使用入口網站來建立用於管理 Azure 資源的私人連結

本文說明如何使用 Azure Private Link 來限制用於管理您的訂閱中資源的存取。內容會示範如何使用 Azure 入口網站，透過私人存取設定資源管理。

私人連結可讓您透過虛擬網路中的私人端點來存取 Azure 服務。結合私人連結與 Azure Resource Manager 的作業後，您便可封鎖不在特定端點上的使用者，使其無法管理資源。即使惡意使用者取得了您訂閱中帳戶的認證，但該使用者若未在特定端點上就無法管理資源。

私人連結提供下列安全性優點：

注意

Azure Kubernetes Service (AKS) 目前不支援 ARM 私人端點實作。

Azure Bastion 不支援私人連結。建議您針對資源管理私人連結的私人端點設定使用私人 DNS 區域，但由於與 management.azure.com 名稱重疊，因此您的 Bastion 執行個體將會停止運作。如需詳細資訊，請參閱 Azure Bastion 常見問題。

了解架構

重要

在此版本中，您只能在根管理群組層級套用私人連結管理存取。此限制表示私人連結存取會套用到您的租用戶。

透過私人連結實作管理時，您將使用兩個資源類型。

下圖顯示如何建構可限制用於管理資源存取的解決方案。

資源管理私人連結圖表

私人連結關聯會延伸根管理群組。私人連結關聯和私人端點會參考資源管理私人連結。

重要

目前不支援透過私人連結管理資源的多租用戶帳戶。您無法將不同租用戶上的私人連結關聯連線到單一資源管理私人連結。

如果您的帳戶存取多個租用戶，請僅定義其中一個租用戶的私人連結。

若要設定資源的私人連結，請使用下列步驟。本文稍後會更詳細地描述這些步驟。

完成這些步驟之後，您就可以管理範圍階層內的 Azure 資源。您可以使用連線至子網路的私人端點。

您可以監視私人連結的存取。如需詳細資訊，請參閱記錄和監視。

重要

在此版本中，您只能在根管理群組層級套用私人連結管理存取。此限制表示私人連結存取會套用到您的租用戶。

若要設定資源管理的私人連結，您需要下列存取：

訂用帳戶的擁有者。需要此存取，才能建立資源管理私人連結資源。
根管理群組的擁有者或參與者。需要此存取，才能建立私人連結關聯資源。
Microsoft Entra ID 的全域管理員不會自動具備在根管理群組指派角色的權限。若要啟用資源管理私人連結的建立，全域管理員必須擁有讀取根管理群組的權限，並提高存取權，以擁有租用戶中所有訂用帳戶和管理群組的使用者存取系統管理員權限。取得使用者存取系統管理員權限之後，全域管理員必須將根管理群組的擁有者或參與者權限授與要建立私人連結關聯的使用者。

在您建立資源管理私人連結時，系統會自動為您建立私人連結關聯。

現在要建立參考資源管理私人連結的私人端點。

瀏覽至 [Private Link 中心]。選取 [建立私人端點]。
在 [基本] 索引標籤中，提供私人端點的值。
在 [資源] 索引標籤中，選取 [連線至我目錄中的 Azure 資源]。針對資源類型，選取 [Microsoft.Authorization/resourceManagementPrivateLinks]。針對目標目標子資源，選取 [ResourceManagement]。
在 [設定] 索引標籤中，選取您的虛擬網路。建議您與私人 DNS 區域整合。選取 [檢閱 + 建立]。
通過驗證之後，選取 [建立]。