Usar o portal para criar um link privado para gerenciar recursos do Azure

  • Artigo

Este artigo explica como você pode usar o Link Privado do Azure para restringir o acesso ao gerenciamento de recursos em suas assinaturas. Ele mostra o uso da portal do Azure para configurar o gerenciamento de recursos por meio do acesso privado.

O Link Privado permite que você acesse os Serviços do Azure em um ponto de extremidade privado na sua rede virtual. Ao combinar links privados com as operações do Azure Resource Manager, você bloqueia os usuários que não estão no ponto de extremidade específico do gerenciamento de recursos. Se um usuário mal-intencionado receber credenciais para uma conta em sua assinatura, esse usuário não poderá gerenciar os recursos sem estar no ponto de extremidade específico.

O Link Privado oferece os seguintes benefícios de segurança:

  • Acesso privado – os usuários podem gerenciar recursos de uma rede privada por meio de um ponto de extremidade privado.

Observação

O Serviço de Kubernetes do Azure (AKS) atualmente não dá suporte à implementação do ponto de extremidade privado do ARM.

O Azure Bastion não dá suporte a links privados. Recomenda-se usar uma zona DNS privada para sua configuração de ponto de extremidade privado de link privado de gerenciamento de recursos, mas devido à sobreposição com o nome management.azure.com, sua instância Bastion deixará de funcionar. Para obter mais informações, veja Perguntas frequentes sobre o Azure Bastion.

Compreenda a arquitetura

Importante

Para esta versão, você só pode aplicar o acesso de gerenciamento do link privado no nível do grupo de gerenciamento raiz. Essa limitação significa que o acesso ao link privado é aplicado em seu locatário.

Há dois tipos de recursos que você usará ao implementar o gerenciamento por meio de um link privado.

  • Link privado de gerenciamento de recursos (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Associação de link privado (Microsoft. Authorization/privateLinkAssociations)

A imagem a seguir mostra como construir uma solução que restrinja o acesso para gerenciar recursos.

Diagrama do link privado de gerenciamento de recursos

A associação de link privado estende o grupo de gerenciamento raiz. A associação de link privado e os pontos de extremidade privados referenciam o link privado do gerenciamento de recursos.

Importante

No momento, não há suporte para contas multilocatários para o gerenciamento de recursos por meio de um link privado. Não é possível conectar associações de link privado em locatários diferentes a um único link privado de gerenciamento de recursos.

Se a sua conta acessa mais de um locatário, defina um link privado para apenas um deles.

Fluxo de trabalho

Para configurar um link privado para os recursos, use as etapas a seguir. As etapas são descritas mais detalhadamente mais adiante neste artigo.

  1. Criar um link privado de gerenciamento de recursos.
  2. Criar uma associação de link privado. A associação de link privado estende o grupo de gerenciamento raiz. Ela também faz referência à ID do recurso para o link privado do gerenciamento de recursos.
  3. Adicione um ponto de extremidade privado que referencie o link privado do gerenciamento de recursos.

Depois de concluir essas etapas, você poderá gerenciar os recursos do Azure que estão dentro da hierarquia do escopo. Use um ponto de extremidade privado que esteja conectado à sub-rede.

Você pode monitorar o acesso ao link privado. Para obter mais informações, consulte Registro de log e monitoramento.

Permissões necessárias

Importante

Para esta versão, você só pode aplicar o acesso de gerenciamento do link privado no nível do grupo de gerenciamento raiz. Essa limitação significa que o acesso ao link privado é aplicado em seu locatário.

Para configurar o link privado para o gerenciamento de recursos, você precisará do seguinte acesso:

  • Proprietário da assinatura. Esse acesso é necessário para criar recurso de link privado de gerenciamento de recursos.
  • Proprietário ou colaborador no grupo de gerenciamento raiz. Esse acesso é necessário para criar o recurso de associação de link privado.
  • O administrador global do Microsoft Entra ID não tem automaticamente permissão para atribuir funções no grupo de gerenciamento raiz. Para habilitar a criação de links privados de gerenciamento de recursos, o administrador global deve ter permissão para ler o grupo de gerenciamento raiz e elevar o acesso para ter permissão de administrador de acesso de usuário em todas as assinaturas e grupos de gerenciamento no locatário. Depois de obter a permissão de administrador de acesso do usuário, o administrador global deverá conceder permissão de proprietário ou colaborador no grupo de gerenciamento raiz para o usuário que está criando a associação de link privado.

Quando você cria um link privado de gerenciamento de recursos, a associação de link privado é criada automaticamente para você.

  1. No portal, pesquise Links privados de gerenciamento de recursos e selecione-os entre as opções disponíveis.

    Captura de tela da barra de pesquisa do portal do Azure com

  2. Se a sua assinatura ainda não tiver links privados de gerenciamento de recursos, você verá uma página em branco. Selecione Criar um link privado de gerenciamento de recursos.

    Captura de tela do portal do Azure mostrando o botão

  3. Forneça valores para o novo link privado de gerenciamento de recursos. O grupo de gerenciamento raiz do diretório selecionado é usado no novo recurso. Selecione Examinar + criar.

    Captura de tela do portal do Azure com campos para fornecer valores para o novo link privado de gerenciamento de recursos.

  4. Depois da aprovação na validação, selecione Criar.

Criar um ponto de extremidade privado

Agora, crie um ponto de extremidade privado que referencie o link privado do gerenciamento de recursos.

  1. Acesse o Centro de Link Privado. Selecione Criar um ponto de extremidade privado.

    Captura de tela do Centro de Link Privado do portal do Azure com a opção

  2. Na guia Básico, forneça os valores do ponto de extremidade privado.

    Captura de tela do portal do Azure mostrando a guia

  3. Na guia Recurso, selecione Conectar-se a um recurso do Azure em meu diretório. No tipo de recurso, selecione Microsoft.Authorization/resourceManagementPrivateLinks. Para o sub-recurso de destino, selecione ResourceManagement.

    Captura de tela do portal do Azure mostrando a guia

  4. Na guia Configuração, selecione a sua rede virtual. Recomendamos a integração com uma zona DNS privada. Selecione Examinar + criar.

  5. Depois da aprovação na validação, selecione Criar.

Verificar a zona DNS privada

Para saber se o ambiente está configurado corretamente, verifique o endereço IP local da zona DNS.

  1. No grupo de recursos onde você implantou o ponto de extremidade privado, selecione o recurso de zona DNS privada chamado privatelink.azure.com.

  2. Verifique se o conjunto de registros denominado management possui um endereço IP local válido.

    Captura de tela do portal do Azure exibindo o recurso da zona DNS privada com o conjunto de registros denominado

Próximas etapas

Para saber mais sobre links privados, confira Link Privado do Azure.