Azure RBAC-Berechtigungen für Azure Private Link
Die Zugriffsverwaltung für Cloudressourcen ist eine wichtige Funktion für jede Organisation. Mit der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) wird der Zugriff auf und Betrieb von Azure-Ressourcen verwaltet.
Zum Bereitstellen eines privaten Endpunkts oder Private Link-Diensts muss einem Benutzer eine integrierte Rolle zugewiesen sein, z. B.:
Sie können einen präziseren Zugriff bereitstellen, indem Sie eine benutzerdefinierte Rolle mit den in den folgenden Abschnitten beschriebenen Berechtigungen erstellen.
Wichtig
In diesem Artikel werden die spezifischen Berechtigungen zum Erstellen eines privaten Endpunkts oder Private Link-Diensts aufgeführt. Stellen Sie sicher, dass Sie die spezifischen Berechtigungen für den Dienst hinzufügen, dem Sie Zugriff über Private Link gewähren möchten, z. B. Microsoft. SQL Rolle „Mitwirkender“ für Azure SQL. Weitere Informationen zu integrierten Rollen finden Sie im Artikel über die rollenbasierte Zugriffssteuerung in Azure.
Microsoft.Network und der spezifische Ressourcenanbieter, den Sie bereitstellen, z. B. Microsoft.Sql, müssen auf Abonnementebene registriert werden:
Privater Endpunkt
In diesem Abschnitt werden die detaillierten Berechtigungen aufgeführt, die für die Bereitstellung eines privaten Endpunkts, die Verwaltung von Subnetzrichtlinien für private Endpunkte und die Bereitstellung abhängiger Ressourcen erforderlich sind.
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Liest die Ressourcen für die Ressourcengruppe |
| Microsoft.Network/virtualNetworks/read | Liest die Definition des virtuellen Netzwerks |
| Microsoft.Network/virtualNetworks/subnets/read | Liest eine Subnetzdefinition für virtuelle Netzwerke aus |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. Nicht unbedingt erforderlich, um einen privaten Endpunkt bereitzustellen, aber notwendig für die Verwaltung von Subnetzrichtlinien für private Endpunkte |
| Microsoft.Network/virtualNetworks/subnets/join/action | Erlauben Sie einem privaten Endpunkt, einem virtuellen Netzwerk beizutreten |
| Microsoft.Network/privateEndpoints/read | Liest eine private Endpunktressource |
| Microsoft.Network/privateEndpoints/write | Erstellt einen neuen privaten Endpunkt oder aktualisiert einen vorhandenen privaten Endpunkt |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Liest die verfügbaren privaten Endpunktressourcen |
Hier ist das JSON-Format der oben genannten Berechtigungen angegeben. Geben Sie Ihren eigenen roleName, description und assignableScopes ein:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Private Link-Dienst
In diesem Abschnitt werden die detaillierten Berechtigungen aufgeführt, die erforderlich sind, um einen privaten Link-Dienst bereitzustellen, Subnetzrichtlinien für private Link-Dienste zu verwalten und abhängige Ressourcen bereitzustellen.
| Aktion | BESCHREIBUNG |
|---|---|
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Liest die Ressourcen für die Ressourcengruppe |
| Microsoft.Network/virtualNetworks/read | Liest die Definition des virtuellen Netzwerks |
| Microsoft.Network/virtualNetworks/subnets/read | Liest eine Subnetzdefinition für virtuelle Netzwerke aus |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. Nicht unbedingt erforderlich, um einen privaten Link-Dienst bereitzustellen, aber notwendig für die Verwaltung von Richtlinien für private Link-Subnetze |
| Microsoft.Network/privateLinkServices/read | Liest eine Private Link-Dienstressource |
| Microsoft.Network/privateLinkServices/write | Erstellt einen neuen Private Link-Dienst oder aktualisiert einen vorhandenen Private Link-Dienst. |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Liest die Definition einer privaten Endpunktverbindung |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Erstellt eine neue private Endpunktverbindung oder aktualisiert eine vorhandene private Endpunktverbindung |
| Microsoft.Network/networkSecurityGroups/join/action | Verknüpft eine Netzwerksicherheitsgruppe. |
| Microsoft.Network/loadBalancers/read | Liest eine Lastenausgleichsdefinition |
| Microsoft.Network/loadBalancers/write | Erstellt einen Lastenausgleich oder aktualisiert einen vorhandenen Lastenausgleich. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Rollenbasierte Zugriffssteuerung (RBAC) für private Endpunkte genehmigen
In der Regel werden private Endpunkte von einem Netzwerkadministrator erstellt. Abhängig von den über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure erteilten Berechtigungen wird ein von Ihnen erstellter privater Endpunkt entweder automatisch genehmigt, sodass er Datenverkehr an die API Management-Instanz senden kann, oder der Ressourcenbesitzer muss die Verbindung manuell genehmigen.
| Genehmigungsmethode | RBAC-Mindestberechtigungen |
|---|---|
| Automatic | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Manuell | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Nächste Schritte
Weitere Informationen zu privaten Endpunkten und Private Link-Diensten in Azure Private Link finden Sie unter: