Usar APIs para criar um link privado para gerenciar recursos do Azure

Este artigo explica como você pode usar o Azure Private Link para restringir o acesso para gerenciar recursos em suas assinaturas.

Os links privados permitem que você acesse os serviços do Azure por meio de um ponto de extremidade privado em sua rede virtual. Ao combinar links privados com as operações do Azure Resource Manager, você impede que usuários que não estão no ponto de extremidade específico gerenciem recursos. Se um usuário mal-intencionado obtiver credenciais para uma conta em sua assinatura, esse usuário não poderá gerenciar os recursos sem estar no ponto de extremidade específico.

O link privado oferece os seguintes benefícios de segurança:

  • Acesso privado - os utilizadores podem gerir recursos a partir de uma rede privada através de um ponto de extremidade privado.

Nota

O Serviço Kubernetes do Azure (AKS) atualmente não oferece suporte à implementação de ponto de extremidade privado ARM.

O Azure Bastion não suporta ligações privadas. É recomendável usar uma zona DNS privada para sua configuração de ponto de extremidade privado de link privado de gerenciamento de recursos, mas devido à sobreposição com o nome do management.azure.com, sua instância Bastion deixará de funcionar. Para obter mais informações, consulte as Perguntas frequentes do Azure Bastion.

Compreender a arquitetura

Importante

Para esta versão, você só pode aplicar acesso de gerenciamento de link privado no nível do grupo de gerenciamento raiz. Essa limitação significa que o acesso ao link privado é aplicado em todo o seu locatário.

Há dois tipos de recursos que você usará ao implementar o gerenciamento por meio de um link privado.

  • Link privado de gerenciamento de recursos (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Associação de link privado (Microsoft.Authorization/privateLinkAssociations)

A imagem a seguir mostra como construir uma solução que restringe o acesso para gerenciar recursos.

Diagrama de link privado de gerenciamento de recursos

A associação de link privado estende o grupo de gerenciamento raiz. A associação de link privado e os pontos de extremidade privados fazem referência ao link privado de gerenciamento de recursos.

Importante

Atualmente, não há suporte para contas multilocatárias para gerenciar recursos por meio de um link privado. Não é possível conectar associações de link privado em locatários diferentes a um único link privado de gerenciamento de recursos.

Se sua conta acessar mais de um locatário, defina um link privado para apenas um deles.

Fluxo de Trabalho

Para configurar um link privado para recursos, use as etapas a seguir. As etapas são descritas com mais detalhes mais adiante neste artigo.

  1. Crie o link privado de gerenciamento de recursos.
  2. Crie uma associação de link privado. A associação de link privado estende o grupo de gerenciamento raiz. Ele também faz referência ao ID do recurso para o link privado de gerenciamento de recursos.
  3. Adicione um ponto de extremidade privado que faça referência ao link privado de gerenciamento de recursos.

Depois de concluir essas etapas, você pode gerenciar os recursos do Azure que estão dentro da hierarquia do escopo. Você usa um ponto de extremidade privado que está conectado à sub-rede.

Você pode monitorar o acesso ao link privado. Para obter mais informações, consulte Registro em log e monitoramento.

Permissões obrigatórias

Importante

Para esta versão, você só pode aplicar acesso de gerenciamento de link privado no nível do grupo de gerenciamento raiz. Essa limitação significa que o acesso ao link privado é aplicado em todo o seu locatário.

Para configurar o link privado para gerenciamento de recursos, você precisa do seguinte acesso:

  • Proprietário na subscrição. Esse acesso é necessário para criar recursos de link privado de gerenciamento de recursos.
  • Proprietário ou Colaborador no grupo de gerenciamento raiz. Esse acesso é necessário para criar o recurso de associação de link privado.
  • O Administrador Global da ID do Microsoft Entra não tem permissão automática para atribuir funções no grupo de gerenciamento raiz. Para habilitar a criação de links privados de gerenciamento de recursos, o Administrador Global deve ter permissão para ler o grupo de gerenciamento raiz e elevar o acesso para ter permissão de Administrador de Acesso de Usuário em todas as assinaturas e grupos de gerenciamento no locatário. Depois de obter a permissão de Administrador de Acesso de Usuário, o Administrador Global deve conceder permissão de Proprietário ou Colaborador no grupo de gerenciamento raiz ao usuário que cria a associação de link privado.

Para criar um link privado de gerenciamento de recursos, envie a seguinte solicitação:

Exemplo

# Login first with az login if not using Cloud Shell
az resourcemanagement private-link create --location WestUS --resource-group PrivateLinkTestRG --name NewRMPL

Observe a ID retornada para o novo link privado de gerenciamento de recursos. Você o usará para criar a associação de link privado.

O nome do recurso de um recurso de associação de link privado deve ser um GUID e ainda não há suporte para desabilitar o campo publicNetworkAccess.

Para criar a associação de link privado, use:

Exemplo

# Login first with az login if not using Cloud Shell
az private-link association create --management-group-id fc096d27-0434-4460-a3ea-110df0422a2d --name 1d7942d1-288b-48de-8d0f-2d2aa8e03ad4 --privatelink "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/PrivateLinkTestRG/providers/Microsoft.Authorization/resourceManagementPrivateLinks/newRMPL"

Adicionar ponto de extremidade privado

Este artigo pressupõe que você já tenha uma rede virtual. Na sub-rede que será usada para o ponto de extremidade privado, você deve desativar as diretivas de rede de ponto de extremidade privado. Se você não tiver desativado as políticas de rede de ponto de extremidade privado, consulte Desabilitar políticas de rede para pontos de extremidade privados.

Para criar um ponto de extremidade privado, consulte a documentação do Ponto de extremidade privado para criar via Portal, PowerShell, CLI, Bíceps ou modelo.

No corpo da solicitação, defina o privateServiceLinkId para o ID do seu link privado de gerenciamento de recursos. O groupIds deve conter ResourceManagement. O local do ponto de extremidade privado deve ser o mesmo que o local da sub-rede.

{
  "location": "westus2",
  "properties": {
    "privateLinkServiceConnections": [
      {
        "name": "{connection-name}",
        "properties": {
           "privateLinkServiceId": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Authorization/resourceManagementPrivateLinks/{name}",
           "groupIds": [
              "ResourceManagement"
           ]
         }
      }
    ],
    "subnet": {
      "id": "/subscriptions/{subID}/resourceGroups/{rgName}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"
    }
  }
}

A próxima etapa varia dependendo se você está usando a aprovação automática ou manual. Para obter mais informações sobre aprovação, consulte Acesso a um recurso de link privado usando fluxo de trabalho de aprovação.

A resposta inclui o estado de aprovação.

"privateLinkServiceConnectionState": {
    "actionsRequired": "None",
    "description": "",
    "status": "Approved"
},

Se o seu pedido for aprovado automaticamente, pode continuar para a secção seguinte. Se o seu pedido necessitar de aprovação manual, aguarde até que o administrador da rede aprove a sua ligação de ponto final privada.

Próximos passos

Para saber mais sobre links privados, consulte Azure Private Link.