Event Grid-erőforrásokhoz való hozzáférés engedélyezése

Az Azure Event Grid lehetővé teszi a különböző felhasználók számára biztosított hozzáférési szint szabályozását különböző felügyeleti műveletek végrehajtásához , például esemény-előfizetések listázásához, újak létrehozásához és kulcsok létrehozásához. Az Event Grid azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ.

Műveleti típusok

Az Azure Event Grid által támogatott műveletek listájához futtassa a következő Azure CLI-parancsot:

az provider operation show --namespace Microsoft.EventGrid

Az alábbi műveletek potenciálisan titkos információkat adnak vissza, amelyeket a rendszer kiszűr a normál olvasási műveletekből. Javasoljuk, hogy korlátozza a hozzáférést ezekhez a műveletekhez.

  • Microsoft.EventGrid/eventSubscriptions/getFullUrl/action
  • Microsoft.EventGrid/topics/listKeys/action
  • Microsoft.EventGrid/topics/regenerateKey/action

Built-in roles

Az Event Grid a következő három beépített szerepkört biztosítja.

Szerepkör Leírás
EventGrid EventSubscription Reader Lehetővé teszi az Event Grid-esemény-előfizetések olvasását.
EventGrid EventSubscription Contributor Lehetővé teszi az Event Grid esemény-előfizetési műveleteinek kezelését.
EventGrid Contributor Event Grid-erőforrások létrehozását és kezelését teszi lehetővé.
EventGrid Data Sender Lehetővé teszi események küldését az Event Grid-témakörökbe.

Az Event Grid-előfizetés-olvasó és az Event Grid-előfizetés közreműködői szerepkörei az esemény-előfizetések kezelésére szolgálnak. Fontosak az eseménytartományok implementálásakor, mert a felhasználók számára megadják azokat az engedélyeket, amelyekre elő kell fizetniük az eseménytartomány témaköreire. Ezek a szerepkörök az esemény-előfizetésekre összpontosítanak, és nem biztosítanak hozzáférést olyan műveletekhez, mint például a témakörök létrehozása.

Az Event Grid közreműködői szerepköre lehetővé teszi az Event Grid-erőforrások létrehozását és kezelését.

Megjegyzés:

Válassza ki az első oszlop hivatkozásait egy olyan cikkhez való navigáláshoz, amely további részleteket tartalmaz a szerepkörről. A felhasználók vagy csoportok RBAC-szerepkörökhöz való hozzárendelésével kapcsolatos útmutatásért tekintse meg ezt a cikket.

Custom roles

Ha a beépített szerepkörökétől eltérő engedélyeket kell megadnia, hozzon létre egyéni szerepköröket.

Az alábbiakban az Event Grid-szerepkördefiníciók mintáját követjük, amelyek lehetővé teszik a felhasználók számára, hogy különböző műveleteket hajthassanak végre. Ezek az egyéni szerepkörök eltérnek a beépített szerepköröktől, mivel szélesebb körű hozzáférést biztosítanak, mint az esemény-előfizetések.

EventGridReadOnlyRole.json: Csak írásvédett műveletek engedélyezése.

{
  "Name": "Event grid read only role",
  "Id": "7C0B6B59-A278-4B62-BA19-411B70753856",
  "IsCustom": true,
  "Description": "Event grid read only role",
  "Actions": [
    "Microsoft.EventGrid/*/read"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<Subscription Id>"
  ]
}

EventGridNoDeleteListKeysRole.json: Korlátozott utólagos műveletek engedélyezése, de a törlési műveletek letiltása.

{
  "Name": "Event grid No Delete Listkeys role",
  "Id": "B9170838-5F9D-4103-A1DE-60496F7C9174",
  "IsCustom": true,
  "Description": "Event grid No Delete Listkeys role",
  "Actions": [
    "Microsoft.EventGrid/*/write",
    "Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
    "Microsoft.EventGrid/topics/listkeys/action",
    "Microsoft.EventGrid/topics/regenerateKey/action"
  ],
  "NotActions": [
    "Microsoft.EventGrid/*/delete"
  ],
  "AssignableScopes": [
    "/subscriptions/<Subscription id>"
  ]
}

EventGridContributorRole.json: Engedélyezi az összes Event Grid-műveletet.

{
  "Name": "Event grid contributor role",
  "Id": "4BA6FB33-2955-491B-A74F-53C9126C9514",
  "IsCustom": true,
  "Description": "Event grid contributor role",
  "Actions": [
    "Microsoft.EventGrid/*/write",
    "Microsoft.EventGrid/*/delete",
    "Microsoft.EventGrid/topics/listkeys/action",
    "Microsoft.EventGrid/topics/regenerateKey/action",
    "Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/<Subscription id>"
  ]
}

Egyéni szerepköröket hozhat létre a PowerShell, az Azure CLI és a REST használatával.

Titkosítás inaktív állapotban

Az Event Grid szolgáltatás által lemezre írt összes eseményt vagy adatot egy Microsoft által felügyelt kulccsal titkosítja, biztosítva, hogy azok inaktív állapotban legyenek titkosítva. Emellett az események vagy adatok megőrzésének maximális időtartama 24 óra az Event Grid újrapróbálkozási szabályzatának betartásával. Az Event Grid 24 óra elteltével automatikusan törli az összes eseményt vagy adatot, vagy az esemény élettartamát, attól függően, hogy melyik a kevesebb.

Esemény-előfizetések engedélyei

Ha olyan eseménykezelőt használ, amely nem WebHook (például eseményközpont vagy üzenetsortár), írási hozzáférésre van szüksége az erőforráshoz. Ez az engedély-ellenőrzés megakadályozza, hogy egy jogosulatlan felhasználó eseményeket küldjön az erőforrásnak.

Rendelkeznie kell a Microsoft.EventGrid/EventSubscriptions/Write engedéllyel azon az erőforráson, amely az eseményforrás. Erre az engedélyre azért van szüksége, mert új előfizetést ír az erőforrás hatókörébe. A szükséges erőforrás attól függ, hogy rendszertémakörre vagy egyéni témakörre iratkozott-e fel. Mindkét típust ebben a szakaszban ismertetjük.

Rendszertémakörök (Azure-szolgáltatás közzétevői)

Rendszertémakörök esetén, ha nem Ön a forráserőforrás tulajdonosa vagy közreműködője, engedélyre van szüksége ahhoz, hogy új esemény-előfizetést írjon az eseményt közzétevő erőforrás hatókörébe. Az erőforrás formátuma: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name}

Egy myacct nevű tárfiók eseményére való feliratkozáshoz például a Microsoft.EventGrid/EventSubscriptions/Write engedélyre van szükség:/subscriptions/####/resourceGroups/testrg/providers/Microsoft.Storage/storageAccounts/myacct

Egyéni témakörök

Egyéni témakörök esetén engedélyre van szüksége egy új esemény-előfizetés írásához az Event Grid-témakör hatókörében. Az erőforrás formátuma: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name}

Ha például egy mytopic nevű egyéni témakörre szeretne feliratkozni, a Microsoft.EventGrid/EventSubscriptions/Write engedélyre van szüksége:/subscriptions/####/resourceGroups/testrg/providers/Microsoft.EventGrid/topics/mytopic

További lépések