Autorizzazioni di Controllo degli accessi in base al ruolo di Azure per Collegamento privato di Azure
La gestione degli accessi per le risorse cloud è una funzione fondamentale per qualsiasi organizzazione. Il controllo degli accessi in base al ruolo di Azure gestisce l'accesso e le operazioni delle risorse di Azure.
Per distribuire un endpoint privato o un servizio di collegamento privato a cui un utente deve avere assegnato un ruolo predefinito, ad esempio:
È possibile fornire un accesso più granulare creando un ruolo personalizzato con le autorizzazioni descritte nelle sezioni seguenti.
Importante
Questo articolo elenca le autorizzazioni specifiche per creare un endpoint privato o un servizio di collegamento privato. Assicurarsi di aggiungere le autorizzazioni specifiche correlate al servizio a cui si vuole concedere l'accesso tramite collegamento privato, ad esempio il ruolo collaboratore Microsoft.SQL per Azure SQL. Per altre informazioni sui ruoli predefiniti, vedere Role Based Controllo di accesso.For more information about built-in roles, see Role Based Controllo di accesso.
Microsoft.Network e il provider di risorse specifico che si sta distribuendo, ad esempio Microsoft.Sql, devono essere registrati a livello di sottoscrizione:
Endpoint privato
Questa sezione elenca le autorizzazioni granulari necessarie per distribuire un endpoint privato.
| Azione | Descrizione |
|---|---|
| Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leggere le risorse per il gruppo di risorse |
| Microsoft.Network/virtualNetworks/read | Leggere la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/read | Leggere una definizione di subnet di rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subnet della rete virtuale o ne aggiorna una esistente |
| Microsoft.Network/virtualNetworks/subnets/join/action | Aggiunge una rete virtuale |
| Microsoft.Network/privateEndpoints/read | Leggere una risorsa endpoint privato |
| Microsoft.Network/privateEndpoints/write | Crea un nuovo endpoint privato o aggiorna un endpoint privato esistente |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | Leggere le risorse dell'endpoint privato disponibili |
Ecco il formato JSON delle autorizzazioni precedenti. Immettere roleName, description e assignableScopes:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Servizio collegamento privato
Questa sezione elenca le autorizzazioni granulari necessarie per distribuire un servizio di collegamento privato.
| Azione | Descrizione |
|---|---|
| Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | Leggere le risorse per il gruppo di risorse |
| Microsoft.Network/virtualNetworks/read | Leggere la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/read | Leggere una definizione di subnet di rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/write | Crea una subnet della rete virtuale o ne aggiorna una esistente |
| Microsoft.Network/privateLinkServices/read | Leggere una risorsa del servizio di collegamento privato |
| Microsoft.Network/privateLinkServices/write | Crea un nuovo servizio collegamento privato o aggiorna un servizio di collegamento privato esistente |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | Leggere una definizione di connessione dell'endpoint privato |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | Crea una nuova connessione endpoint privato o aggiorna una connessione endpoint privato esistente |
| Microsoft.Network/networkSecurityGroups/join/action | Aggiunge un gruppo di sicurezza di rete |
| Microsoft.Network/loadBalancers/read | Leggere una definizione del servizio di bilanciamento del carico |
| Microsoft.Network/loadBalancers/write | Crea un servizio di bilanciamento del carico o ne aggiorna uno esistente |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
Controllo degli accessi in base al ruolo di approvazione per l'endpoint privato
In genere, un amministratore di rete crea un endpoint privato. A seconda delle autorizzazioni del controllo degli accessi in base al ruolo di Azure, un endpoint privato creato viene approvato automaticamente per inviare il traffico all'istanza di Gestione API oppure richiede al proprietario della risorsa di approvare manualmente la connessione.
| Metodo di approvazione | Autorizzazioni di controllo degli accessi in base al ruolo minime |
|---|---|
| Automatico | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manuale | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Passaggi successivi
Per altre informazioni sull'endpoint privato e sui servizi di collegamento privato nel collegamento privato di Azure, vedere: