Uso de las API para crear un vínculo privado para administrar recursos de Azure
En este artículo se explica cómo usar Azure Private Link para restringir el acceso a fin de administrar los recursos de las suscripciones.
Los vínculos privados permiten acceder a los servicios de Azure a través de un punto de conexión privado en la red virtual. Al combinar los vínculos privados con las operaciones de Azure Resource Manager, se bloquea a los usuarios que no están en el punto de conexión específico para la administración de recursos. Si un usuario malintencionado obtiene las credenciales de una cuenta de la suscripción, este no podrá administrar los recursos si no está en el punto de conexión específico.
Un vínculo privado proporciona las ventajas de seguridad siguientes:
- Acceso privado: los usuarios pueden administrar recursos desde una red privada a través de un punto de conexión privado.
Nota:
Azure Kubernetes Service (AKS) no admite actualmente la implementación del punto de conexión privado de ARM.
Azure Bastion no admite vínculos privados. Se recomienda usar una zona DNS privada para la configuración del punto de conexión privado del vínculo privado de administración de recursos, pero debido a la superposición con el nombre management.azure.com, la instancia de Bastion dejará de funcionar. Para más información, consulte las Preguntas frecuentes sobre Azure Bastion.
Descripción de la arquitectura
Importante
Para esta versión, solo puede aplicar el acceso de administración de vínculos privados en el nivel del grupo de administración raíz. Esta limitación significa que el acceso al vínculo privado se aplica en todo el inquilino.
Hay dos tipos de recursos que se usan al implementar la administración a través de un vínculo privado.
- Vínculo privado de administración de recursos (Microsoft.Authorization/resourceManagementPrivateLinks)
- Asociación de vínculo privado (Microsoft.Authorization/privateLinkAssociations)
En la imagen siguiente se muestra cómo crear una solución que restrinja el acceso para la administración de recursos.
La asociación de vínculo privado extiende el grupo de administración raíz. La asociación de vínculo privado y los puntos de conexión privados hacen referencia al vínculo privado de administración de recursos.
Importante
Actualmente no se admiten las cuentas multiinquilino para administrar recursos a través de un vínculo privado. No se pueden conectar asociaciones de vínculo privado en distintos inquilinos a un único vínculo privado de administración de recursos.
Si la cuenta tiene acceso a más de un inquilino, defina un vínculo privado solo para uno de ellos.
Flujo de trabajo
Para configurar un vínculo privado de los recursos, siga estos pasos. Los pasos se describen con más detalle posteriormente en este artículo.
- Cree el vínculo privado de administración de recursos.
- Cree una asociación de vínculo privado. La asociación de vínculo privado extiende el grupo de administración raíz. También hace referencia al identificador de recurso para el vínculo privado de administración de recursos.
- Agregue un punto de conexión privado que haga referencia al vínculo privado de administración de recursos.
Después de completar esos pasos, puede administrar los recursos de Azure que se encuentren en la jerarquía del ámbito. Use un punto de conexión privado que esté conectado a la subred.
Puede supervisar el acceso al vínculo privado. Para obtener más información, vea el documento sobre supervisión y registro.
Permisos necesarios
Importante
Para esta versión, solo puede aplicar el acceso de administración de vínculos privados en el nivel del grupo de administración raíz. Esta limitación significa que el acceso al vínculo privado se aplica en todo el inquilino.
Si quiere configurar el vínculo privado para la administración de recursos, debe tener el tipo de acceso siguiente:
- Propietario de la suscripción. Este acceso es necesario para crear un recurso de vínculo privado de administración de recursos.
- Propietario o Colaborador en el grupo de administración raíz. Este acceso es necesario para crear el recurso de asociación de vínculo privado.
- El administrador global de Microsoft Entra ID no tiene permiso de forma automática para asignar roles en el grupo de administración raíz. Para habilitar la creación de vínculos privados de administración de recursos, el Administrador global debe tener permiso para leer el grupo de administración raíz y elevar el acceso para tener permiso de Administrador de acceso de usuario en todas las suscripciones y grupos de administración del inquilino. Después de obtener el permiso de Administrador de acceso de usuario, el Administrador global debe conceder el permiso de Propietario o Colaborador en el grupo de administración raíz al usuario que crea la asociación de vínculo privado.
Creación de un vínculo privado de administración de recursos
Para crear un vínculo privado de administración de recursos, envíe la solicitud siguiente:
Ejemplo
# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL
Anote el identificador que se devuelve para el nuevo vínculo privado de administración de recursos. Se usa para crear la asociación de vínculo privado.
Creación de la asociación de vínculo privado
El nombre del recurso de un recurso de asociación de vínculo privado debe ser un GUID y no se puede deshabilitar el campo publicNetworkAccess.
Para crear la asociación de vínculo privado, use lo siguiente:
Ejemplo
# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"
Agregar un punto de conexión privado
En este artículo se da por supuesto que ya tiene una red virtual. En la subred que planea usar para el punto de conexión privado, es necesario desactivar las directivas de red de punto de conexión privado. Para desactivar las directivas de red de punto de conexión privado, consulte Deshabilitar directivas de red para puntos de conexión privados.
Para crear un punto de conexión privado, consulte la documentación del punto de conexión privado para la creación a través de Portal, PowerShell, CLI, Bicep o la plantilla.
En el cuerpo de la solicitud, establezca privateServiceLinkId en el identificador del vínculo privado de administración de recursos. groupIds debe contener ResourceManagement. La ubicación del punto de conexión privado debe ser la misma que la ubicación de la subred.
{
"location": "westus2",
"properties": {
"privateLinkServiceConnections": [
{
"name": "{connection-name}",
"properties": {
"privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
"groupIds": [
"ResourceManagement"
]
}
}
],
"subnet": {
"id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
}
}
}
El siguiente paso varía en función de si usa la aprobación automática o manual. Para obtener más información sobre la aprobación, vea Acceso a un recurso de vínculo privado mediante el flujo de trabajo de aprobación.
La respuesta incluye el estado de la aprobación.
"privateLinkServiceConnectionState": {
"actionsRequired": "None",
"description": "",
"status": "Approved"
},
Si la solicitud se aprueba automáticamente, puede continuar con la sección siguiente. Si la solicitud necesita aprobación manual, espere a que el administrador de red apruebe la conexión de punto de conexión privado.
Pasos siguientes
Para obtener más información sobre los puntos de conexión privados, vea Azure Private Link.