Sdílet prostřednictvím


Použití rozhraní API k vytvoření privátního propojení pro správu prostředků Azure

Tento článek vysvětluje, jak pomocí služby Azure Private Link omezit přístup ke správě prostředků ve vašich předplatných.

Privátní propojení umožňují přístup ke službám Azure přes privátní koncový bod ve vaší virtuální síti. Když zkombinujete privátní propojení s operacemi Azure Resource Manageru, zablokujete uživatele, kteří nejsou v konkrétním koncovém bodě, aby spravovali prostředky. Pokud uživatel se zlými úmysly získá přihlašovací údaje k účtu ve vašem předplatném, nemůže spravovat prostředky bez toho, aby byl na konkrétním koncovém bodu.

Private Link poskytuje následující výhody zabezpečení:

  • Privátní přístup – uživatelé můžou spravovat prostředky z privátní sítě prostřednictvím privátního koncového bodu.

Poznámka:

Azure Kubernetes Service (AKS) v současné době nepodporuje implementaci privátního koncového bodu ARM.

Azure Bastion nepodporuje privátní propojení. Pro konfiguraci privátního koncového bodu privátního propojení správy prostředků se doporučuje použít privátní zónu DNS, ale kvůli překrývání s názvem management.azure.com přestane instance Bastion fungovat. Další informace najdete v nejčastějších dotazech ke službě Azure Bastion.

Principy architektury

Důležité

Pro tuto verzi můžete použít přístup ke správě privátních propojení pouze na úrovni kořenové skupiny pro správu. Toto omezení znamená, že přístup k privátnímu propojení se použije v rámci vašeho tenanta.

Existují dva typy prostředků, které použijete při implementaci správy prostřednictvím privátního propojení.

  • Privátní propojení správy prostředků (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Přidružení private linku (Microsoft.Authorization/privateLinkAssociations)

Následující obrázek ukazuje, jak vytvořit řešení, které omezuje přístup pro správu prostředků.

Diagram privátního propojení správy prostředků

Přidružení privátního propojení rozšiřuje kořenovou skupinu pro správu. Přidružení privátního propojení a privátní koncové body odkazují na privátní propojení správy prostředků.

Důležité

Účty s více tenanty se v současné době nepodporují pro správu prostředků prostřednictvím privátního propojení. Přidružení privátních propojení v různých tenantech nemůžete propojit s jedním privátním propojením správy prostředků.

Pokud váš účet přistupuje k více než jednomu tenantovi, definujte privátní propojení jenom pro jeden z nich.

Workflow

Pokud chcete nastavit privátní propojení pro prostředky, postupujte následovně. Kroky jsou podrobněji popsány dále v tomto článku.

  1. Vytvořte privátní propojení správy prostředků.
  2. Vytvořte přidružení privátního propojení. Přidružení privátního propojení rozšiřuje kořenovou skupinu pro správu. Odkazuje také na ID prostředku pro privátní propojení správy prostředků.
  3. Přidejte privátní koncový bod, který odkazuje na privátní propojení správy prostředků.

Po dokončení těchto kroků můžete spravovat prostředky Azure, které jsou v hierarchii oboru. Použijete privátní koncový bod, který je připojený k podsíti.

Můžete monitorovat přístup k privátnímu propojení. Další informace naleznete v tématu Protokolování a monitorování.

Požadována oprávnění

Důležité

Pro tuto verzi můžete použít přístup ke správě privátních propojení pouze na úrovni kořenové skupiny pro správu. Toto omezení znamená, že přístup k privátnímu propojení se použije v rámci vašeho tenanta.

Pokud chcete nastavit privátní propojení pro správu prostředků, potřebujete následující přístup:

  • Vlastník předplatného. Tento přístup je potřeba k vytvoření prostředku privátního propojení správy prostředků.
  • Vlastník nebo Přispěvatel v kořenové skupině pro správu Tento přístup je potřeba k vytvoření prostředku přidružení privátního propojení.
  • Globální Správa istrator pro ID Microsoft Entra nemá automaticky oprávnění k přiřazování rolí v kořenové skupině pro správu. Pokud chcete povolit vytváření privátních propojení správy prostředků, musí mít globální Správa istrator oprávnění ke čtení kořenové skupiny pro správu a zvýšit úroveň přístupu, aby měl uživatelský přístup oprávnění Správa istrator pro všechna předplatná a skupiny pro správu v tenantovi. Jakmile získáte oprávnění Uživatelský přístup Správa istrator, musí globální Správa istrator udělit oprávnění vlastníka nebo přispěvatele v kořenové skupině pro správu uživateli, který vytváří přidružení privátního propojení.

Pokud chcete vytvořit privátní propojení správy prostředků, odešlete následující požadavek:

Příklad

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Poznamenejte si ID, které se vrátí pro nové privátní propojení správy prostředků. Použijete ho k vytvoření přidružení privátního propojení.

Název prostředku přidružení privátního propojení musí být IDENTIFIKÁTOR GUID a zatím se nepodporuje, aby se zakázalo pole PublicNetworkAccess.

K vytvoření přidružení privátního propojení použijte:

Příklad

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Přidání privátního koncového bodu

Tento článek předpokládá, že už máte virtuální síť. V podsíti, která se bude používat pro privátní koncový bod, musíte vypnout zásady sítě privátních koncových bodů. Pokud jste nevypínali zásady sítě privátních koncových bodů, přečtěte si téma Zakázání zásad sítě pro privátní koncové body.

Pokud chcete vytvořit privátní koncový bod, přečtěte si dokumentaci k privátnímu koncovému bodu pro vytváření prostřednictvím portálu, PowerShellu, rozhraní příkazového řádku, Bicep nebo šablony.

V textu požadavku nastavte privateServiceLinkId ID z privátního propojení správy prostředků. Musí groupIds obsahovat ResourceManagement. Umístění privátního koncového bodu musí být stejné jako umístění podsítě.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

Další krok se liší podle toho, jestli používáte automatické nebo ruční schválení. Další informace o schválení najdete v tématu Přístup k prostředku privátního propojení pomocí pracovního postupu schválení.

Odpověď zahrnuje stav schválení.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Pokud je vaše žádost automaticky schválena, můžete pokračovat k další části. Pokud vaše žádost vyžaduje ruční schválení, počkejte na schválení připojení privátního koncového bodu správcem sítě.

Další kroky

Další informace o privátních propojeních najdete v tématu Azure Private Link.