Uprawnienia kontroli dostępu opartej na rolach platformy Azure dla usługi Azure Private Link
Zarządzanie dostępem do zasobów w chmurze jest krytyczną funkcją dla każdej organizacji. Kontrola dostępu oparta na rolach (RBAC) platformy Azure zarządza dostępem i operacjami zasobów platformy Azure.
Aby wdrożyć prywatny punkt końcowy lub usługę łącza prywatnego, użytkownik musi mieć przypisaną wbudowaną rolę, taką jak:
Możesz zapewnić bardziej szczegółowy dostęp, tworząc rolę niestandardową z uprawnieniami opisanymi w poniższych sekcjach.
Ważne
W tym artykule wymieniono konkretne uprawnienia do tworzenia prywatnego punktu końcowego lub usługi łącza prywatnego. Upewnij się, że dodasz określone uprawnienia związane z usługą, którą chcesz udzielić dostępu za pośrednictwem łącza prywatnego, na przykład Microsoft.SQL rolę współautora dla usługi Azure SQL. Aby uzyskać więcej informacji na temat wbudowanych ról, zobacz Kontrola dostępu oparta na rolach.
Microsoft.Network i konkretny wdrażany dostawca zasobów, na przykład Microsoft.Sql, muszą być zarejestrowane na poziomie subskrypcji:
Prywatny punkt końcowy
W tej sekcji wymieniono szczegółowe uprawnienia wymagane do wdrożenia prywatnego punktu końcowego, zarządzania zasadami podsieci prywatnego punktu końcowego i wdrażania zasobów zależnych
| Akcja | opis |
|---|---|
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Odczytywanie zasobów dla grupy zasobów |
| Microsoft.Network/virtualNetworks/read | Odczytywanie definicji sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/read | Odczytywanie definicji podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej. Nie trzeba jawnie wdrażać prywatnego punktu końcowego, ale konieczne do zarządzania zasadami podsieci prywatnego punktu końcowego |
| Microsoft.Network/virtualNetworks/subnets/join/action | Zezwalanie prywatnemu punktowi końcowemu na dołączanie do sieci wirtualnej |
| Microsoft.Network/privateEndpoints/read | Odczytywanie zasobu prywatnego punktu końcowego |
| Microsoft.Network/privateEndpoints/write | Tworzy nowy prywatny punkt końcowy lub aktualizuje istniejący prywatny punkt końcowy |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Odczytywanie dostępnych zasobów prywatnych punktów końcowych |
Oto format JSON powyższych uprawnień. Wprowadź własną nazwę roli, opis i przypiszableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Usługa łącza prywatnego
W tej sekcji wymieniono szczegółowe uprawnienia wymagane do wdrożenia usługi łącza prywatnego, zarządzania zasadami podsieci usługi private link i wdrażania zasobów zależnych
| Akcja | opis |
|---|---|
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Odczytywanie zasobów dla grupy zasobów |
| Microsoft.Network/virtualNetworks/read | Odczytywanie definicji sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/read | Odczytywanie definicji podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej. Nie trzeba jawnie wdrażać usługi łącza prywatnego, ale konieczne do zarządzania zasadami podsieci łącza prywatnego |
| Microsoft.Network/privateLinkServices/read | Odczytywanie zasobu usługi łącza prywatnego |
| Microsoft.Network/privateLinkServices/write | Tworzy nową usługę łącza prywatnego lub aktualizuje istniejącą usługę łącza prywatnego |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Odczytywanie definicji połączenia prywatnego punktu końcowego |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Tworzy nowe połączenie prywatnego punktu końcowego lub aktualizuje istniejące połączenie prywatnego punktu końcowego |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza sieciową grupę zabezpieczeń |
| Microsoft.Network/loadBalancers/read | Odczytywanie definicji modułu równoważenia obciążenia |
| Microsoft.Network/loadBalancers/write | Tworzy moduł równoważenia obciążenia lub aktualizuje istniejący moduł równoważenia obciążenia |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Kontrola dostępu oparta na rolach zatwierdzenia dla prywatnego punktu końcowego
Zazwyczaj administrator sieci tworzy prywatny punkt końcowy. W zależności od uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure tworzony prywatny punkt końcowy jest automatycznie zatwierdzony do wysyłania ruchu do wystąpienia usługi API Management lub wymaga od właściciela zasobu ręcznego zatwierdzenia połączenia.
| Metoda zatwierdzania | Minimalne uprawnienia RBAC |
|---|---|
| Automatyczne | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Ręcznie | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Następne kroki
Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i usług łącza prywatnego w usłudze Azure Private Link, zobacz: