Oprávnění Azure RBAC pro službu Azure Private Link
Správa přístupu pro cloudové prostředky je důležitou funkcí pro každou organizaci. Řízení přístupu na základě role v Azure (Azure RBAC) spravuje přístup a operace prostředků Azure.
Pokud chcete nasadit privátní koncový bod nebo službu privátního propojení, musí mít uživatel přiřazenou předdefinované role, například:
Podrobnější přístup můžete poskytnout vytvořením vlastní role s oprávněními popsanými v následujících částech.
Důležité
Tento článek uvádí konkrétní oprávnění k vytvoření privátního koncového bodu nebo služby privátního propojení. Ujistěte se, že přidáte konkrétní oprávnění související se službou, kterou chcete udělit přístup prostřednictvím privátního propojení, jako je role přispěvatele Microsoft.SQL pro Azure SQL. Další informace o předdefinovaných rolích najdete v tématu Řízení přístupu na základě role.
Microsoft.Network a konkrétní poskytovatel prostředků, který nasazujete, například Microsoft.Sql, musí být zaregistrované na úrovni předplatného:
Privátní koncový bod
V této části jsou uvedena podrobná oprávnění potřebná k nasazení privátního koncového bodu, správa zásad podsítě privátního koncového bodu a nasazení závislých prostředků.
| Akce | Popis |
|---|---|
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Čtení prostředků pro skupinu prostředků |
| Microsoft.Network/virtualNetworks/read | Čtení definice virtuální sítě |
| Microsoft.Network/virtualNetworks/subnets/read | Čtení definice podsítě virtuální sítě |
| Microsoft.Network/virtualNetworks/subnets/write | Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě. Explicitně není potřeba nasadit privátní koncový bod, ale je to nezbytné pro správu zásad podsítě privátního koncového bodu. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Povolení připojení k virtuální síti privátnímu koncovému bodu |
| Microsoft.Network/privateEndpoints/read | Čtení prostředku privátního koncového bodu |
| Microsoft.Network/privateEndpoints/write | Vytvoří nový privátní koncový bod nebo aktualizuje existující privátní koncový bod. |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Čtení dostupných prostředků privátního koncového bodu |
Tady je formát JSON výše uvedených oprávnění. Zadejte vlastní název role, popis a přiřaditelnéscopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Služba Private Link
V této části jsou uvedena podrobná oprávnění potřebná k nasazení služby privátního propojení, správa zásad podsítě služby Private Link a nasazení závislých prostředků.
| Akce | Popis |
|---|---|
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Čtení prostředků pro skupinu prostředků |
| Microsoft.Network/virtualNetworks/read | Čtení definice virtuální sítě |
| Microsoft.Network/virtualNetworks/subnets/read | Čtení definice podsítě virtuální sítě |
| Microsoft.Network/virtualNetworks/subnets/write | Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě. Explicitně není potřeba nasadit službu privátního propojení, ale je to nezbytné pro správu zásad podsítě privátního propojení. |
| Microsoft.Network/privateLinkServices/read | Čtení prostředku služby Private Link |
| Microsoft.Network/privateLinkServices/write | Vytvoří novou službu privátního propojení nebo aktualizuje existující službu privátního propojení. |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Čtení definice připojení privátního koncového bodu |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Vytvoří nové připojení privátního koncového bodu nebo aktualizuje stávající připojení privátního koncového bodu. |
| Microsoft.Network/networkSecurityGroups/join/action | Připojí se ke skupině zabezpečení sítě. |
| Microsoft.Network/loadBalancers/read | Čtení definice nástroje pro vyrovnávání zatížení |
| Microsoft.Network/loadBalancers/write | Vytvoří nástroj pro vyrovnávání zatížení nebo aktualizuje existující nástroj pro vyrovnávání zatížení. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Schválení RBAC pro privátní koncový bod
Správce sítě obvykle vytvoří privátní koncový bod. V závislosti na oprávněních řízení přístupu na základě role v Azure (RBAC) se privátní koncový bod, který vytvoříte, buď automaticky schválí odesílání provozu do instance služby API Management, nebo vyžaduje, aby vlastník prostředku připojení schválil ručně .
| Metoda schválení | Minimální oprávnění RBAC |
|---|---|
| Automatic (Automaticky) | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Ruční | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Další kroky
Další informace o službách privátního koncového bodu a privátního propojení ve službě Azure Private Link najdete tady: