Permissões RBAC do Azure para o Azure Private Link
O gerenciamento de acesso para recursos de nuvem é uma função crítica para qualquer organização. O controle de acesso baseado em função do Azure (Azure RBAC) gerencia o acesso e as operações dos recursos do Azure.
Para implantar um ponto de extremidade privado ou um serviço de link privado, um usuário deve ter atribuído uma função interna, como:
Você pode fornecer acesso mais granular criando uma função personalizada com as permissões descritas nas seções a seguir.
Importante
Este artigo lista as permissões específicas para criar um ponto de extremidade privado ou serviço de link privado. Certifique-se de adicionar as permissões específicas relacionadas ao serviço ao qual você gostaria de conceder acesso por meio de link privado, como Microsoft.SQL Função de Colaborador para SQL do Azure. Para obter mais informações sobre funções internas, consulte Controle de acesso baseado em função.
Microsoft.Network e o provedor de recursos específico que você está implantando, por exemplo, Microsoft.Sql, devem ser registrados no nível de assinatura:
Ponto final privado
Esta seção lista as permissões granulares necessárias para implantar um ponto de extremidade privado, gerenciar políticas de sub-rede de ponto de extremidade privado e implantar recursos dependentes
| Ação | Descrição |
|---|---|
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leia os recursos para o grupo de recursos |
| Microsoft.Network/virtualNetworks/ler | Leia a definição de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/leitura | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/gravação | Cria uma sub-rede de rede virtual ou atualiza uma sub-rede de rede virtual existente. Não é explicitamente necessário para implantar um ponto de extremidade privado, mas necessário para gerenciar políticas de sub-rede de ponto de extremidade privado |
| Microsoft.Network/virtualNetworks/subnets/join/action | Permitir que um ponto de extremidade privado ingresse em uma rede virtual |
| Microsoft.Network/privateEndpoints/leitura | Ler um recurso de ponto final privado |
| Microsoft.Network/privateEndpoints/gravação | Cria um novo ponto de extremidade privado ou atualiza um ponto de extremidade privado existente |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Leia os recursos de endpoint privados disponíveis |
Aqui está o formato JSON das permissões acima. Insira sua própria funçãoName, description e assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Serviço de ligação privada
Esta seção lista as permissões granulares necessárias para implantar um serviço de link privado, gerenciar políticas de sub-rede de serviço de link privado e implantar recursos dependentes
| Ação | Descrição |
|---|---|
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leia os recursos para o grupo de recursos |
| Microsoft.Network/virtualNetworks/ler | Leia a definição de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/leitura | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/gravação | Cria uma sub-rede de rede virtual ou atualiza uma sub-rede de rede virtual existente. Não é explicitamente necessário para implantar um serviço de link privado, mas necessário para gerenciar políticas de sub-rede de link privado |
| Microsoft.Network/privateLinkServices/ler | Ler um recurso de serviço de link privado |
| Microsoft.Network/privateLinkServices/gravação | Cria um novo serviço de link privado ou atualiza um serviço de link privado existente |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Ler uma definição de conexão de ponto de extremidade privado |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/gravação | Cria uma nova conexão de ponto de extremidade privada ou atualiza uma conexão de ponto de extremidade privada existente |
| Microsoft.Network/networkSecurityGroups/join/action | Ingressa em um grupo de segurança de rede |
| Microsoft.Network/loadBalancers/leitura | Ler uma definição de balanceador de carga |
| Microsoft.Network/loadBalancers/gravação | Cria um balanceador de carga ou atualiza um balanceador de carga existente |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
RBAC de aprovação para ponto final privado
Normalmente, um administrador de rede cria um ponto de extremidade privado. Dependendo de suas permissões RBAC (controle de acesso baseado em função) do Azure, um ponto de extremidade privado criado é aprovado automaticamente para enviar tráfego para a instância de Gerenciamento de API ou exige que o proprietário do recurso aprove manualmente a conexão.
| Método de homologação | Permissões mínimas de RBAC |
|---|---|
| Automático | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Manual | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Próximos passos
Para obter mais informações sobre serviços de ponto de extremidade privado e link privado no link privado do Azure, consulte: