Tryby uwierzytelniania na potrzeby przechwytywania zdarzeń do miejsc docelowych w usłudze Azure Event Hubs
Usługa Azure Event Hubs umożliwia wybieranie różnych trybów uwierzytelniania podczas przechwytywania zdarzeń do miejsca docelowego, takiego jak usługa Azure Blob Storage lub konto usługi Azure Data Lake Storage Gen 1 lub Gen 2. Tryb uwierzytelniania określa sposób uwierzytelniania agenta przechwytywania uruchomionego w usłudze Event Hubs za pomocą miejsca docelowego przechwytywania.
Uwierzytelnianie oparte na sygnaturze dostępu współdzielonego
Domyślną metodą uwierzytelniania jest użycie sygnatury dostępu współdzielonego (SAS) w celu uzyskania dostępu do miejsca docelowego przechwytywania z usługi Event Hubs.
Dzięki temu podejściu można przechwytywać dane do zasobów docelowych, które znajdują się tylko w tej samej subskrypcji .
Korzystanie z tożsamości zarządzanej
Dzięki tożsamości zarządzanej użytkownicy mogą bezproblemowo przechwytywać dane do preferowanego miejsca docelowego przy użyciu uwierzytelniania i autoryzacji opartego na identyfikatorze Entra firmy Microsoft.
Tożsamości zarządzane przypisane przez system lub przypisane przez użytkownika można używać z miejscami docelowymi przechwytywania usługi Event Hubs.
Przechwytywanie zdarzeń za pomocą przypisanej przez system tożsamości zarządzanej
Tożsamość zarządzana przypisana przez system jest tworzona automatycznie i skojarzona z zasobem platformy Azure, czyli przestrzenią nazw usługi Event Hubs w tym przypadku.
Aby użyć tożsamości przypisanej przez system, miejsce docelowe przechwytywania musi mieć włączone wymagane przypisanie roli dla odpowiedniej tożsamości przypisanej przez system.
Następnie możesz wybrać System Assigned opcję tożsamości zarządzanej podczas włączania funkcji przechwytywania w centrum zdarzeń.
Następnie agent przechwytywania będzie używać tożsamości przestrzeni nazw do uwierzytelniania i autoryzacji z miejscem docelowym przechwytywania.
Szablon usługi Azure Resource Manager
Oto przykładowy szablon usługi Azure Resource Manager do konfigurowania przechwytywania danych przy użyciu tożsamości zarządzanej przypisanej przez system.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_eventhubcapture_name": {
"defaultValue": "eventhubcapturens",
"type": "String"
},
"captureEnabled": {
"defaultValue": true,
"type": "Bool",
"metadata": {
"description": "Enable or disable the Capture feature for your event hub."
}
},
"captureEncodingFormat": {
"defaultValue": "Avro",
"allowedValues": [
"Avro"
],
"type": "String",
"metadata": {
"description": "The encoding format that Event Hubs Capture uses to serialize the event data when archiving to your storage."
}
},
"captureTime": {
"defaultValue": 300,
"minValue": 60,
"maxValue": 900,
"type": "Int",
"metadata": {
"description": "the time window in seconds for the archival."
}
},
"captureSize": {
"defaultValue": 314572800,
"minValue": 10485760,
"maxValue": 524288000,
"type": "Int",
"metadata": {
"description": "the size window in bytes for the capture."
}
},
"blobContainerName": {
"type": "String",
"metadata": {
"description": "Your existing storage container that you want the blobs archived in."
}
},
"captureNameFormat": {
"defaultValue": "{Namespace}/{EventHub}/{PartitionId}/{Year}/{Month}/{Day}/{Hour}/{Minute}/{Second}",
"type": "String",
"metadata": {
"description": "A Capture Name Format must contain {Namespace}, {EventHub}, {PartitionId}, {Year}, {Month}, {Day}, {Hour}, {Minute} and {Second} fields. These can be arranged in any order with or without delimiters. E.g. Prod_{EventHub}/{Namespace}\\{PartitionId}_{Year}_{Month}/{Day}/{Hour}/{Minute}/{Second}"
}
},
"existingStgSubId": {
"type": "String",
"metadata": {
"description": "The ID of the Azure subscription that has your existing storage account."
}
},
"existingStgAccRG": {
"type": "String",
"metadata": {
"description": "The resource group that has the storage account."
