適用於 Azure Private Link 的 Azure RBAC 權限

對於任何組織而言，雲端資源的存取管理是非常重要的功能。 Azure 角色型存取控制 (Azure RBAC) 可管理 Azure 資源的存取和作業。

若要部署私人端點或私人連結服務，使用者必須已獲指派內建角色，例如：

• 擁有者
• 參與者
• 網路參與者

您可以使用下列各節中所述的權限來建立自訂角色，以提供更細微的存取權。

重要

本文列出建立私人端點或私人連結服務的特定權限。 請務必新增與您想要透過私人連結授與存取權的服務相關的特定權限，例如適用於 Azure SQL 的 Microsoft.SQL 參與者角色。 如需內建角色的詳細資訊，請參閱角色型存取控制。

Microsoft.Network 以及您要部署的特定資源提供者 (例如 Microsoft.Sql) 必須在訂用帳戶層級進行註冊：

私人端點

本節列出部署私人端點、管理 私人端點子網原則及部署相依資源所需的細微許可權

動作	描述
Microsoft.Resources/deployments/*	建立和管理部署
Microsoft.Resources/subscriptions/resourcegroups/resources/read	讀取資源群組的資源
Microsoft.Network/virtualNetworks/read	讀取虛擬網路定義
Microsoft.Network/virtualNetworks/subnets/read	讀取虛擬網路子網路定義
Microsoft.Network/virtualNetworks/subnets/write	建立虛擬網路子網或更新現有的虛擬網路子網。 不需要明確部署私人端點，但需要管理私人端點子網原則
Microsoft.Network/virtualNetworks/subnets/join/action	允許私人端點加入虛擬網路
Microsoft.Network/privateEndpoints/read	讀取私人端點資源
Microsoft.Network/privateEndpoints/write	建立新的私人端點，或更新現有私人端點
Microsoft.Network/locations/availablePrivateEndpointTypes/read	讀取可用的私人端點資源

以下是上述權限的 JSON 格式。 輸入您自己的 roleName、description 和 assignableScopes：

{
 "properties": {
   "roleName": "Role Name",
   "description": "Description",
   "assignableScopes": [
     "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
   ],
   "permissions": [
     {
       "actions": [
         "Microsoft.Resources/deployments/*",
         "Microsoft.Resources/subscriptions/resourceGroups/read",
         "Microsoft.Network/virtualNetworks/read",
         "Microsoft.Network/virtualNetworks/subnets/read",
         "Microsoft.Network/virtualNetworks/subnets/write",
         "Microsoft.Network/virtualNetworks/subnets/join/action",
         "Microsoft.Network/privateEndpoints/read",
         "Microsoft.Network/privateEndpoints/write",
         "Microsoft.Network/locations/availablePrivateEndpointTypes/read"
       ],
       "notActions": [],
       "dataActions": [],
       "notDataActions": []
     }
   ]
 }
}

私人連結服務

本節列出部署私人鏈接服務、管理 私人鏈接服務子網原則，以及部署相依資源所需的細微許可權

動作	描述
Microsoft.Resources/deployments/*	建立和管理部署
Microsoft.Resources/subscriptions/resourcegroups/resources/read	讀取資源群組的資源
Microsoft.Network/virtualNetworks/read	讀取虛擬網路定義
Microsoft.Network/virtualNetworks/subnets/read	讀取虛擬網路子網路定義
Microsoft.Network/virtualNetworks/subnets/write	建立虛擬網路子網或更新現有的虛擬網路子網。 部署私人鏈接服務並非明確需要，但需要管理私人連結子網原則
Microsoft.Network/privateLinkServices/read	讀取私人連結服務資源
Microsoft.Network/privateLinkServices/write	建立新的私人連結服務，或更新現有私人連結服務
Microsoft.Network/privateLinkServices/privateEndpointConnections/read	讀取私人端點連線定義
Microsoft.Network/privateLinkServices/privateEndpointConnections/write	建立新的私人端點連線，或更新現有私人端點連線
Microsoft.Network/networkSecurityGroups/join/action	加入網路安全性群組
Microsoft.Network/loadBalancers/read	讀取負載平衡器定義
Microsoft.Network/loadBalancers/write	建立負載平衡器，或更新現有的負載平衡器

{
  "properties": {
    "roleName": "Role Name",
    "description": "Description",
    "assignableScopes": [
      "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/privateLinkServices/read",
          "Microsoft.Network/privateLinkServices/write",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/loadBalancers/read",
          "Microsoft.Network/loadBalancers/write"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

私人端點的核准 RBAC

一般而言，網路管理員會建立私人端點。 根據 Azure 角色型存取控制 (RBAC) 權限，會對您所建立的私人端點進行「自動核准」以將流量傳送至 API 管理執行個體，或需要資源擁有者「手動核准」連線。

核准方法	最小 RBAC 權限
自動	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action
手動	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

下一步

如需 Azure Private Link 中私人端點和私人連結服務的詳細資訊，請參閱：

• 什麼是 Azure 私人端點？
• 什麼是 Azure Private Link 服務？