Menerapkan versi minimum Keamanan Lapisan Transportasi (TLS) yang diperlukan untuk topik, domain, atau langganan Event Grid
Komunikasi antara aplikasi klien dan topik, domain, atau langganan Azure Grid dienkripsi menggunakan Keamanan Lapisan Transportasi (TLS). Untuk informasi tentang TLS secara umum, lihat Keamanan Lapisan Transportasi.
Azure Event Grid mendukung pemilihan versi TLS tertentu untuk topik, domain, atau langganan (saat menggunakan tujuan Web Hook). Saat ini Azure Event Grid menggunakan TLS 1.2 pada titik akhir publik secara default, tetapi TLS 1.0 dan TLS 1.1 masih didukung untuk kompatibilitas mundur.
Topik atau domain Azure Event Grid mengizinkan klien mengirim dan menerima data dengan TLS 1.0 ke atas. Untuk menerapkan langkah-langkah keamanan yang lebih ketat, Anda dapat mengonfigurasi topik atau domain Event Grid anda untuk mengharuskan klien mengirim dan menerima data dengan versi TLS yang lebih baru. Jika topik atau domain Event Grid memerlukan versi minimum TLS, maka permintaan apa pun yang dibuat dengan versi yang lebih lama gagal.
Saat membuat langganan peristiwa Web Hook, Anda dapat mengonfigurasinya untuk menggunakan versi TLS yang sama dengan topik atau secara eksplisit menentukan versi TLS minimum. Jika Anda melakukannya, Event Grid akan gagal mengirimkan peristiwa ke Web Hook yang tidak mendukung versi minimum TLS atau di atasnya.
Penting
Jika klien adalah layanan, pastikan bahwa layanan menggunakan versi TLS yang sesuai untuk mengirim permintaan ke Event Grid sebelum Anda mengatur versi minimum yang diperlukan untuk topik atau domain Event Grid.
Izin yang diperlukan untuk mewajibkan versi minimum TLS
Untuk mengatur MinimumTlsVersion properti untuk topik atau domain Event Grid, pengguna harus memiliki izin untuk membuat dan mengelola topik atau domain Event Grid. Peran kontrol akses berbasis peran Azure (Azure RBAC) yang menyediakan izin ini mencakup tindakan Microsoft.EventGrid/topics/write atau Tindakan Microsoft.EventGrid/domains/write . Peran bawaan dengan tindakan ini meliputi:
- Peran Pemilik Azure Resource Manager
- Peran Kontributor Azure Resource Manager
- Peran Kontributor Azure Event Grid
Penetapan peran harus dilingkupkan ke tingkat topik Event Grid (atau domain) atau pada tingkat yang lebih tinggi untuk mengizinkan pengguna mewajibkan versi minimum TLS untuk topik atau domain Event Grid. Untuk informasi selengkapnya tentang cakupan peran, lihat Memahami cakupan Azure RBAC.
Berhati-hatilah untuk membatasi penetapan peran ini hanya kepada mereka yang memerlukan kemampuan untuk membuat topik atau domain Event Grid, atau memperbarui propertinya. Gunakan prinsip hak istimewa paling sedikit untuk memastikan bahwa pengguna memiliki izin terkecil yang dibutuhkan dalam menyelesaikan tugasnya. Untuk informasi selengkapnya tentang pengelolaan akses dengan Azure RBAC, lihat Praktik terbaik untuk Azure RBAC.
Catatan
Peran administrator langganan klasik Administrator Layanan dan Administrator Bersama mencakup peran Pemilik Azure Resource Manager yang setara. Peran Pemilik mencakup semua tindakan, sehingga pengguna dengan salah satu peran administratif ini juga dapat membuat dan mengelola topik atau domain Event Grid. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.
Pertimbangan jaringan
Saat klien mengirim permintaan ke topik atau domain Event Grid, klien membuat koneksi dengan topik Event Grid atau titik akhir domain terlebih dahulu, sebelum memproses permintaan apa pun. Pengaturan versi TLS minimum diperiksa setelah koneksi TLS dibuat. Jika permintaan menggunakan versi TLS yang lebih lama dari yang ditentukan oleh pengaturan, koneksi terus berhasil, tetapi permintaan pada akhirnya akan gagal.
Berikut adalah beberapa poin penting yang perlu dipertimbangkan:
- Jejak jaringan akan menunjukkan keberhasilan pembentukan koneksi TCP dan negosiasi TLS yang berhasil, sebelum 401 ditampilkan jika versi TLS yang digunakan kurang dari versi TLS minimum yang dikonfigurasi.
- Pemindaian penetrasi atau titik akhir pada
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.netakan menunjukkan dukungan untuk TLS 1.0, TLS 1.1, dan TLS 1.2, karena layanan terus mendukung semua protokol ini. Versi TLS minimum, yang diberlakukan di tingkat topik atau domain, menunjukkan versi TLS terendah yang didukung topik atau domain.
Langkah berikutnya
Lihat artikel berikut untuk informasi selengkapnya: Mengonfigurasi versi TLS minimum untuk topik atau domain Event Grid
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk