Azure Özel Bağlantı için Azure RBAC izinleri
Bulut kaynakları için erişim yönetimi, tüm kuruluşlar için kritik bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarının erişimini ve işlemlerini yönetir.
Özel uç nokta veya özel bağlantı hizmeti dağıtmak için kullanıcının aşağıdakiler gibi yerleşik bir rol atamış olması gerekir:
Aşağıdaki bölümlerde açıklanan izinlerle özel bir rol oluşturarak daha ayrıntılı erişim sağlayabilirsiniz.
Önemli
Bu makalede, özel uç nokta veya özel bağlantı hizmeti oluşturmak için belirli izinler listelenir. Azure SQL için Microsoft.SQL Katkıda Bulunan Rolü gibi özel bağlantı üzerinden erişim vermek istediğiniz hizmetle ilgili belirli izinleri eklediğinizden emin olun. Yerleşik roller hakkında daha fazla bilgi için bkz. Rol Tabanlı Access Control.
Microsoft.Network ve dağıttığınız belirli kaynak sağlayıcısı (örneğin, Microsoft.Sql) abonelik düzeyinde kaydedilmelidir:
Özel uç nokta
Bu bölümde, özel uç nokta dağıtmak için gereken ayrıntılı izinler listelenir.
Eylem | Açıklama |
---|---|
Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Kaynak grubunun kaynaklarını okuma |
Microsoft.Network/virtualNetworks/read | Sanal ağ tanımını okuma |
Microsoft.Network/virtualNetworks/subnets/read | Sanal ağ alt ağ tanımını okuma |
Microsoft.Network/virtualNetworks/subnets/write | Sanal ağ alt ağı oluşturur veya mevcut bir sanal ağ alt ağını güncelleştirir |
Microsoft.Network/virtualNetworks/subnets/join/action | Sanal ağa katılır |
Microsoft.Network/privateEndpoints/read | Özel uç nokta kaynağını okuma |
Microsoft.Network/privateEndpoints/write | Yeni bir özel uç nokta oluşturur veya var olan bir özel uç noktayı güncelleştirir |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Kullanılabilir özel uç nokta kaynaklarını okuma |
Yukarıdaki izinlerin JSON biçimi aşağıdadır. Kendi roleName, açıklama ve assignableScopes bilgilerinizi girin:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Özel bağlantı hizmeti
Bu bölümde, özel bağlantı hizmeti dağıtmak için gereken ayrıntılı izinler listelenir.
Eylem | Açıklama |
---|---|
Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Kaynak grubunun kaynaklarını okuma |
Microsoft.Network/virtualNetworks/read | Sanal ağ tanımını okuma |
Microsoft.Network/virtualNetworks/subnets/read | Sanal ağ alt ağ tanımını okuma |
Microsoft.Network/virtualNetworks/subnets/write | Sanal ağ alt ağı oluşturur veya mevcut bir sanal ağ alt ağını güncelleştirir |
Microsoft.Network/privateLinkServices/read | Özel bağlantı hizmeti kaynağını okuma |
Microsoft.Network/privateLinkServices/write | Yeni bir özel bağlantı hizmeti oluşturur veya var olan bir özel bağlantı hizmetini güncelleştirir |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Özel uç nokta bağlantı tanımını okuma |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Yeni bir özel uç nokta bağlantısı oluşturur veya var olan bir özel uç nokta bağlantısını güncelleştirir |
Microsoft.Network/networkSecurityGroups/join/action | Ağ güvenlik grubuna katılır |
Microsoft.Network/loadBalancers/read | Yük dengeleyici tanımını okuma |
Microsoft.Network/loadBalancers/write | Yük dengeleyici oluşturur veya mevcut bir yük dengeleyiciyi güncelleştirir |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Özel uç nokta için onay RBAC'leri
Genellikle bir ağ yöneticisi özel bir uç nokta oluşturur. Azure rol tabanlı erişim denetimi (RBAC) izinlerinize bağlı olarak, oluşturduğunuz özel uç nokta API Management örneğine trafik göndermek için otomatik olarak onaylanır veya kaynak sahibinin bağlantıyı el ile onaylamasını gerektirir.
Onay yöntemi | En düşük RBAC izinleri |
---|---|
Automatic | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
El ile | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Sonraki adımlar
Azure Özel bağlantısındaki özel uç nokta ve özel bağlantı hizmetleri hakkında daha fazla bilgi için bkz: