Verwenden Sie APIs, um einen privaten Link zur Verwaltung von Azure-Ressourcen zu erstellen

In diesem Artikel wird erläutert, wie Sie mit Azure Private Link den Zugriff für die Verwaltung von Ressourcen in Ihren Abonnements einschränken.

Mithilfe privater Verbindungen können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste zugreifen. Wenn Sie private Verbindungen mit Azure Resource Manager-Vorgängen kombinieren, blockieren Sie die Verwaltung von Ressourcen durch Benutzer, die sich nicht am spezifischen Endpunkt befinden. Wenn ein böswilliger Benutzer Anmeldeinformationen für ein Konto in Ihrem Abonnement erlangt, kann dieser Benutzer die Ressourcen nur dann verwalten, wenn er sich an dem spezifischen Endpunkt befindet.

Eine private Verbindung bietet die folgende Sicherheitsvorteile:

  • Privater Zugriff: Benutzer können Ressourcen aus einem privaten Netzwerk über einen privaten Endpunkt verwalten.

Hinweis

Azure Kubernetes Service (AKS) unterstützt derzeit die Implementierung des privaten ARM-Endpunkts nicht.

Azure Bastion unterstützt keine privaten Links. Es wird empfohlen, eine private DNS-Zone für die Konfiguration privater Verbindungen und privater Endpunkte für die Ressourcenverwaltung zu verwenden, aber aufgrund der Überschneidung mit dem Namen „management.azure.com“ funktioniert Ihre Bastion-Instanz nicht mehr. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Bastion.

Informationen zur Architektur

Wichtig

Für dieses Release können Sie den Verwaltungszugriff für private Verbindungen nur auf der Ebene der Stammverwaltungsgruppe anwenden. Diese Einschränkung bedeutet, dass der Zugriff über private Verbindungen mandantenweit angewendet wird.

Es gibt zwei Ressourcentypen, die Sie beim Implementieren der Verwaltung über eine private Verbindung verwenden.

  • Private Ressourcenmanagementverbindung (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Zuordnung der privaten Verbindung (Microsoft.Authorization/privateLinkAssociations)

Die folgende Abbildung zeigt, wie Sie eine Lösung erstellen, die den Zugriff auf die Ressourcenverwaltung einschränkt.

Diagramm mit privater Ressourcenmanagementverbindung

Die Zuordnung der privaten Verbindung erweitert die Stammverwaltungsgruppe. Die Zuordnung der privaten Verbindung und die privaten Endpunkte verweisen auf die private Ressourcenmanagementverbindung.

Wichtig

Konten mit mehreren Mandanten werden derzeit nicht für die Verwaltung von Ressourcen über eine private Verbindung unterstützt. Sie können Zuordnungen privater Verbindungen auf verschiedenen Mandanten nicht mit einer einzelnen privaten Ressourcenmanagementverbindung verbinden.

Wenn Ihr Konto auf mehr als einen Mandanten zugreift, definieren Sie nur eine private Verbindung für einen Mandanten.

Workflow

Um eine private Verbindung für Ressourcen einzurichten, führen Sie die folgenden Schritte durch. Die Schritte werden weiter unten in diesem Artikel ausführlicher beschrieben.

  1. Erstellen Sie die private Ressourcenmanagementverbindung.
  2. Erstellen Sie eine Zuordnung der privaten Verbindung. Die Zuordnung der privaten Verbindung erweitert die Stammverwaltungsgruppe. Außerdem verweist sie auf die Ressourcen-ID für die private Ressourcenmanagementverbindung.
  3. Fügen Sie einen privaten Endpunkt hinzu, der auf die private Ressourcenmanagementverbindung verweist.

Nach Abschluss dieser Schritte können Sie Azure-Ressourcen innerhalb der Hierarchie des Bereichs verwalten. Sie verwenden einen privaten Endpunkt, der mit dem Subnetz verbunden ist.

Sie können den Zugriff auf die private Verbindung überwachen. Weitere Informationen finden Sie unter Protokollierung und Überwachung.

Erforderliche Berechtigungen

Wichtig

Für dieses Release können Sie den Verwaltungszugriff für private Verbindungen nur auf der Ebene der Stammverwaltungsgruppe anwenden. Diese Einschränkung bedeutet, dass der Zugriff über private Verbindungen mandantenweit angewendet wird.

Um die private Verbindung für die Ressourcenverwaltung einzurichten, benötigen Sie den folgenden Zugriff:

  • Abonnementbesitzer. Dieser Zugriff ist erforderlich, um eine private Ressourcenmanagementverbindung zu erstellen.
  • Besitzer oder Mitwirkender in der Stammverwaltungsgruppe. Dieser Zugriff ist erforderlich, um die Zuordnungsressource für die private Verbindung zu erstellen.
  • Der globale Administrator für die Microsoft Entra ID-Instanz ist nicht automatisch zum Zuweisen von Rollen in der Stammverwaltungsgruppe berechtigt. Um das Erstellen privater Ressourcenmanagementverbindungen zu ermöglichen, muss der globale Administrator über die Berechtigung zum Lesen der Stammverwaltungsgruppe und zum Erweitern der Zugriffsrechte verfügen, damit er für alle Abonnements und Verwaltungsgruppen im Mandanten die Berechtigung eines Benutzerzugriffsadministrators besitzt. Nachdem der globale Administrator die Berechtigung „Benutzerzugriffsadministrator“ erhalten hat, muss er dem Benutzer, der die Zuordnung der privaten Verbindung erstellt, die Berechtigung „Besitzer“ oder „Mitwirkender“ für die Stammverwaltungsgruppe erteilen.

Zum Erstellen einer private Ressourcenmanagementverbindung senden Sie die folgende Anforderung:

Beispiel

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Notieren Sie sich die ID, die für die neue private Ressourcenmanagementverbindung zurückgegeben wird. Sie verwenden sie zum Erstellen der Zuordnung der privaten Verbindung.

Der Ressourcenname einer Zuordnungs-Ressource einer privaten Verbindung muss eine GUID sein, und es wird noch nicht unterstützt, das Feld publicNetworkAccess zu deaktivieren.

Verwenden Sie zum Erstellen einer Zuordnung einer privaten Verbindung:

Beispiel

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Privaten Endpunkt hinzufügen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über ein virtuelles Netzwerk verfügen. In dem Subnetz, das für den privaten Endpunkt verwendet wird, müssen Sie Netzwerkrichtlinien für private Endpunkte deaktivieren. Wenn Sie Netzwerkrichtlinien für private Endpunkte nicht deaktiviert haben, finden Sie weitere Informationen unter Deaktivieren von Netzwerkrichtlinien für private Endpunkte.

Um einen privaten Endpunkt zu erstellen, lesen Sie die Dokumentation Privater Endpunkt für die Erstellung über Portal, PowerShell, CLI, Bicep oder Vorlage.

Legen Sie im Anforderungstext die privateServiceLinkId auf die ID Ihrer privaten Ressourcenmanagementverbindung fest. Die groupIds müssen ResourceManagement enthalten. Der Standort des privaten Endpunkts muss mit dem Standort des Subnetzes identisch sein.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

Der nächste Schritt variiert je nachdem, ob Sie automatische oder manuelle Genehmigung verwenden. Weitere Informationen zur Genehmigung finden Sie unter Zugriff auf eine Private Link-Ressource mithilfe des Genehmigungsworkflows.

Die Antwort enthält den Genehmigungszustand.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Wenn Ihre Anforderung automatisch genehmigt wird, können Sie mit dem nächsten Abschnitt fortfahren. Wenn Ihre Anforderung eine manuelle Genehmigung erfordert, warten Sie, bis der Netzwerkadministrator Ihre Verbindung mit dem privaten Endpunkt genehmigt.

Nächste Schritte

Weitere Informationen zu privaten Verbindungen finden Sie unter Azure Private Link.