}
},
"existingStgAcctName": {
"type": "String",
"metadata": {
"description": "The name of the storage account."
}
}
},
"variables":
{
"roleAssignmentId": "[guid(resourceId('Microsoft.EventHub/namespaces/',parameters('namespaces_eventhubcapture_name')))]",
"storageBlobDataOwnerId": "[concat(subscription().Id, '/providers/Microsoft.Authorization/roleDefinitions/', 'b7e6dc6d-f1e8-4753-8033-0f276bb0955b')]",
"ehId": "[concat('/subscriptions/', subscription().subscriptionId, '/resourceGroups/', resourceGroup().name, '/providers/', 'Microsoft.EventHub/namespaces/',parameters('namespaces_eventhubcapture_name')) ]",
"existingStorageAcctResourceId" : "[concat('/subscriptions/', parameters('existingStgSubId'), '/resourceGroups/', parameters('existingStgAccRG'), '/providers/', 'Microsoft.Storage/storageAccounts/',parameters('existingStgAcctName')) ]"
},
"resources": [
{
"type": "Microsoft.EventHub/namespaces",
"apiVersion": "2023-01-01-preview",
"name": "[parameters('namespaces_eventhubcapture_name')]",
"location": "eastus",
"sku": {
"name": "Standard",
"tier": "Standard",
"capacity": 1
},
"identity": {
"type": "SystemAssigned"
},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true
}
},
{
"type": "Microsoft.EventHub/namespaces/authorizationrules",
"apiVersion": "2023-01-01-preview",
"name": "[concat(parameters('namespaces_eventhubcapture_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespaces_eventhubcapture_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2022-09-01",
"name": "nestedStgTemplate",
"subscriptionId": "[parameters('existingStgSubId')]",
"resourceGroup": "[parameters('existingStgAccRG')]",
"properties": {
"expressionEvaluationOptions": {
"scope": "outer"
},
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Authorization/roleAssignments",
"name": "C0F7F914-0FF9-47B2-9960-1D64D97FF594",
"apiVersion": "2018-01-01-preview",
"scope": "[variables('existingStorageAcctResourceId')]",
"properties": {
"roleDefinitionId": "[variables('storageBlobDataOwnerId')]",
"principalId": "[reference(variables('ehId'), '2021-11-01', 'Full').identity.principalId]"
}
}
]
}
}
},
{
"type": "Microsoft.EventHub/namespaces/eventhubs",
"apiVersion": "2023-01-01-preview",
"name": "[concat(parameters('namespaces_eventhubcapture_name'), '/capture')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespaces_eventhubcapture_name'))]",
"nestedStgTemplate"
],
"properties": {
"retentionDescription": {
"cleanupPolicy": "Delete",
"retentionTimeInHours": 24
},
"messageRetentionInDays": 1,
"partitionCount": 1,
"status": "Active",
"captureDescription": {
"enabled": "[parameters('captureEnabled')]",
"skipEmptyArchives": false,
"encoding": "[parameters('captureEncodingFormat')]",
"intervalInSeconds": "[parameters('captureTime')]",
"sizeLimitInBytes": "[parameters('captureSize')]",
"destination": {
"name": "EventHubArchive.AzureBlockBlob",
"properties": {
"storageAccountResourceId": "[variables('existingStorageAcctResourceId')]",
"blobContainer": "[parameters('blobContainerName')]",
"archiveNameFormat": "[parameters('captureNameFormat')]"
},
"identity": {
"type": "SystemAssigned"
}
}
}
}
},
{
"type": "Microsoft.EventHub/namespaces/networkRuleSets",
"apiVersion": "2023-01-01-preview",
"name": "[concat(parameters('namespaces_eventhubcapture_name'), '/default')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespaces_eventhubcapture_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Allow",
"virtualNetworkRules": [],
"ipRules": []
}
},
{
"type": "Microsoft.EventHub/namespaces/eventhubs/consumergroups",
"apiVersion": "2023-01-01-preview",
"name": "[concat(parameters('namespaces_eventhubcapture_name'), '/capture/$Default')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces/eventhubs', parameters('namespaces_eventhubcapture_name'), 'capture')]",
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespaces_eventhubcapture_name'))]"
],
"properties": {}
}
]
}
Parameters.json:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_eventhubcapture_name": {
"value": "NAMESPACENAME"
},
"captureEnabled": {
"value": true
},
"captureEncodingFormat": {
"value": "Avro"
},
"captureTime": {
"value": 300
},
"captureSize": {
"value": 314572800
},
"blobContainerName": {
"value": "BLOBCONTAINERNAME"
},
"captureNameFormat": {
"value": "{Namespace}/{EventHub}/{PartitionId}/{Year}/{Month}/{Day}/{Hour}/{Minute}/{Second}"
},
"existingStgSubId": {
"value": "00000000-0000-0000-0000-00000000000000"
},
"existingStgAccRG": {
"value": "STORAGERESOURCEGROUPNAME"
},
"existingStgAcctName": {
"value": "STORAGEACCOUNTNAME"
}
}
}
Używanie tożsamości zarządzanej przypisanej przez użytkownika do przechwytywania zdarzeń
Możesz utworzyć tożsamość zarządzaną przypisaną przez użytkownika i użyć jej do uwierzytelniania i autoryzacji przy użyciu miejsca docelowego przechwytywania usługi Event Hubs. Po utworzeniu tożsamości zarządzanej można przypisać ją do przestrzeni nazw usługi Event Hubs i upewnić się, że miejsce docelowe przechwytywania ma włączone wymagane przypisanie roli dla odpowiedniej tożsamości przypisanej przez użytkownika.
Następnie można wybrać User Assigned opcję tożsamości zarządzanej podczas włączania funkcji przechwytywania w centrum zdarzeń i przypisać wymaganą tożsamość przypisaną przez użytkownika podczas włączania funkcji przechwytywania.
Następnie agent przechwytywania będzie używać skonfigurowanej tożsamości przypisanej przez użytkownika do uwierzytelniania i autoryzacji z miejscem docelowym przechwytywania.
Przechwytywanie zdarzeń do miejsca docelowego przechwytywania w innej subskrypcji
Funkcja przechwytywania usługi Event Hubs obsługuje również przechwytywanie danych do miejsca docelowego przechwytywania w innej subskrypcji przy użyciu tożsamości zarządzanej.
Ważne
Wybranie miejsca docelowego przechwytywania z innej subskrypcji nie jest obsługiwane przez witrynę Azure Portal. W tym celu należy użyć szablonów usługi ARM.
W tym celu można użyć tych samych szablonów usługi ARM podanych w przewodniku włączania przechwytywania za pomocą szablonu usługi ARM z odpowiednią tożsamością zarządzaną.
Na przykład za pomocą następującego szablonu usługi ARM można utworzyć centrum zdarzeń z włączoną funkcją przechwytywania. Usługi Azure Storage lub Azure Data Lake Storage Gen 2 mogą być używane jako miejsce docelowe przechwytywania, a tożsamość przypisana przez użytkownika jest używana jako metoda uwierzytelniania. Identyfikator zasobu miejsca docelowego może wskazywać zasób w innej subskrypcji.
"resources":[
{
"apiVersion":"[variables('ehVersion')]",
"name":"[parameters('eventHubNamespaceName')]",
"type":"Microsoft.EventHub/Namespaces",
"location":"[variables('location')]",
"sku":{
"name":"Standard",
"tier":"Standard"
},
"resources": [
{
"apiVersion": "2017-04-01",
"name": "[parameters('eventHubNamespaceName')]",
"type": "Microsoft.EventHub/Namespaces",
"location": "[resourceGroup().location]",
"sku": {
"name": "Standard"
},
"properties": {
"isAutoInflateEnabled": "true",
"maximumThroughputUnits": "7"
},
"resources": [
{
"apiVersion": "2017-04-01",
"name": "[parameters('eventHubName')]",
"type": "EventHubs",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventHubNamespaceName'))]"
],
"properties": {
"messageRetentionInDays": "[parameters('messageRetentionInDays')]",
"partitionCount": "[parameters('partitionCount')]",
"captureDescription": {
"enabled": "true",
"skipEmptyArchives": false,
"encoding": "[parameters('captureEncodingFormat')]",
"intervalInSeconds": "[parameters('captureTime')]",
"sizeLimitInBytes": "[parameters('captureSize')]",
"destination": {
"name": "EventHubArchive.AzureBlockBlob",
"properties": {
"storageAccountResourceId": "[parameters('destinationStorageAccountResourceId')]",
"blobContainer": "[parameters('blobContainerName')]",
"archiveNameFormat": "[parameters('captureNameFormat')]"
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"xxxxxxxx": {}
}
}
}
}
}
}
]
}
]