • Makale

Bu makalede, aboneliklerinizdeki kaynakları yönetmek için erişimi kısıtlamak için Azure Özel Bağlantı nasıl kullanabileceğiniz açıklanmaktadır.

Özel bağlantılar, sanal ağınızdaki özel bir uç nokta üzerinden Azure hizmetlerine erişmenizi sağlar. Özel bağlantıları Azure Resource Manager'ın işlemleriyle birleştirdiğinizde, belirli bir uç noktada olmayan kullanıcıların kaynakları yönetmesini engellersiniz. Kötü amaçlı bir kullanıcı aboneliğinizdeki bir hesaba kimlik bilgileri alırsa, bu kullanıcı belirli bir uç noktada olmadan kaynakları yönetemez.

Özel bağlantı aşağıdaki güvenlik avantajlarını sağlar:

  • Özel Erişim - Kullanıcılar özel bir ağdan özel uç nokta aracılığıyla kaynakları yönetebilir.

Not

Azure Kubernetes Service (AKS) şu anda ARM özel uç nokta uygulamasını desteklemez.

Azure Bastion özel bağlantıları desteklemez. Kaynak yönetimi özel bağlantı özel uç nokta yapılandırmanız için özel bir DNS bölgesi kullanmanız önerilir, ancak management.azure.com adıyla çakışma nedeniyle Bastion örneğiniz çalışmayı durdurur. Daha fazla bilgi için Bkz . Azure Bastion SSS.

Mimariyi anlama

Önemli

Bu sürüm için yalnızca kök yönetim grubu düzeyinde özel bağlantı yönetimi erişimi uygulayabilirsiniz. Bu sınırlama, kiracınız genelinde özel bağlantı erişiminin uygulandığı anlamına gelir.

Özel bağlantı üzerinden yönetim uygularken kullanacağınız iki kaynak türü vardır.

  • Kaynak yönetimi özel bağlantısı (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Özel bağlantı ilişkilendirmesi (Microsoft.Authorization/privateLinkAssociations)

Aşağıdaki görüntüde, kaynakları yönetmek için erişimi kısıtlayan bir çözümün nasıl oluşturulur olduğu gösterilmektedir.

Kaynak yönetimi özel bağlantı diyagramı

Özel bağlantı ilişkilendirmesi kök yönetim grubunu genişletir. Özel bağlantı ilişkilendirmesi ve özel uç noktalar kaynak yönetimi özel bağlantısına başvurur.

Önemli

Çok kiracılı hesaplar şu anda kaynakları özel bağlantı üzerinden yönetmek için desteklenmemekte. Farklı kiracılardaki özel bağlantı ilişkilendirmelerini tek bir kaynak yönetimi özel bağlantısına bağlayamazsınız.

Hesabınız birden fazla kiracıya erişiyorsa, bunlardan yalnızca biri için özel bir bağlantı tanımlayın.

İş Akışı

Kaynaklar için özel bağlantı ayarlamak için aşağıdaki adımları kullanın. Adımlar, bu makalenin devamında daha ayrıntılı olarak açıklanmıştır.

  1. Kaynak yönetimi özel bağlantısını oluşturun.
  2. Özel bağlantı ilişkilendirmesi oluşturun. Özel bağlantı ilişkilendirmesi kök yönetim grubunu genişletir. Ayrıca, kaynak yönetimi özel bağlantısının kaynak kimliğine de başvurur.
  3. Kaynak yönetimi özel bağlantısına başvuran özel bir uç nokta ekleyin.

Bu adımları tamamladıktan sonra kapsamın hiyerarşisi içindeki Azure kaynaklarını yönetebilirsiniz. Alt ağa bağlı özel bir uç nokta kullanırsınız.

Özel bağlantıya erişimi izleyebilirsiniz. Daha fazla bilgi için bkz . Günlüğe kaydetme ve izleme.

Gerekli izinler

Önemli

Bu sürüm için yalnızca kök yönetim grubu düzeyinde özel bağlantı yönetimi erişimi uygulayabilirsiniz. Bu sınırlama, kiracınız genelinde özel bağlantı erişiminin uygulandığı anlamına gelir.

Kaynak yönetimi için özel bağlantıyı ayarlamak için aşağıdaki erişime ihtiyacınız vardır:

  • Aboneliğin sahibi. Bu erişim, kaynak yönetimi özel bağlantı kaynağı oluşturmak için gereklidir.
  • Kök yönetim grubunda Sahip veya Katkıda Bulunan. Bu erişim, özel bağlantı ilişkilendirme kaynağını oluşturmak için gereklidir.
  • Microsoft Entra Id için Genel Yönetici istrator'ın kök yönetim grubunda rol atama izni otomatik olarak yoktur. Kaynak yönetimi özel bağlantıları oluşturmayı etkinleştirmek için, Genel Yönetici istratörün, kiracıdaki tüm aboneliklerde ve yönetim gruplarında Kullanıcı Erişimi Yönetici istrator iznine sahip olmak için kök yönetim grubunu okuma ve erişimi yükseltme iznine sahip olması gerekir. Kullanıcı Erişimi Yönetici istrator iznini aldıktan sonra, Genel Yönetici strator'ın özel bağlantı ilişkilendirmesini oluşturan kullanıcıya kök yönetim grubunda Sahip veya Katkıda Bulunan izni vermesi gerekir.

Kaynak yönetimi özel bağlantısı oluşturmak için aşağıdaki isteği gönderin:

Örnek

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Yeni kaynak yönetimi özel bağlantısı için döndürülen kimliği not edin. Bunu özel bağlantı ilişkilendirmesini oluşturmak için kullanacaksınız.

Özel bağlantı ilişkilendirme kaynağının kaynak adı GUID olmalıdır ve publicNetworkAccess alanını devre dışı bırakmak henüz desteklenmiyor.

Özel bağlantı ilişkilendirmesini oluşturmak için şunu kullanın:

Örnek

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Özel uç nokta ekleme

Bu makalede zaten bir sanal ağınız olduğu varsayılır. Özel uç nokta için kullanılacak alt ağda, özel uç nokta ağ ilkelerini kapatmanız gerekir. Özel uç nokta ağ ilkelerini kapatmadıysanız bkz . Özel uç noktalar için ağ ilkelerini devre dışı bırakma.

Özel uç nokta oluşturmak için Portal, PowerShell, CLI, Bicep veya şablon aracılığıyla oluşturmaya yönelik Özel Uç Nokta belgelerine bakın.

İstek gövdesinde, kaynak yönetimi özel bağlantınızdan kimliğini olarak ayarlayın privateServiceLinkId . içermelidir groupIds ResourceManagement. Özel uç noktanın konumu alt ağın konumuyla aynı olmalıdır.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

Sonraki adım, otomatik veya el ile onay kullanmanıza bağlı olarak değişir. Onay hakkında daha fazla bilgi için bkz . Onay iş akışını kullanarak özel bağlantı kaynağına erişim.

Yanıt, onay durumunu içerir.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

İsteğiniz otomatik olarak onaylanırsa sonraki bölüme geçebilirsiniz. İsteğiniz el ile onay gerektiriyorsa ağ yöneticisinin özel uç nokta bağlantınızı onaylamasını bekleyin.

Sonraki adımlar

Özel bağlantılar hakkında daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı.