Permissões RBAC do Azure para o Link Privado do Azure
O gerenciamento de acesso para recursos de nuvem é uma função crítica para qualquer organização. O Azure RBAC (controle de acesso baseado em função) do Azure gerencia o acesso e as operações dos recursos do Azure.
Para implantar um ponto de extremidade privado ou um serviço de link privado, é necessário que um usuário tenha uma atribuição de função interna, como:
Você pode fornecer acesso mais granular criando uma função personalizada com as permissões descritas nas seções a seguir.
Importante
Este artigo lista as permissões específicas para criar um ponto de extremidade privado ou serviço de link privado. Adicione as permissões específicas relacionadas ao serviço ao qual deseja conceder acesso por meio de um link privado, como Função de Colaborador de Microsoft.SQL para SQL do Azure. Para obter mais informações sobre as funções internas, consulte Controle de acesso baseado em função.
O Microsoft.Network e o provedor de recursos específico que você está implantando, por exemplo o Microsoft.Sql, devem ser registrados no nível de assinatura:
Ponto de extremidade privado
Esta seção lista as permissões granulares necessárias para implantar um ponto de extremidade privado, gerenciar políticas de sub-rede de ponto de extremidade privado e implantar recursos dependentes
| Ação | Descrição |
|---|---|
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Ler os recursos para o grupo de recursos |
| Microsoft.Network/virtualNetworks/read | Ler a definição de rede virtual |
| Microsoft.Network/virtualNetworks/subnets/read | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/subnets/write | Crie uma sub-rede de rede virtual ou atualize uma sub-rede de rede virtual existente. Não é explicitamente necessário implantar um ponto de extremidade privado, mas necessário para gerenciar políticas de sub-rede de ponto de extremidade privado |
| Microsoft.Network/virtualNetworks/subnets/join/action | Permitir que um ponto de extremidade privado ingresse em uma rede virtual |
| Microsoft.Network/privateEndpoints/read | Ler um recurso de ponto de extremidade privado |
| Microsoft.Network/privateEndpoints/write | Criar um novo ponto de extremidade privado ou atualizar um ponto de extremidade privado existente |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Ler os recursos de pontos de extremidade privados disponíveis |
Aqui está o formato JSON das permissões acima. Inserir seu próprio roleName, description e assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Serviço de link privado
Esta seção lista as permissões granulares necessárias para implantar um serviço de link privado, gerenciar políticas de sub-rede de serviço de link privado e implantar recursos dependentes
| Ação | Descrição |
|---|---|
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Ler os recursos para o grupo de recursos |
| Microsoft.Network/virtualNetworks/read | Ler a definição de rede virtual |
| Microsoft.Network/virtualNetworks/subnets/read | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/subnets/write | Crie uma sub-rede de rede virtual ou atualize uma sub-rede de rede virtual existente. Não é explicitamente necessário implantar um serviço de link privado, mas necessário para gerenciar políticas de sub-rede de link privado |
| Microsoft.Network/privateLinkServices/read | Ler um recurso de serviço de link privado |
| Microsoft.Network/privateLinkServices/write | Criar um novo serviço de link privado ou atualizar um serviço de link privado existente |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Ler uma definição de conexão de ponto de extremidade privado |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Criar uma nova conexão de ponto de extremidade privado ou atualizar uma conexão de ponto de extremidade privado existente |
| Microsoft.Network/networkSecurityGroups/join/action | Ingressar em um grupo de segurança de rede |
| Microsoft.Network/loadBalancers/read | Ler uma definição do balanceador de carga |
| Microsoft.Network/loadBalancers/write | Criar um balanceador de carga ou atualizar um balanceador de carga existente |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Aprovação de RBAC para ponto de extremidade privado
Normalmente, um administrador de rede cria um ponto de extremidade privado. Dependendo de suas permissões de controle de acesso baseado em função (RBAC) do Azure, um ponto de extremidade privado que você cria é aprovado automaticamente para enviar tráfego para a instância de Gerenciamento de API ou exige que o proprietário do recurso aprove manualmente a conexão.
| Método de aprovação | Permissões de RBAC mínimas |
|---|---|
| Automático | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Manual | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Próximas etapas
Para obter mais informações sobre ponto de extremidade privado e serviços de link privado no Link Privado do Azure, consulte: