你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用门户创建用于管理 Azure 资源的专用链接

本文介绍如何使用 Azure 专用链接来限制对订阅中资源的管理访问权限。 演示如何使用 Azure 门户通过专用访问设置资源管理。

使用专用链接,可以通过虚拟网络中的专用终结点访问 Azure 服务。 将专用链接与 Azure 资源管理器的操作相结合时,可阻止不在特定终结点的用户管理资源。 如果恶意用户获取订阅中帐户的凭据,则该用户会因未在特定终结点而无法管理资源。

专用链接提供以下安全优势:

  • 专用访问 - 用户可以通过专用终结点从专用网络管理资源。

注意

Azure Kubernetes Service (AKS) 当前不支持 ARM 专用终结点实现。

Azure Bastion 不支持专用链接。 建议将专用 DNS 区域用于资源管理专用链接专用终结点配置,但由于与 management.azure.com 名称重叠,Bastion 实例将停止工作。 有关详细信息,请参阅 Azure Bastion 常见问题解答

了解体系结构

重要

对于此版本,只能在根管理组级别应用专用链接管理访问。 此限制意味着在租户范围应用专用链接访问。

通过专用链接实现管理时,将使用两种资源类型。

  • 资源管理专用链接 (Microsoft.Authorization/resourceManagementPrivateLinks)
  • 专用链接关联 (Microsoft.Authorization/privateLinkAssociations)

下图显示了如何构造一个解决方案,用于限制对资源的管理访问权限。

资源管理专用链接关系图

专用链接关联扩展了根管理组。 专用链接关联和专用终结点引用资源管理专用链接。

重要

目前不支持多租户帐户通过专用链接管理资源。 不能将不同租户上的专用链接关联连接到单个资源管理专用链接。

如果帐户访问多个租户,请仅为其中一个租户定义专用链接。

工作流

若要为资源设置专用链接,请使用以下步骤。 本文稍后将更详细地介绍这些步骤。

  1. 创建资源管理专用链接。
  2. 创建专用链接关联。 专用链接关联扩展了根管理组。 它还引用资源管理专用链接的资源 ID。
  3. 添加一个引用资源管理专用链接的专用终结点。

完成这些步骤后,你可以管理范围层次结构中的 Azure 资源。 使用连接到子网的专用终结点。

可以监视对专用链接的访问。 有关详细信息,请参阅记录和监视

所需的权限

重要

对于此版本,只能在根管理组级别应用专用链接管理访问。 此限制意味着在租户范围应用专用链接访问。

若要设置用于资源管理的专用链接,需要以下访问权限:

  • 订阅的所有者。 需要此访问权限才能创建资源管理专用链接资源。
  • 根管理组的所有者或参与者。 需要此访问权限才可创建专用链接关联资源。
  • Microsoft Entra ID 的全局管理员不会自动拥有在根管理组分配角色的权限。 为了能够创建资源管理专用链接,全局管理员必须有权读取根管理组并提升访问权限,以便对租户中所有订阅和管理组具有用户访问管理员权限。 获取用户访问管理员权限后,全局管理员必须在根管理组中向创建专用链接关联的用户授予所有者或参与者权限。

创建资源管理专用链接时,系统会自动创建专用链接关联。

  1. 门户中搜索“资源管理专用链接”,然后在可用选项中选择它。

    Azure 门户搜索栏输入“资源管理”的屏幕截图。

  2. 如果你的订阅还没有资源管理专用链接,你将看到一个空白页。 选择“创建资源管理专用链接”。

    Azure 门户显示“创建资源管理专用链接”按钮的屏幕截图。

  3. 为新资源管理专用链接提供值。 所选目录的根管理组将用于新资源。 选择“查看 + 创建” 。

    Azure 门户的屏幕截图,其中有为新资源管理专用链接提供值的字段。

  4. 通过验证后,选择“创建”。

创建专用终结点

现在,创建一个引用资源管理专用链接的专用终结点。

  1. 导航到“专用链接中心”。 选择“创建专用终结点”。

    Azure 门户专用链接中心的屏幕截图,其中高亮了“创建专用终结点”。

  2. 在“基本信息”选项卡中,为专用终结点提供值。

    Azure 门户的屏幕截图,其中显示“基本”选项卡,以及为专用链接提供值的字段。

  3. 在“资源”选项卡中选择“连接到目录中的 Azure 资源” 。 对于“资源类型”,请选择 Microsoft.Authorization/resourceManagementPrivateLinks。 对于目标子资源,请选择 ResourceManagement。

    Azure 门户的屏幕截图,其中显示“资源”选项卡,以及可以选择资源类型的字段和用于专用终结点的目标子资源。

  4. 在“配置”选项卡中,选择你的虚拟网络。 建议与专用 DNS 区域集成。 选择“查看 + 创建”。

  5. 通过验证后,选择“创建”。

验证专用 DNS 区域

若要确保环境的配置正确,请检查 DNS 区域的本地 IP 地址。

  1. 在部署了专用终结点的资源组中,选择名为 privatelink.azure.com 的专用 DNS 区域资源。

  2. 验证名为 management 的记录集是否具有有效的本地 IP 地址。

    Azure 门户的屏幕截图,其中显示了专用 DNS 区域资源及其名为“管理”的记录集和本地 IP 地址。

后续步骤

若要详细了解专用链接,请参阅 Azure 专用链接