Partager via


Autorisations du contrôle d’accès en fonction du rôle Azure pour Azure Private Link

Il est vital pour toute organisation de pouvoir gérer les accès aux ressources situées dans cloud. Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) gère l’accès et les opérations aux ressources Azure.

Pour déployer un point de terminaison privé ou un service de liaison privée, un utilisateur doit avoir attribuer un rôle intégré, tel que :

Vous pouvez fournir un accès plus granulaire en créant un rôle personnalisé avec les autorisations décrites dans les sections suivantes.

Important

Cet article répertorie les autorisations spécifiques pour créer un point de terminaison privé ou un service de liaison privée. Veillez à ajouter les autorisations spécifiques associées au service auquel vous souhaitez accorder l’accès par le biais d’une liaison privée, telle que le rôle Contributeur Microsoft SQL pour Azure SQL. Pour plus d’informations sur les rôles intégrés, consultez Contrôle d’accès en fonction du rôle.

Microsoft.Network et le fournisseur de ressources spécifique que vous déployez, par exemple Microsoft.Sql, doivent être inscrits au niveau de l’abonnement :

image

Point de terminaison privé

Cette section liste les autorisations granulaires requises pour déployer un point de terminaison privé, gérer des stratégies de sous-réseau de point de terminaison privé et déployer des ressources dépendantes.

Action Description
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourcegroups/resources/read Lire les ressources pour le groupe de ressources
Microsoft.Network/virtualNetworks/read Lire la définition de réseau virtuel
Microsoft.Network/virtualNetworks/subnets/read Lire la définition de sous-réseau de réseau virtuel
Microsoft.Network/virtualNetworks/subnets/write Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant.
N’est pas explicitement nécessaire pour déployer un point de terminaison privé, mais est nécessaire pour gérer des stratégies de sous-réseau de point de terminaison privé
Microsoft.Network/virtualNetworks/subnets/join/action Autoriser un point de terminaison privé à rejoindre un réseau virtuel
Microsoft.Network/privateEndpoints/read Lire la ressource d’un point de terminaison privé
Microsoft.Network/privateEndpoints/write Crée un nouveau point de terminaison privé, ou met à jour un point de terminaison privé existant
Microsoft.Network/locations/availablePrivateEndpointTypes/read Lire les ressources de point de terminaison privé disponibles

Voici le format JSON des autorisations ci-dessus. Entrez votre propre roleName, description et assignableScopes :

{
 "properties": {
   "roleName": "Role Name",
   "description": "Description",
   "assignableScopes": [
     "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
   ],
   "permissions": [
     {
       "actions": [
         "Microsoft.Resources/deployments/*",
         "Microsoft.Resources/subscriptions/resourceGroups/read",
         "Microsoft.Network/virtualNetworks/read",
         "Microsoft.Network/virtualNetworks/subnets/read",
         "Microsoft.Network/virtualNetworks/subnets/write",
         "Microsoft.Network/virtualNetworks/subnets/join/action",
         "Microsoft.Network/privateEndpoints/read",
         "Microsoft.Network/privateEndpoints/write",
         "Microsoft.Network/locations/availablePrivateEndpointTypes/read"
       ],
       "notActions": [],
       "dataActions": [],
       "notDataActions": []
     }
   ]
 }
}

Cette section liste les autorisations granulaires requises pour déployer un service de liaison privée, gérer des stratégies de sous-réseau de service de liaison privée et déployer des ressources dépendantes.

Action Description
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourcegroups/resources/read Lire les ressources pour le groupe de ressources
Microsoft.Network/virtualNetworks/read Lire la définition de réseau virtuel
Microsoft.Network/virtualNetworks/subnets/read Lire la définition de sous-réseau de réseau virtuel
Microsoft.Network/virtualNetworks/subnets/write Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant.
N’est pas explicitement nécessaire pour déployer un service de liaison privée, mais est nécessaire pour gérer des stratégies de sous-réseau de liaison privée
Microsoft.Network/privateLinkServices/read Lire une ressource de service de liaison privée
Microsoft.Network/privateLinkServices/write Crée un service de liaison privée, ou met à jour un service de liaison privée existant
Microsoft.Network/privateLinkServices/privateEndpointConnections/read Lire une définition de connexion du point de terminaison privé
Microsoft.Network/privateLinkServices/privateEndpointConnections/write Crée une connexion du point de terminaison privé ou met à jour une connexion du point de terminaison privé existante
Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau.
Microsoft.Network/loadBalancers/read Lire une définition de l’équilibreur de charge
Microsoft.Network/loadBalancers/write Crée un équilibrage de charge ou met à jour un équilibrage de charge existant.
{
  "properties": {
    "roleName": "Role Name",
    "description": "Description",
    "assignableScopes": [
      "/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/privateLinkServices/read",
          "Microsoft.Network/privateLinkServices/write",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
          "Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/loadBalancers/read",
          "Microsoft.Network/loadBalancers/write"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

RBAC d’approbation pour le point de terminaison privé

En règle générale, un administrateur réseau crée un point de terminaison privé. Selon vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, un point de terminaison privé que vous créez est soit automatiquement approuvé pour envoyer du trafic à l’instance Gestion des API, soit nécessite que le propriétaire de la ressource approuve manuellement la connexion.

Méthode d’approbation Autorisations RBAC minimales
Automatique Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Microsoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action
Manuel Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

Étapes suivantes

Pour plus d’informations sur le point de terminaison privé et les services de liaison privée dans Azure Private Link, consultez :