Autorización del acceso a recursos de Event Hubs mediante Azure Active Directory

  • Artículo
  • Tiempo de lectura: 5 minutos

Azure Event Hubs admite la autorización de solicitudes a recursos de Event Hubs mediante Azure Active Directory (Azure AD). Con Azure AD, puede usar el control de acceso basado en roles (RBAC) de Azure para conceder permisos a una entidad de seguridad, que puede ser un usuario o una entidad de servicio de aplicación. Para más información sobre los roles y las asignaciones de roles, consulte Descripción de los distintos roles.

Información general

Cuando una entidad de seguridad (un usuario o una aplicación) intenta acceder a un recurso de Event Hubs, la solicitud debe estar autorizada. Con Azure AD, el acceso a un recurso es un proceso de dos pasos.

  1. En primer lugar, se autentica la identidad de la entidad de seguridad y se devuelve un token de OAuth 2.0. El nombre del recurso para solicitar un token es https://eventhubs.azure.net/ y es el mismo para todas las nubes e inquilinos. En el caso de los clientes de Kafka, el recurso para solicitar un token es https://<namespace>.servicebus.windows.net.
  2. Luego, el token se pasa como parte de una solicitud al servicio Event Hubs para autorizar el acceso al recurso especificado.

El paso de autenticación exige que una solicitud de aplicación contenga un token de acceso de OAuth 2.0 en tiempo de ejecución. Si una aplicación se está ejecutando dentro de una entidad de Azure, como puede ser una máquina virtual de Azure, un conjunto de escalado de máquinas virtuales o una aplicación de Azure Functions, puede usar una identidad administrada para acceder a los recursos. Para más información sobre cómo autenticar solicitudes realizadas por una identidad administrada al servicio Event Hubs, vea Autenticación del acceso a recursos de Azure Event Hubs con Azure Active Directory e identidades administradas para recursos de Azure.

El paso de autorización exige que se asignen uno o varios roles de Azure a la entidad de seguridad. Azure Event Hubs proporciona roles de Azure que abarcan conjuntos de permisos para recursos de Event Hubs. Los roles que se asignan a una entidad de seguridad determinan los permisos que tiene esa entidad de seguridad. Para más información sobre los roles de Azure, consulte Roles integrados de Azure para Azure Event Hubs.

Las aplicaciones nativas y las aplicaciones web que realizan solicitudes a Event Hubs también pueden autorizar con Azure AD. Para obtener información sobre cómo solicitar un token de acceso y usarlo para autorizar solicitudes para recursos de Event Hubs, vea Autenticación del acceso a Azure Event Hubs con Azure AD desde una aplicación.

Asignación de roles de Azure para derechos de acceso

Azure Active Directory (Azure AD) autoriza derechos de acceso a recursos protegidos mediante el control de acceso basado en rol de Azure (RBAC de Azure). Azure Event Hubs define un conjunto de roles integrados de Azure que abarcan conjuntos de permisos comunes utilizados para acceder a los datos del centro de eventos y también puede definir roles personalizados para acceder a los datos.

Cuando un rol de Azure se asigna a una entidad de seguridad de Azure AD, Azure concede a esa entidad de seguridad acceso a esos recursos. El acceso puede tener como ámbito el nivel de suscripción, el grupo de recursos, el espacio de nombres de Event Hubs o cualquier recurso que haya en él. Una entidad de seguridad de Azure AD puede ser un usuario, una entidad de servicio de aplicación o una identidad de servicio administrada para recursos de Azure.

Roles integrados de Azure para Azure Event Hubs

Azure proporciona los siguientes roles integrados de Azure para autorizar el acceso a datos de Event Hubs con Azure AD y OAuth:

Role Descripción
Propietario de datos de Azure Event Hubs use este rol para proporcionar acceso completo a los recursos de Event Hubs.
Emisor de datos de Azure Event Hubs use este rol para proporcionar acceso de emisión a los recursos de Event Hubs.
Receptor de datos de Azure Event Hubs use este rol para proporcionar acceso de consumo/recepción a los recursos de Event Hubs.

En el caso de los roles integrados del registro de esquema, consulte Roles del registro de esquema.

Ámbito de recursos

Antes de asignar un rol de Azure a una entidad de seguridad, determine el ámbito de acceso que debería tener la entidad de seguridad. Los procedimientos recomendados dictan que siempre es mejor conceder únicamente el ámbito más restringido posible.

En la lista siguiente se describen los niveles en los que puede definir el ámbito de acceso a recursos de Event Hubs, empezando por el ámbito más restringido:

  • Grupo de consumidores: en este ámbito, la asignación de roles solo se aplica a esta entidad. Actualmente, Azure Portal no admite la asignación de un rol de Azure a una entidad de seguridad en este nivel.
  • Centro de eventos: la asignación de roles se aplica a la entidad de Event Hubs y al grupo de consumidores que hay en ella.
  • Espacio de nombres: la asignación de roles abarca toda la topología de Event Hubs en el espacio de nombres y el grupo de consumidores que tiene asociado.
  • Grupo de recursos: la asignación de roles se aplica a todos los recursos de Event Hubs del grupo de recursos.
  • Suscripción: la asignación de roles se aplica a todos los recursos de Event Hubs de todos los grupos de recursos de la suscripción.

Nota

  • Tenga en cuenta que las asignaciones de roles de Azure pueden tardar hasta cinco minutos en propagarse.
  • Este contenido se aplica a Event Hubs y a Event Hubs para Apache Kafka. Para más información sobre la compatibilidad con Event Hubs para Kafka, consulte Event Hubs para Kafka: seguridad y autenticación.

Para más información sobre cómo se definen los roles integrados, consulte Descripción de definiciones de roles. Para más información acerca de la creación de roles personalizados de Azure, consulte Roles personalizados de Azure.

Ejemplos

Pasos siguientes

Consulte los artículos relacionados siguientes: