Tworzenie linku prywatnego do zarządzania zasobami platformy Azure przy użyciu portalu
W tym artykule wyjaśniono, jak za pomocą usługi Azure Private Link ograniczyć dostęp do zarządzania zasobami w ramach subskrypcji. Pokazuje on, jak używać witryny Azure Portal do konfigurowania zarządzania zasobami za pośrednictwem dostępu prywatnego.
Linki prywatne umożliwiają dostęp do usług platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Łącząc łącza prywatne z operacjami usługi Azure Resource Manager, blokujesz użytkownikom, którzy nie znajdują się w określonym punkcie końcowym, z zarządzania zasobami. Jeśli złośliwy użytkownik otrzyma poświadczenia do konta w ramach subskrypcji, ten użytkownik nie może zarządzać zasobami bez znajdowania się w określonym punkcie końcowym.
Usługa Private Link zapewnia następujące korzyści zabezpieczeń:
- Dostęp prywatny — użytkownicy mogą zarządzać zasobami z sieci prywatnej za pośrednictwem prywatnego punktu końcowego.
Uwaga
Usługa Azure Kubernetes Service (AKS) obecnie nie obsługuje implementacji prywatnego punktu końcowego usługi ARM.
Usługa Azure Bastion nie obsługuje łączy prywatnych. Zaleca się użycie prywatnej strefy DNS dla konfiguracji prywatnego punktu końcowego łącza zarządzania zasobami, ale ze względu na nakładanie się na nazwę management.azure.com wystąpienie usługi Bastion przestanie działać. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.
Omówienie architektury
Ważne
W tej wersji można stosować dostęp do zarządzania łączami prywatnymi tylko na poziomie głównej grupy zarządzania. To ograniczenie oznacza, że dostęp do łącza prywatnego jest stosowany w dzierżawie.
Istnieją dwa typy zasobów, których będziesz używać podczas implementowania zarządzania za pośrednictwem łącza prywatnego.
- Link prywatny do zarządzania zasobami (Microsoft.Authorization/resourceManagementPrivateLinks)
- Skojarzenie łącza prywatnego (Microsoft.Authorization/privateLinkAssociations)
Na poniższej ilustracji przedstawiono sposób konstruowania rozwiązania, które ogranicza dostęp do zarządzania zasobami.
Skojarzenie łącza prywatnego rozszerza główną grupę zarządzania. Skojarzenie łącza prywatnego i prywatne punkty końcowe odwołują się do łącza prywatnego zarządzania zasobami.
Ważne
Konta z wieloma dzierżawami nie są obecnie obsługiwane do zarządzania zasobami za pośrednictwem łącza prywatnego. Nie można połączyć skojarzeń łącza prywatnego w różnych dzierżawach z pojedynczym linkiem prywatnym do zarządzania zasobami.
Jeśli twoje konto uzyskuje dostęp do więcej niż jednej dzierżawy, zdefiniuj link prywatny tylko dla jednego z nich.
Przepływ pracy
Aby skonfigurować link prywatny dla zasobów, wykonaj następujące kroki. Kroki zostały szczegółowo opisane w dalszej części tego artykułu.
- Utwórz link prywatny do zarządzania zasobami.
- Utwórz skojarzenie łącza prywatnego. Skojarzenie łącza prywatnego rozszerza główną grupę zarządzania. Odwołuje się również do identyfikatora zasobu dla łącza prywatnego zarządzania zasobami.
- Dodaj prywatny punkt końcowy, który odwołuje się do łącza prywatnego zarządzania zasobami.
Po wykonaniu tych kroków możesz zarządzać zasobami platformy Azure, które znajdują się w hierarchii zakresu. Należy użyć prywatnego punktu końcowego połączonego z podsiecią.
Dostęp do łącza prywatnego można monitorować. Aby uzyskać więcej informacji, zobacz Rejestrowanie i monitorowanie.
Wymagane uprawnienia
Ważne
W tej wersji można stosować dostęp do zarządzania łączami prywatnymi tylko na poziomie głównej grupy zarządzania. To ograniczenie oznacza, że dostęp do łącza prywatnego jest stosowany w dzierżawie.
Aby skonfigurować link prywatny do zarządzania zasobami, potrzebny jest następujący dostęp:
- Właściciel subskrypcji. Ten dostęp jest potrzebny do utworzenia zasobu łącza prywatnego zarządzania zasobami.
- Właściciel lub Współautor w głównej grupie zarządzania. Ten dostęp jest potrzebny do utworzenia zasobu skojarzenia łącza prywatnego.
- Globalny Administracja istrator identyfikatora Entra firmy Microsoft nie ma automatycznie uprawnień do przypisywania ról w głównej grupie zarządzania. Aby włączyć tworzenie linków prywatnych do zarządzania zasobami, administrator globalny Administracja musi mieć uprawnienia do odczytu głównej grupy zarządzania i podnieść poziom dostępu, aby mieć uprawnienia dostępu użytkowników Administracja istrator dla wszystkich subskrypcji i grup zarządzania w dzierżawie. Po otrzymaniu uprawnienia Administracja istratora dostępu użytkowników administrator globalny Administracja istrator musi udzielić uprawnienia Właściciel lub Współautor w głównej grupie zarządzania do użytkownika tworzącego skojarzenie łącza prywatnego.
Tworzenie łącza prywatnego zarządzania zasobami
Po utworzeniu łącza prywatnego do zarządzania zasobami skojarzenie łącza prywatnego zostanie automatycznie utworzone.
W portalu wyszukaj linki prywatne do zarządzania zasobami i wybierz je z dostępnych opcji.
Jeśli Twoja subskrypcja nie ma jeszcze linków prywatnych do zarządzania zasobami, zobaczysz pustą stronę. Wybierz pozycję Utwórz link prywatny do zarządzania zasobami.
Podaj wartości dla nowego łącza prywatnego zarządzania zasobami. Główna grupa zarządzania dla wybranego katalogu jest używana dla nowego zasobu. Wybierz pozycję Przejrzyj i utwórz.
Po zakończeniu walidacji wybierz pozycję Utwórz.
Tworzenie prywatnego punktu końcowego
Teraz utwórz prywatny punkt końcowy, który odwołuje się do łącza prywatnego zarządzania zasobami.
Przejdź do Centrum usługi Private Link. Wybierz pozycję Utwórz prywatny punkt końcowy.
Na karcie Podstawy podaj wartości dla prywatnego punktu końcowego.
Na karcie Zasób wybierz pozycję Połączenie do zasobu platformy Azure w moim katalogu. W polu Typ zasobu wybierz pozycję Microsoft.Authorization/resourceManagementPrivateLinks. W polu Docelowy podźródło wybierz pozycję ZasóbZarządzanie.
Na karcie Konfiguracja wybierz sieć wirtualną. Zalecamy integrację z prywatną strefą DNS. Wybierz pozycję Przejrzyj i utwórz.
Po zakończeniu walidacji wybierz pozycję Utwórz.
Weryfikowanie prywatnej strefy DNS
Aby upewnić się, że środowisko jest prawidłowo skonfigurowane, sprawdź lokalny adres IP strefy DNS.
W grupie zasobów, w której wdrożono prywatny punkt końcowy, wybierz zasób prywatnej strefy DNS o nazwie privatelink.azure.com.
Sprawdź, czy zestaw rekordów o nazwie management ma prawidłowy lokalny adres IP.
Następne kroki
Aby dowiedzieć się więcej na temat linków prywatnych, zobacz Azure Private Link.