Autorizzazioni di Controllo degli accessi in base al ruolo di Azure per Collegamento privato di Azure
La gestione degli accessi per le risorse cloud è una funzione fondamentale per qualsiasi organizzazione. Il controllo degli accessi in base al ruolo di Azure gestisce l'accesso e le operazioni delle risorse di Azure.
Per distribuire un endpoint privato o un servizio di collegamento privato a un utente deve avere assegnato un ruolo predefinito, ad esempio:
È possibile fornire un accesso più granulare creando un ruolo personalizzato con le autorizzazioni descritte nelle sezioni seguenti.
Importante
Questo articolo elenca le autorizzazioni specifiche per creare un endpoint privato o un servizio di collegamento privato. Assicurarsi di aggiungere le autorizzazioni specifiche correlate al servizio che si vuole concedere l'accesso tramite collegamento privato, ad esempio Microsoft.SQL ruolo collaboratore per Azure SQL. Per altre informazioni sui ruoli predefiniti, vedere Controllo di accesso basato sui ruoli.
Microsoft.Network e il provider di risorse specifico da distribuire, ad esempio Microsoft.Sql, devono essere registrati a livello di sottoscrizione:
Endpoint privato
Questa sezione elenca le autorizzazioni granulari necessarie per distribuire un endpoint privato, gestire i criteri della subnet dell'endpoint privato e distribuire le risorse dipendenti
| Azione | Descrizione |
|---|---|
| Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leggere le risorse per il gruppo di risorse |
| Microsoft.Network/virtualNetworks/read | Leggere la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/read | Leggere la definizione di subnet di rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subnet di rete virtuale o aggiorna una subnet di rete virtuale esistente. Non è necessario in modo esplicito per distribuire un endpoint privato, ma necessario per la gestione dei criteri della subnet dell'endpoint privato |
| Microsoft.Network/virtualNetworks/subnets/join/action | Consentire a un endpoint privato di aggiungere una rete virtuale |
| Microsoft.Network/privateEndpoints/read | Leggere una risorsa endpoint privato |
| Microsoft.Network/privateEndpoints/write | Crea un nuovo endpoint privato o aggiorna un endpoint privato esistente |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Leggere le risorse dell'endpoint privato disponibili |
Ecco il formato JSON delle autorizzazioni precedenti. Immettere roleName, description e assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Servizio collegamento privato
Questa sezione elenca le autorizzazioni granulari necessarie per distribuire un servizio di collegamento privato, gestire i criteri della subnet del servizio di collegamento privato e distribuire le risorse dipendenti
| Azione | Descrizione |
|---|---|
| Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leggere le risorse per il gruppo di risorse |
| Microsoft.Network/virtualNetworks/read | Leggere la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/read | Leggere la definizione di subnet di rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subnet di rete virtuale o aggiorna una subnet di rete virtuale esistente. Non è necessario in modo esplicito per distribuire un servizio di collegamento privato, ma necessario per la gestione dei criteri di subnet del collegamento privato |
| Microsoft.Network/privateLinkServices/read | Leggere una risorsa del servizio collegamento privato |
| Microsoft.Network/privateLinkServices/write | Crea un nuovo servizio collegamento privato o aggiorna un servizio di collegamento privato esistente |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Leggere una definizione di connessione all'endpoint privato |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Crea una nuova connessione endpoint privato o aggiorna una connessione endpoint privato esistente |
| Microsoft.Network/networkSecurityGroups/join/action | Aggiunge un gruppo di sicurezza di rete |
| Microsoft.Network/loadBalancers/read | Leggere una definizione del servizio di bilanciamento del carico |
| Microsoft.Network/loadBalancers/write | Crea un servizio di bilanciamento del carico o ne aggiorna uno esistente |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Controllo degli accessi in base al ruolo di approvazione per l'endpoint privato
In genere, un amministratore di rete crea un endpoint privato. A seconda delle autorizzazioni di controllo degli accessi in base al ruolo (RBAC) di Azure, un endpoint privato creato viene approvato automaticamente per inviare traffico all'istanza di API Management oppure richiede al proprietario della risorsa di approvare manualmente la connessione.
| Metodo di approvazione | Autorizzazioni di controllo degli accessi in base al ruolo minime |
|---|---|
| Automatico | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Manuale | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Passaggi successivi
Per altre informazioni sull'endpoint privato e sui servizi di collegamento privato in Collegamento privato di Azure, vedere: