Используйте портал для создания приватного канала для управления ресурсами Azure

В этой статье объясняется, как можно использовать Приватный канал Azure для ограничения доступа для управления ресурсами в ваших подписках. В статье показан порядок использования портала Azure для настройки управления ресурсами через приватный доступ.

Приватные каналы предоставляют доступ к службам Azure с помощью частной конечной точки в вашей виртуальной сети. При комбинировании приватных каналов с операциями Azure Resource Manager вы не позволяете управлять ресурсами пользователям, которые не находятся в той или иной конечной точке. Если злоумышленник получает учетные данные для учетной записи в вашей подписке, то такой пользователь не может управлять ресурсами, если он не расположен в определенной конечной точке.

Приватный канал предоставляет следующие преимущества с точки зрения безопасности:

  • частный доступ — пользователи могут управлять ресурсами в частной сети с помощью частной конечной точки;

Примечание.

Сейчас служба Azure Kubernetes (AKS) не поддерживает реализацию частной конечной точки ARM.

Бастион Azure не поддерживает приватные каналы. Рекомендуется настроить частную конечную точку приватного канала для управления ресурсами с использованием частной зоны DNS. Но в таком случае из-за перекрытия с именем management.azure.com ваш экземпляр Бастиона перестанет работать. Дополнительные сведения см. в статье Бастион Azure: часто задаваемые вопросы.

Основы архитектуры

В этом выпуске доступ к управлению приватными каналами можно осуществлять только на уровне корневой группы управления. Это ограничение означает, что доступ по приватному каналу открывается для вашего клиента.

Существует два типа ресурсов, которые вы будете использовать при реализации управления по приватному каналу.

  • Приватный канал для управления ресурсами (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Связь приватного канала (Microsoft.Authorization/privateLinkAssociations)

На следующем рисунке показано, как создать решение, которое ограничивает доступ для управления ресурсами.

Resource management private link diagram

Связь приватного канала расширяет корневую группу управления. Связь приватного канала и частные конечные точки ссылаются на приватный канал для управления ресурсами.

Важно!

В настоящее время учетные записи с несколькими арендаторами не поддерживаются для управления ресурсами с помощью приватного канала. Вы не можете установить связь приватных каналов для разных арендаторов с одним приватным каналом для управления ресурсами.

Если ваша учетная запись обращается к нескольким арендаторам, определите приватный канал только для одного из них.

Workflow

Чтобы настроить приватный канал для ресурсов, выполните следующие действия. Эти действия описаны более подробно далее в этой статье.

  1. Создайте приватный канал для управления ресурсами.
  2. Создайте связь приватного канала. Связь приватного канала расширяет корневую группу управления. Она также ссылается на ИД ресурса для приватного канала управления ресурсами.
  3. Добавьте частную конечную точку, которая ссылается на приватный канал управления ресурсами.

После выполнения этих действий можно управлять ресурсами Azure, которые находятся в иерархии области. Вы используете частную конечную точку, подключенную к подсети.

Вы можете отслеживать доступ к приватному каналу. Дополнительные сведения см. в статье Ведение журналов и мониторинг.

Необходимые разрешения

Чтобы настроить приватный канал для управления ресурсами, необходим следующий доступ:

  • владелец подписки. Этот доступ необходим для создания ресурса приватного канала для управления ресурсами.
  • Владелец или участник в корневой группе управления. Этот доступ необходим для создания ресурса связи приватного канала.
  • Глобальный Администратор istrator для идентификатора Microsoft Entra ID не имеет разрешения на назначение ролей в корневой группе управления. Чтобы включить создание приватных каналов для управления ресурсами, глобальный администратор должен иметь разрешение на чтение корневой группы управления и повышение уровня доступа. Это нужно для получения привилегии администратора доступа пользователей по отношению ко всем подпискам и группам управления в клиенте. После получения привилегии администратора доступа пользователей глобальный администратор должен предоставить пользователю, создающему связь приватного канала, привилегии уровня владельца или участника для корневой группы управления.

Когда вы создаете приватный канал для управления ресурсами, для вас автоматически создается связь приватного канала.

  1. На портале найдите приватные каналы для управления ресурсами и выберите их.

    Screenshot of Azure portal search bar with 'Resource management' entered.

  2. Если в вашей подписке еще нет приватных каналов для управления ресурсами, вы увидите пустую страницу. Выберите Создать приватный канал для управления ресурсами.

    Screenshot of Azure portal showing the 'Create resource management private link' button.

  3. Укажите значения для нового приватного канала для управления ресурсами. Корневая группа управления для выбранного вами каталога используется для нового ресурса. Выберите Review + create (Просмотреть и создать).

    Screenshot of Azure portal with fields to provide values for the new resource management private link.

  4. После прохождения проверки выберите Создать.

Создание частной конечной точки

После этого создайте частную конечную точку, которая ссылается на приватный канал для управления ресурсами.

  1. Перейдите в Центр Приватного канала. Выберите Создание частной конечной точки.

    Screenshot of Azure portal's Private Link Center with 'Create private endpoint' highlighted.

  2. На вкладке Основные сведения укажите значения для вашей частной конечной точки.

    Screenshot of Azure portal showing the 'Basics' tab with fields to provide values for the private endpoint.

  3. На вкладке Ресурс выберите Подключиться к ресурсу Azure в моем каталоге. В качестве типа ресурса выберите Microsoft.Authorization/resourceManagementPrivateLinks. Для целевого подресурса выберите ResourceManagement.

    Screenshot of Azure portal showing the 'Resource' tab with fields to select resource type and target subresource for the private endpoint.

  4. На вкладке Конфигурация выберите свою виртуальную сеть. Мы рекомендуем проводить интеграцию с частной зоной DNS. Выберите Review + create (Просмотреть и создать).

  5. После прохождения проверки выберите Создать.

Проверка частной зоны DNS

Чтобы убедиться, что ваша среда правильно настроена, проверьте локальный IP-адрес для зоны DNS.

  1. В группе ресурсов, в которой вы развернули частную конечную точку, выберите ресурс частной зоны DNS с именем privatelink.azure.com.

  2. Убедитесь, что набор записей с именем management имеет действительный локальный IP-адрес.

    Screenshot of Azure portal displaying the private DNS zone resource with the record set named 'management' and its local IP address.

Следующие шаги

Дополнительные сведения о частных ссылках см. в разделе Приватный канал Azure.