Použití portálu k vytvoření privátního propojení pro správu prostředků Azure
Tento článek vysvětluje, jak pomocí služby Azure Private Link omezit přístup ke správě prostředků ve vašich předplatných. Ukazuje použití webu Azure Portal k nastavení správy prostředků prostřednictvím privátního přístupu.
Privátní propojení umožňují přístup ke službám Azure přes privátní koncový bod ve vaší virtuální síti. Když zkombinujete privátní propojení s operacemi Azure Resource Manageru, zablokujete uživatele, kteří nejsou v konkrétním koncovém bodě, aby spravovali prostředky. Pokud uživatel se zlými úmysly získá přihlašovací údaje k účtu ve vašem předplatném, nemůže spravovat prostředky bez toho, aby byl na konkrétním koncovém bodu.
Private Link poskytuje následující výhody zabezpečení:
- Privátní přístup – uživatelé můžou spravovat prostředky z privátní sítě prostřednictvím privátního koncového bodu.
Poznámka:
Azure Kubernetes Service (AKS) v současné době nepodporuje implementaci privátního koncového bodu ARM.
Azure Bastion nepodporuje privátní propojení. Pro konfiguraci privátního koncového bodu privátního propojení správy prostředků se doporučuje použít privátní zónu DNS, ale kvůli překrývání s názvem management.azure.com přestane instance Bastion fungovat. Další informace najdete v nejčastějších dotazech ke službě Azure Bastion.
Principy architektury
Důležité
Pro tuto verzi můžete použít přístup ke správě privátních propojení pouze na úrovni kořenové skupiny pro správu. Toto omezení znamená, že přístup k privátnímu propojení se použije v rámci vašeho tenanta.
Existují dva typy prostředků, které použijete při implementaci správy prostřednictvím privátního propojení.
- Privátní propojení správy prostředků (Microsoft.Authorization/resourceManagementPrivateLinks)
- Přidružení private linku (Microsoft.Authorization/privateLinkAssociations)
Následující obrázek ukazuje, jak vytvořit řešení, které omezuje přístup pro správu prostředků.
Přidružení privátního propojení rozšiřuje kořenovou skupinu pro správu. Přidružení privátního propojení a privátní koncové body odkazují na privátní propojení správy prostředků.
Důležité
Účty s více tenanty se v současné době nepodporují pro správu prostředků prostřednictvím privátního propojení. Přidružení privátních propojení v různých tenantech nemůžete propojit s jedním privátním propojením správy prostředků.
Pokud váš účet přistupuje k více než jednomu tenantovi, definujte privátní propojení jenom pro jeden z nich.
Workflow
Pokud chcete nastavit privátní propojení pro prostředky, postupujte následovně. Kroky jsou podrobněji popsány dále v tomto článku.
- Vytvořte privátní propojení správy prostředků.
- Vytvořte přidružení privátního propojení. Přidružení privátního propojení rozšiřuje kořenovou skupinu pro správu. Odkazuje také na ID prostředku pro privátní propojení správy prostředků.
- Přidejte privátní koncový bod, který odkazuje na privátní propojení správy prostředků.
Po dokončení těchto kroků můžete spravovat prostředky Azure, které jsou v hierarchii oboru. Použijete privátní koncový bod, který je připojený k podsíti.
Můžete monitorovat přístup k privátnímu propojení. Další informace naleznete v tématu Protokolování a monitorování.
Požadována oprávnění
Důležité
Pro tuto verzi můžete použít přístup ke správě privátních propojení pouze na úrovni kořenové skupiny pro správu. Toto omezení znamená, že přístup k privátnímu propojení se použije v rámci vašeho tenanta.
Pokud chcete nastavit privátní propojení pro správu prostředků, potřebujete následující přístup:
- Vlastník předplatného. Tento přístup je potřeba k vytvoření prostředku privátního propojení správy prostředků.
- Vlastník nebo Přispěvatel v kořenové skupině pro správu Tento přístup je potřeba k vytvoření prostředku přidružení privátního propojení.
- Globální Správa istrator pro ID Microsoft Entra nemá automaticky oprávnění k přiřazování rolí v kořenové skupině pro správu. Pokud chcete povolit vytváření privátních propojení správy prostředků, musí mít globální Správa istrator oprávnění ke čtení kořenové skupiny pro správu a zvýšit úroveň přístupu, aby měl uživatelský přístup oprávnění Správa istrator pro všechna předplatná a skupiny pro správu v tenantovi. Jakmile získáte oprávnění Uživatelský přístup Správa istrator, musí globální Správa istrator udělit oprávnění vlastníka nebo přispěvatele v kořenové skupině pro správu uživateli, který vytváří přidružení privátního propojení.
Vytvoření privátního propojení správy prostředků
Když vytvoříte privátní propojení správy prostředků, přidružení privátního propojení se automaticky vytvoří za vás.
Na portálu vyhledejte privátní propojení Správy prostředků a vyberte ho z dostupných možností.
Pokud vaše předplatné ještě nemá privátní propojení správy prostředků, zobrazí se prázdná stránka. Vyberte Vytvořit privátní propojení správy prostředků.
Zadejte hodnoty pro nové privátní propojení správy prostředků. Kořenová skupina pro správu pro vybraný adresář se používá pro nový prostředek. Vyberte Zkontrolovat a vytvořit.
Po úspěšném ověření vyberte Vytvořit.
Vytvoření privátního koncového bodu
Teď vytvořte privátní koncový bod, který odkazuje na privátní propojení správy prostředků.
Přejděte do Centra služby Private Link. Vyberte Vytvořit privátní koncový bod.
Na kartě Základy zadejte hodnoty privátního koncového bodu.
Na kartě Prostředek vyberte Připojení k prostředku Azure v mém adresáři. Jako typ prostředku vyberte Microsoft.Authorization/resourceManagementPrivateLinks. Jako cílový dílčí zdroj vyberte ResourceManagement.
Na kartě Konfigurace vyberte svou virtuální síť. Doporučujeme integraci s privátní zónou DNS. Vyberte Zkontrolovat a vytvořit.
Po úspěšném ověření vyberte Vytvořit.
Ověření privátní zóny DNS
Abyste měli jistotu, že je vaše prostředí správně nakonfigurované, zkontrolujte místní IP adresu zóny DNS.
Ve skupině prostředků, do které jste nasadili privátní koncový bod, vyberte prostředek privátní zóny DNS s názvem privatelink.azure.com.
Ověřte, že má pojmenovaná sada záznamů platnou místní IP adresu.
Další kroky
Další informace o privátních propojeních najdete v tématu Azure Private Link.