أذونات Azure RBAC لـ Azure Private Link
تُعد إدارة الوصول إلى موارد السحابة وظيفة مهمة لأي مؤسسة. التحكم في الوصول استنادًا إلى الدور (Azure RBAC) يدير الوصول إلى موارد Azure وعملياتها.
لنشر نقطة نهاية خاصة أو خدمة ارتباط خاص؛ يجب على المُستخدِم تعيين دور مضمّن مثل:
يمكنك توفير وصول أكثر دقة عن طريق إنشاء دور مخصص بالأذونات الموضحة في الأقسام التالية.
هام
تسرد هذه المقالة الأذونات المحددة لإنشاء نقطة نهاية خاصة أو خدمة ارتباط خاصة. تأكد من إضافة الأذونات المحددة المتعلقة بالخدمة التي ترغب في منحها حق الوصول من خلال ارتباط خاص، مثل دور Microsoft.SQL Contributor لـ Azure SQL. لمزيدٍ من المعلومات حول الأدوار المضمنة؛ راجع التحكم في الوصول المستند إلى الدور.
يجب أن يتم تسجيل Microsoft.Network وموفر المورد المحدد الذي تقوم بنشره، على سبيل المثال Microsoft.Sql، على مستوى الاشتراك:
نقطة النهاية الخاصة
يسرد هذا القسم الأذونات الدقيقة المطلوبة لنشر نقطة نهاية خاصة، وإدارة نهج الشبكة الفرعية لنقطة النهاية الخاصة، ونشر الموارد التابعة
| الإجراء | الوصف |
|---|---|
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | اقرأ الموارد الخاصة بمجموعة الموارد |
| Microsoft.Network/virtualNetworks/read | اقرأ تعريف الشبكة الظاهرية |
| Microsoft.Network/virtualNetworks/subnets/read | اقرأ تعريف الشبكة الفرعية الظاهرية |
| Microsoft.Network/virtualNetworks/subnets/write | إنشاء شبكة فرعية للشبكة الظاهرية أو تحديث شبكة فرعية موجودة للشبكة الظاهرية. ليست هناك حاجة صريحة لنشر نقطة نهاية خاصة، ولكنها ضرورية لإدارة نهج الشبكة الفرعية لنقطة النهاية الخاصة |
| Microsoft.Network/virtualNetworks/subnets/join/action | السماح لنقطة نهاية خاصة بالانضمام إلى شبكة ظاهرية |
| Microsoft.Network/privateEndpoints/read | اقرأ مورد نقطة النهاية الخاص |
| Microsoft.Network/privateEndpoints/write | يُنشئ نقطة نهاية خاصة جديدة، أو يحدّث نقطة نهاية خاصة موجودة |
| Microsoft.Network/locations/availablePrivateEndpointTypes/read | اقرأ موارد نقطة النهاية الخاصة المتاحة |
إليك تنسيق JSON للأذونات أعلاه. أدخل دورك الاسم والوصف والنطاقات القابلة للتخصيص:
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/locations/availablePrivateEndpointTypes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
خدمة الرابط الخاص
يسرد هذا القسم الأذونات الدقيقة المطلوبة لنشر خدمة ارتباط خاصة، وإدارة نهج الشبكة الفرعية لخدمة الارتباطات الخاصة، ونشر الموارد التابعة
| الإجراء | الوصف |
|---|---|
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourcegroups/resources/read | اقرأ الموارد الخاصة بمجموعة الموارد |
| Microsoft.Network/virtualNetworks/read | اقرأ تعريف الشبكة الظاهرية |
| Microsoft.Network/virtualNetworks/subnets/read | اقرأ تعريف الشبكة الفرعية الظاهرية |
| Microsoft.Network/virtualNetworks/subnets/write | إنشاء شبكة فرعية للشبكة الظاهرية أو تحديث شبكة فرعية موجودة للشبكة الظاهرية. ليست هناك حاجة صريحة لنشر خدمة ارتباط خاص، ولكنها ضرورية لإدارة نهج الشبكة الفرعية للارتباط الخاص |
| Microsoft.Network/privateLinkServices/read | اقرأ مورد خدمة الارتباط الخاص |
| Microsoft.Network/privateLinkServices/write | يُنشئ خدمة ارتباط خاص جديدة، أو يقوم بتحديث خدمة ارتباط خاص موجودة |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/read | اقرأ تعريف اتصال نقطة النهاية الخاصة |
| Microsoft.Network/privateLinkServices/privateEndpointConnections/write | يقوم بإنشاء اتصال نقطة نهاية خاصة جديدة أو تحديث اتصال نقطة نهاية خاصة موجود |
| Microsoft.Network/networkSecurityGroups/join/action | ينضم إلى مجموعة أمان الشبكة |
| Microsoft.Network/loadBalancers/read | اقرأ تعريف موازن التحميل |
| Microsoft.Network/loadBalancers/write | يقوم بإنشاء موازن تحميل أو تحديث موازن تحميل موجود |
{
"properties": {
"roleName": "Role Name",
"description": "Description",
"assignableScopes": [
"/subscriptions/SubscriptionID/resourceGroups/ResourceGroupName"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateLinkServices/read",
"Microsoft.Network/privateLinkServices/write",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/read",
"Microsoft.Network/privateLinkServices/privateEndpointConnections/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
الموافقة على التحكم في الوصول استنادا إلى الدور لنقطة النهاية الخاصة
عادة ما ينشئ مسؤول الشبكة نقطة نهاية خاصة. اعتمادًا على أذونات التحكم في الوصول المستندة إلى دور Azure (RBAC)، تتم الموافقة تلقائيًا على نقطة النهاية الخاصة التي تقوم بإنشائها لإرسال نسبة استخدام الشبكة إلى مثيل API Management، أو تتطلب من مالك المورد الموافقة يدويًا على الاتصال.
| طريقة الموافقة | الحد الأدنى من أذونات التحكم في الوصول استنادًا إلى الدور |
|---|---|
| تلقائي | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.[ServiceProvider]/[resourceType]/privateEndpointConnectionsApproval/action |
| يدوي | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
الخطوات التالية
لمزيدٍ من المعلومات حول خدمات الارتباط الخاصة ونقطة النهاية الخاصة في ارتباط Azure الخاص؛ راجع: