Autorisations du contrôle d’accès en fonction du rôle Azure pour Azure Private Link
Il est vital pour toute organisation de pouvoir gérer les accès aux ressources situées dans cloud. Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) gère l’accès et les opérations aux ressources Azure.
Pour déployer un point de terminaison privé ou un service de liaison privée, un utilisateur doit avoir attribuer un rôle intégré, tel que :
Vous pouvez fournir un accès plus granulaire en créant un rôle personnalisé avec les autorisations décrites dans les sections suivantes.
Important
Cet article répertorie les autorisations spécifiques pour créer un point de terminaison privé ou un service de liaison privée. Veillez à ajouter les autorisations spécifiques associées au service auquel vous souhaitez accorder l’accès par le biais d’une liaison privée, telle que le rôle Contributeur Microsoft SQL pour Azure SQL. Pour plus d’informations sur les rôles intégrés, consultez Contrôle d’accès en fonction du rôle.
Microsoft.Network et le fournisseur de ressources spécifique que vous déployez, par exemple Microsoft.Sql, doivent être inscrits au niveau de l’abonnement :
Point de terminaison privé
Cette section liste les autorisations granulaires requises pour déployer un point de terminaison privé, gérer des stratégies de sous-réseau de point de terminaison privé et déployer des ressources dépendantes.
Action | Description |
---|---|
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Lire les ressources pour le groupe de ressources |
Microsoft.Network/virtualNetworks/read | Lire la définition de réseau virtuel |
Microsoft.Network/virtualNetworks/subnets/read | Lire la définition de sous-réseau de réseau virtuel |
Microsoft.Network/virtualNetworks/subnets/write | Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant. N’est pas explicitement nécessaire pour déployer un point de terminaison privé, mais est nécessaire pour gérer des stratégies de sous-réseau de point de terminaison privé |
Microsoft.Network/virtualNetworks/subnets/join/action | Autoriser un point de terminaison privé à rejoindre un réseau virtuel |
Microsoft.Network/privateEndpoints/read | Lire la ressource d’un point de terminaison privé |
Microsoft.Network/privateEndpoints/write | Crée un nouveau point de terminaison privé, ou met à jour un point de terminaison privé existant |
Microsoft.Network/locations/availablePrivateEndpointTypes/read | Lire les ressources de point de terminaison privé disponibles |
Voici le format JSON des autorisations ci-dessus. Entrez votre propre roleName, description et assignableScopes :
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Service de liaison privée
Cette section liste les autorisations granulaires requises pour déployer un service de liaison privée, gérer des stratégies de sous-réseau de service de liaison privée et déployer des ressources dépendantes.
Action | Description |
---|---|
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourcegroups/resources/read | Lire les ressources pour le groupe de ressources |
Microsoft.Network/virtualNetworks/read | Lire la définition de réseau virtuel |
Microsoft.Network/virtualNetworks/subnets/read | Lire la définition de sous-réseau de réseau virtuel |
Microsoft.Network/virtualNetworks/subnets/write | Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant. N’est pas explicitement nécessaire pour déployer un service de liaison privée, mais est nécessaire pour gérer des stratégies de sous-réseau de liaison privée |
Microsoft.Network/privateLinkServices/read | Lire une ressource de service de liaison privée |
Microsoft.Network/privateLinkServices/write | Crée un service de liaison privée, ou met à jour un service de liaison privée existant |
Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Lire une définition de connexion du point de terminaison privé |
Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Crée une connexion du point de terminaison privé ou met à jour une connexion du point de terminaison privé existante |
Microsoft.Network/networkSecurityGroups/join/action | Joint un groupe de sécurité réseau. |
Microsoft.Network/loadBalancers/read | Lire une définition de l’équilibreur de charge |
Microsoft.Network/loadBalancers/write | Crée un équilibrage de charge ou met à jour un équilibrage de charge existant. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
RBAC d’approbation pour le point de terminaison privé
En règle générale, un administrateur réseau crée un point de terminaison privé. Selon vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, un point de terminaison privé que vous créez est soit automatiquement approuvé pour envoyer du trafic à l’instance Gestion des API, soit nécessite que le propriétaire de la ressource approuve manuellement la connexion.
Méthode d’approbation | Autorisations RBAC minimales |
---|---|
Automatique | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
Manuel | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Étapes suivantes
Pour plus d’informations sur le point de terminaison privé et les services de liaison privée dans Azure Private Link, consultez :