Azure Özel Bağlantı için Azure RBAC izinleri
Bulut kaynakları için erişim yönetimi, tüm kuruluşlar için kritik bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarının erişimini ve işlemlerini yönetir.
Özel uç nokta veya özel bağlantı hizmeti dağıtmak için kullanıcının şu gibi yerleşik bir rol atamış olması gerekir:
Aşağıdaki bölümlerde açıklanan izinlerle özel bir rol oluşturarak daha ayrıntılı erişim sağlayabilirsiniz.
Önemli
Bu makalede, özel uç nokta veya özel bağlantı hizmeti oluşturmak için belirli izinler listelenir. Azure SQL için Microsoft.SQL Katkıda Bulunan Rolü gibi özel bağlantı üzerinden erişim vermek istediğiniz hizmetle ilgili belirli izinleri eklediğinizden emin olun. Yerleşik roller hakkında daha fazla bilgi için bkz . Rol Tabanlı Erişim Denetimi.
Microsoft.Network ve dağıttığınız kaynak sağlayıcısı (örneğin, Microsoft.Sql) abonelik düzeyinde kayıtlı olmalıdır:
Özel uç nokta
Bu bölümde, özel uç nokta dağıtmak, özel uç nokta alt ağ ilkelerini yönetmek ve bağımlı kaynakları dağıtmak için gereken ayrıntılı izinler listelenir
| Eylem | Açıklama |
|---|---|
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Kaynak grubunun kaynaklarını okuma |
| Microsoft.Network/virtualNetworks/read | Sanal ağ tanımını okuyun |
| Microsoft.Network/virtualNetworks/subnets/read | Sanal ağ alt ağ tanımını okuma |
| Microsoft.Network/virtualNetworks/subnets/write | Bir sanal ağ alt ağı oluşturur veya mevcut bir sanal ağ alt ağını güncelleştirir. Özel uç nokta dağıtmak için açıkça gerekli değildir, ancak özel uç nokta alt ağ ilkelerini yönetmek için gereklidir |
| Microsoft.Network/virtualNetworks/subnets/join/action | Özel uç noktanın sanal ağa katılmasına izin verme |
| Microsoft.Network/privateEndpoints/read | Özel uç nokta kaynağını okuma |
| Microsoft.Network/privateEndpoints/write | Yeni bir özel uç nokta oluşturur veya mevcut bir özel uç noktayı güncelleştirir |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Kullanılabilir özel uç nokta kaynaklarını okuma |
Yukarıdaki izinlerin JSON biçimi aşağıdadır. Kendi roleName, description ve assignableScopes bilgilerinizi girin:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Özel bağlantı hizmeti
Bu bölümde, özel bağlantı hizmeti dağıtmak, özel bağlantı hizmeti alt ağ ilkelerini yönetmek ve bağımlı kaynakları dağıtmak için gereken ayrıntılı izinler listelenir
| Eylem | Açıklama |
|---|---|
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Kaynak grubunun kaynaklarını okuma |
| Microsoft.Network/virtualNetworks/read | Sanal ağ tanımını okuyun |
| Microsoft.Network/virtualNetworks/subnets/read | Sanal ağ alt ağ tanımını okuma |
| Microsoft.Network/virtualNetworks/subnets/write | Bir sanal ağ alt ağı oluşturur veya mevcut bir sanal ağ alt ağını güncelleştirir. Özel bağlantı hizmeti dağıtmak için açıkça gerekli değildir, ancak özel bağlantı alt ağ ilkelerini yönetmek için gereklidir |
| Microsoft.Network/privateLinkServices/read | Özel bağlantı hizmeti kaynağını okuma |
| Microsoft.Network/privateLinkServices/write | Yeni bir özel bağlantı hizmeti oluşturur veya mevcut bir özel bağlantı hizmetini güncelleştirir |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Özel uç nokta bağlantı tanımını okuma |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Yeni bir özel uç nokta bağlantısı oluşturur veya mevcut özel uç nokta bağlantısını güncelleştirir |
| Microsoft.Network/networkSecurityGroups/join/action | Ağ güvenlik grubuna katılır |
| Microsoft.Network/loadBalancers/read | Yük dengeleyici tanımını okuma |
| Microsoft.Network/loadBalancers/write | Yük dengeleyici oluşturur veya mevcut bir yük dengeleyiciyi güncelleştirir |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Özel uç nokta için onay RBAC'leri
Genellikle bir ağ yöneticisi özel bir uç nokta oluşturur. Azure rol tabanlı erişim denetimi (RBAC) izinlerinize bağlı olarak, oluşturduğunuz özel uç nokta API Management örneğine trafik göndermek için otomatik olarak onaylanır veya kaynak sahibinin bağlantıyı el ile onaylamasını gerektirir.
| Onay yöntemi | En düşük RBAC izinleri |
|---|---|
| Otomatik | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
| El ile | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Sonraki adımlar
Azure Özel bağlantısında özel uç nokta ve özel bağlantı hizmetleri hakkında daha fazla bilgi için bkz: