RBAC-behörigheter för Azure Private Link i Azure
Åtkomsthantering för molnresurser är en viktig funktion för alla organisationer. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hanterar åtkomst och drift av Azure-resurser.
Om du vill distribuera en privat slutpunkt eller en privat länktjänst måste en användare ha tilldelat en inbyggd roll, till exempel:
Du kan ge mer detaljerad åtkomst genom att skapa en anpassad roll med de behörigheter som beskrivs i följande avsnitt.
Viktigt!
I den här artikeln visas de specifika behörigheterna för att skapa en privat slutpunkt eller en privat länktjänst. Se till att du lägger till de specifika behörigheter som är relaterade till den tjänst som du vill bevilja åtkomst via privat länk, till exempel Microsoft.SQL deltagarroll för Azure SQL. Mer information om inbyggda roller finns i Rollbaserad åtkomstkontroll.
Microsoft.Network och den specifika resursprovider som du distribuerar, till exempel Microsoft.Sql, måste registreras på prenumerationsnivå:
Privat slutpunkt
I det här avsnittet visas de detaljerade behörigheter som krävs för att distribuera en privat slutpunkt, hantera principer för undernät för privata slutpunkter och distribuera beroende resurser
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Resources/deployments/* | Skapa och hantera en distribution |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Läs resurserna för resursgruppen |
| Microsoft.Network/virtualNetworks/read | Läs definitionen för virtuellt nätverk |
| Microsoft.Network/virtualNetworks/subnets/read | Läsa en undernätsdefinition för virtuellt nätverk |
| Microsoft.Network/virtualNetworks/subnets/write | Skapar ett virtuellt nätverksundernät eller uppdaterar ett befintligt virtuellt nätverksundernät. Behövs inte uttryckligen för att distribuera en privat slutpunkt, men krävs för att hantera undernätsprinciper för privata slutpunkter |
| Microsoft.Network/virtualNetworks/subnets/join/action | Tillåt att en privat slutpunkt ansluter till ett virtuellt nätverk |
| Microsoft.Network/privateEndpoints/read | Läsa en privat slutpunktsresurs |
| Microsoft.Network/privateEndpoints/write | Skapar en ny privat slutpunkt eller uppdaterar en befintlig privat slutpunkt |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Läs tillgängliga privata slutpunktsresurser |
Här är JSON-formatet för ovanstående behörigheter. Ange ditt eget roleName, beskrivning och assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Privat länktjänst
I det här avsnittet visas de detaljerade behörigheter som krävs för att distribuera en privat länktjänst, hantera undernätsprinciper för privata länkar och distribuera beroende resurser
| Åtgärd | beskrivning |
|---|---|
| Microsoft.Resources/deployments/* | Skapa och hantera en distribution |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Läs resurserna för resursgruppen |
| Microsoft.Network/virtualNetworks/read | Läs definitionen för virtuellt nätverk |
| Microsoft.Network/virtualNetworks/subnets/read | Läsa en undernätsdefinition för virtuellt nätverk |
| Microsoft.Network/virtualNetworks/subnets/write | Skapar ett virtuellt nätverksundernät eller uppdaterar ett befintligt virtuellt nätverksundernät. Behövs inte uttryckligen för att distribuera en privat länktjänst, men krävs för att hantera undernätsprinciper för privata länkar |
| Microsoft.Network/privateLinkServices/read | Läsa en privat länktjänstresurs |
| Microsoft.Network/privateLinkServices/write | Skapar en ny privat länktjänst eller uppdaterar en befintlig privat länktjänst |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Läsa en definition för privat slutpunktsanslutning |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Skapar en ny privat slutpunktsanslutning eller uppdaterar en befintlig privat slutpunktsanslutning |
| Microsoft.Network/networkSecurityGroups/join/action | Ansluter till en nätverkssäkerhetsgrupp |
| Microsoft.Network/loadBalancers/read | Läsa en definition för lastbalanserare |
| Microsoft.Network/loadBalancers/write | Skapar en lastbalanserare eller uppdaterar en befintlig lastbalanserare |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Godkännande av RBAC för privat slutpunkt
Vanligtvis skapar en nätverksadministratör en privat slutpunkt. Beroende på dina RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure godkänns en privat slutpunkt som du skapar antingen automatiskt för att skicka trafik till API Management-instansen eller kräver att resursägaren godkänner anslutningen manuellt.
| Godkännandemetod | Minsta RBAC-behörigheter |
|---|---|
| Automatisk | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Manuell | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Nästa steg
Mer information om privata slutpunkter och privata länktjänster i Azure Private-länken finns i: