Разрешения Azure RBAC для Приватного канала Azure
Управление доступом к облачным ресурсам является критически важной функцией в любой организации. Управление доступом на основе ролей Azure (Azure RBAC) управляет доступом и операциями ресурсов Azure.
Чтобы развернуть частную конечную точку или службу приватного канала, пользователю должна быть назначена встроенная роль, например:
Вы можете предоставить более детализированный доступ, создав настраиваемую роль с разрешениями, описанными в следующих разделах.
Внимание
В этой статье перечислены конкретные разрешения для создания частной конечной точки или службы приватного канала. Убедитесь, что добавлены конкретные разрешения, связанные со службой, к которой вы хотите предоставить доступ через приватный канал, например роль участника Microsoft.SQL для Azure SQL. Дополнительные сведения о встроенных ролях см. в статье по управлению доступом на основе ролей.
Microsoft.Network и конкретный поставщик ресурсов, что вы развертываете, например Microsoft.Sql, должны иметь регистрацию на уровне подписки:
Частная конечная точка
В этом разделе перечислены подробные разрешения, необходимые для развертывания частной конечной точки, управления политиками подсети частной конечной точки и развертывания зависимых ресурсов.
| Действие | Description |
|---|---|
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Чтение ресурсов для группы ресурсов |
| Microsoft.Network/virtualNetworks/read | Чтение определения виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/read | Чтение определения подсети виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/write | Создает подсеть виртуальной сети или обновляет существующую подсеть виртуальной сети. Не требуется явно развертывать частную конечную точку, но требуется для управления политиками подсети частной конечной точки. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Разрешить частной конечной точке присоединиться к виртуальной сети |
| Microsoft.Network/privateEndpoints/read | Чтение ресурса частной конечной точки |
| Microsoft.Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Чтение доступных ресурсов частной конечной точки |
Ниже приведен формат JSON для перечисленных выше разрешений. Введите собственные данные для roleName, description и assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Служба приватных каналов
В этом разделе перечислены подробные разрешения, необходимые для развертывания службы приватного канала, управления политиками подсети службы приватного канала и развертывания зависимых ресурсов.
| Действие | Description |
|---|---|
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Чтение ресурсов для группы ресурсов |
| Microsoft.Network/virtualNetworks/read | Чтение определения виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/read | Чтение определения подсети виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/write | Создает подсеть виртуальной сети или обновляет существующую подсеть виртуальной сети. Не требуется явно развертывать службу приватного канала, но необходим для управления политиками подсети приватного канала. |
| Microsoft.Network/privateLinkServices/read | Чтение ресурса службы приватного канала |
| Microsoft.Network/privateLinkServices/write | Создает новую службу частной связи или обновляет существующую |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Чтение определения подключения к частной конечной точке |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Создает подключение к частной конечной точке или обновляет существующее |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. |
| Microsoft.Network/loadBalancers/read | Чтение определения подсистемы балансировки нагрузки |
| Microsoft.Network/loadBalancers/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Утверждение RBAC для частной конечной точки
Как правило, администратор сети создает частную конечную точку. В зависимости от разрешений управления доступом на основе ролей Azure (RBAC) созданная вами частная конечная точка либо автоматически утверждается для отправки трафика в экземпляр Управления API, либо требует, чтобы владелец ресурса вручную одобрил подключение.
| Метод утверждения | Минимальные разрешения RBAC |
|---|---|
| Автоматически | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Руководство | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Следующие шаги
Дополнительные сведения о службах частной конечной точки и приватного канала в Приватном канале Azure см. в следующих статьях: