Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом к облачным ресурсам является критически важной функцией в любой организации. Управление доступом на основе ролей Azure (Azure RBAC) управляет доступом и операциями ресурсов Azure.
Чтобы развернуть частную конечную точку или службу приватного канала, пользователю должна быть назначена встроенная роль, например:
Вы можете предоставить более детализированный доступ, создав настраиваемую роль с разрешениями, описанными в следующих разделах.
Внимание
В этой статье перечислены конкретные разрешения для создания частной конечной точки или службы приватного канала. Убедитесь, что добавлены конкретные разрешения, связанные со службой, к которой вы хотите предоставить доступ через приватный канал, например роль участника Microsoft.SQL для Azure SQL. Дополнительные сведения о встроенных ролях см. в статье по управлению доступом на основе ролей.
Microsoft.Network и конкретный поставщик ресурсов, что вы развертываете, например Microsoft.Sql, должны иметь регистрацию на уровне подписки:
Частная конечная точка
В этом разделе перечислены подробные разрешения, необходимые для развертывания частной конечной точки, управления политиками подсети частной конечной точки и развертывания зависимых ресурсов.
| Действие | Описание |
|---|---|
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Read the resources for the resource group |
| Microsoft.Network/virtualNetworks/read | Read the virtual network definition |
| Microsoft.Network/virtualNetworks/subnets/read | Read a virtual network subnet definition |
| Microsoft.Network/virtualNetworks/subnets/write | Создает подсеть виртуальной сети или обновляет существующую подсеть виртуальной сети. Не требуется явно развертывать частную конечную точку, но требуется для управления политиками подсети частной конечной точки. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Разрешить частной конечной точке присоединиться к виртуальной сети |
| Microsoft.Network/privateEndpoints/read | Read a private endpoint resource |
| Microsoft.Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Read available private endpoint resources |
Ниже приведен формат JSON для перечисленных выше разрешений. Введите собственные данные для roleName, description и assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Private link service
В этом разделе перечислены подробные разрешения, необходимые для развертывания службы приватного канала, управления политиками подсети службы приватного канала и развертывания зависимых ресурсов.
| Действие | Описание |
|---|---|
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Read the resources for the resource group |
| Microsoft.Network/virtualNetworks/read | Read the virtual network definition |
| Microsoft.Network/virtualNetworks/subnets/read | Read a virtual network subnet definition |
| Microsoft.Network/virtualNetworks/subnets/write | Создает подсеть виртуальной сети или обновляет существующую подсеть виртуальной сети. Нет необходимости в явном развертывании службы частного подключения, но это необходимо для управления политиками подсети частного подключения. |
| Microsoft.Network/privateLinkServices/read | Read a private link service resource |
| Microsoft.Network/privateLinkServices/write | Создает новую службу частной связи или обновляет существующую |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Read a private endpoint connection definition |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Создает подключение к частной конечной точке или обновляет существующее |
| Microsoft.Network/networkSecurityGroups/join/action | Joins a network security group |
| Microsoft.Network/loadBalancers/read | Прочитать определение балансировщика нагрузки |
| Microsoft.Network/loadBalancers/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Approval RBAC for private endpoint
Как правило, администратор сети создает частную конечную точку. В зависимости от разрешений управления доступом на основе ролей Azure (RBAC) созданная вами частная конечная точка либо автоматически утверждается для отправки трафика в экземпляр Управления API, либо требует, чтобы владелец ресурса вручную одобрил подключение.
| Метод утверждения | Минимальные разрешения RBAC |
|---|---|
| Автоматически | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| Руководство | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Следующие шаги
Дополнительные сведения о службах частной конечной точки и приватного канала в Приватном канале Azure см. в следующих статьях: