共用方式為

適用於 Azure Private Link 的 Azure RBAC 權限

  • 發行項

對於任何組織而言,雲端資源的存取管理是非常重要的功能。 Azure 角色型存取控制 (Azure RBAC) 可管理 Azure 資源的存取和作業。

若要部署私人端點或私人連結服務,使用者必須已獲指派內建角色,例如:

您可以使用下列各節中所述的權限來建立自訂角色,以提供更細微的存取權。

重要

本文列出建立私人端點或私人連結服務的特定權限。 請務必新增與您想要透過私人連結授與存取權的服務相關的特定權限,例如適用於 Azure SQL 的 Microsoft.SQL 參與者角色。 如需內建角色的詳細資訊,請參閱角色型存取控制

Microsoft.Network 以及您要部署的特定資源提供者 (例如 Microsoft.Sql) 必須在訂用帳戶層級進行註冊:

image

私人端點

本節列出部署私人端點所需的細微權限。

動作 描述
Microsoft.Resources/deployments/* 建立和管理部署
Microsoft.Resources/subscriptions/resourcegroups/resources/read 讀取資源群組的資源
Microsoft.Network/virtualNetworks/read 讀取虛擬網路定義
Microsoft.Network/virtualNetworks/subnets/read 讀取虛擬網路子網路定義
Microsoft.Network/virtualNetworks/subnets/write 建立虛擬網路子網路,或更新現有的虛擬網路子網路
Microsoft.Network/virtualNetworks/subnets/join/action 加入虛擬網路
Microsoft.Network/privateEndpoints/read 讀取私人端點資源
Microsoft.Network/privateEndpoints/write 建立新的私人端點,或更新現有私人端點
Microsoft.Network/locations/availablePrivateEndpointTypes/read 讀取可用的私人端點資源

以下是上述權限的 JSON 格式。 輸入您自己的 roleName、description 和 assignableScopes:

{
 "properties": {
   "roleName": "Role Name",
   "description": "Description",
   "assignableScopes": [
     "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
   ],
   "permissions": [
     {
       "actions": [
         "Microsoft.Resources/deployments/*",
         "Microsoft.Resources/subscriptions/resourceGroups/read",
         "Microsoft.Network/virtualNetworks/read",
         "Microsoft.Network/virtualNetworks/subnets/read",
         "Microsoft.Network/virtualNetworks/subnets/write",
         "Microsoft.Network/virtualNetworks/subnets/join/action",
         "Microsoft.Network/privateEndpoints/read",
         "Microsoft.Network/privateEndpoints/write",
         "Microsoft.Network/locations/availablePrivateEndpointTypes/read"
       ],
       "notActions": [],
       "dataActions": [],
       "notDataActions": []
     }
   ]
 }
}

本節列出部署私人連結服務所需的細微權限。

動作 描述
Microsoft.Resources/deployments/* 建立和管理部署
Microsoft.Resources/subscriptions/resourcegroups/resources/read 讀取資源群組的資源
Microsoft.Network/virtualNetworks/read 讀取虛擬網路定義
Microsoft.Network/virtualNetworks/subnets/read 讀取虛擬網路子網路定義
Microsoft.Network/virtualNetworks/subnets/write 建立虛擬網路子網路,或更新現有的虛擬網路子網路
Microsoft.Network/privateLinkServices/read 讀取私人連結服務資源
Microsoft.Network/privateLinkServices/write 建立新的私人連結服務,或更新現有私人連結服務
Microsoft.Network/privateLinkServices/privateEndpointConnections/read 讀取私人端點連線定義
Microsoft.Network/privateLinkServices/privateEndpointConnections/write 建立新的私人端點連線,或更新現有私人端點連線
Microsoft.Network/networkSecurityGroups/join/action 加入網路安全性群組
Microsoft.Network/loadBalancers/read 讀取負載平衡器定義
Microsoft.Network/loadBalancers/write 建立負載平衡器,或更新現有的負載平衡器 
{
  "properties": {
    "roleName": "Role Name",
    "description": "Description",
    "assignableScopes": [
      "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/privateLinkServices/read",
          "Microsoft.Network/privateLinkServices/write",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/loadBalancers/read",
          "Microsoft.Network/loadBalancers/write"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

私人端點的核准 RBAC

一般而言,網路管理員會建立私人端點。 根據 Azure 角色型存取控制 (RBAC) 權限,會對您所建立的私人端點進行「自動核准」以將流量傳送至 API 管理執行個體,或需要資源擁有者「手動核准」連線。

核准方法 最小 RBAC 權限
自動 Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Microsoft.ApiManagement/service/**
Microsoft.ApiManagement/service/privateEndpointConnections/**
手動 Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

下一步

如需 Azure Private Link 中私人端點和私人連結服務的詳細資訊,請參閱: