Azure Işlevlerini Event Hubs ile güvenli hale getirme

Azure 'daki kaynaklara erişimi yapılandırırken, kaynaklara izinler üzerinde ayrıntılı denetim uygulamanız gerekir. Bu kaynaklara erişim, istemcilerin yalnızca bunlara atanan sınırlı sayıda eylemi gerçekleştirebilmelerini sağlamak için, en az ayrıcalık güvenlik ilkelerine ihtiyaç duymalıdır .

Event Hubs erişimi yetkilendirme

Azure Event Hubs kaynaklarına erişimi yetkilendirmek, aşağıdaki güvenlik yapıları kullanılarak yapılabilir:

• Azure Active Directory: Azure Active Directory (Azure AD), istemcinin Event Hubs kaynaklara erişimi üzerinde ayrıntılı denetim için rol tabanlı erişim denetimi (RBAC) sağlar. Azure AD, rollere ve izinlere bağlı olarak bir OAuth 2,0 erişim belirteci kullanarak istekleri yetkilendirecektir.

• Paylaşılan erişim imzası: Paylaşılan erişim imzası (SAS), yetkilendirme kurallarına göre Event Hubs kaynaklarını koruma olanağı sunar. Yetkilendirme ilkelerini, ileti gönderme, iletileri dinleme ve ad alanındaki varlıkları yönetme gibi bir veya daha fazla ilke kuralıseçerek tanımlarsınız.

Paylaşılan erişim imzası konuları

Azure Işlevleri ve Event Hubs ile paylaşılan erişim imzası kullanılırken aşağıdaki önemli noktalar incelenmelidir:

• Yönet hakkını önleyin: Bir Event Hubs ad alanındaki varlıkları yönetebilmenin yanı sıra, Yönet hakkı hem gönderme hem de dinleme haklarını içerir. İdeal olarak, bir işlev uygulamasına yalnızca gerçekleştirdikleri eylemlere göre gönderme ve dinleme haklarının bir birleşimi verilmelidir.

• Varsayılan Yönetim kuralını kullanmayın: işlev uygulamanız gerekmiyorsa RootManageSharedAccessKey adlı varsayılan ilke kuralını kullanmaktan kaçının; bu durum, yaygın olmayan bir senaryo olmalıdır. Bu varsayılan kural için başka bir desteklenmediği uyarısıyla, ad alanı düzeyinde oluşturulmuştur ve tüm temel olay hub 'larına izinler verir.

• Paylaşılan erişim ilkesi kapsamlarını gözden geçirin: Paylaşılan erişim ilkeleri, ad alanı düzeyinde ve Olay Hub 'ı başına oluşturulabilir. Her istemci için, aralıklarını ve izinlerini sınırlamak üzere uygun olan parçalı erişim ilkeleri oluşturmayı düşünün.

Yönetilen kimlik

Bir Active Directory kimliği Azure 'da bir işlev uygulaması veya Web uygulaması gibi yönetilen bir kaynağa atanabilir. Bir kimlik atandıktan sonra, hizmet sorumlusugibi yetkilendirme IÇIN Azure ad kullanan diğer kaynaklarla çalışma olanağı vardır.

İşlev uygulamalarına, yönetilen bir kimlik atanabilir ve Event Hubs de dahil olmak üzere bir hizmet alt kümesi için kimlik tabanlı bağlantılardan faydalanabilirsiniz. Kimlik tabanlı bağlantılar hem tetikleyici hem de çıkış bağlama uzantıları için destek sağlar ve destek için 5. x ve üzeri Event Hubs uzantısını kullanmalıdır.

Ağ

Varsayılan olarak, Event Hubs ad alanlarına internet 'ten erişilebilir. bu nedenle, istek geçerli kimlik doğrulama ve yetkilendirme ile gelir. Event Hubs ad alanlarına ağ erişimini kısıtlamak için üç seçenek vardır:

• Belirli IP adreslerinden erişime izin ver
• Belirli sanal ağlardan erişime izin ver (hizmet uç noktaları)
• Özel uç noktalar aracılığıyla erişime izin ver

Her durumda, ad alanı için en az bir IP güvenlik duvarı kuralı veya sanal ağ kuralının belirtildiğine dikkat edin. Aksi takdirde, IP adresi veya sanal ağ kuralı belirtilmemişse, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).

Azure Işlevleri, hizmet uç noktaları veya özel uç noktalar ile ayarlanan Olay Hub 'larına olayları kullanacak veya olayları yayımlayabilecek şekilde yapılandırılabilir. İşlev uygulamanızın bir hizmet uç noktası veya özel uç nokta kullanarak bir olay hub 'ına bağlanması için bölgesel sanal ağ tümleştirmesi gerekir.

Işlevleri özel bir uç nokta etkin kaynağıyla çalışacak şekilde ayarlarken, WEBSITE_VNET_ROUTE_ALL uygulama ayarını olarak ayarlamanız gerekir 1 . İşlev uygulamanızı tam olarak kilitlemek istiyorsanız depolama hesabınızı de kısıtlamanızgerekir.

bir sanal ağ ortamındaki olayları tetiklemek (kullanmak) için, işlev uygulamasının bir Premium planında, adanmış (App Service) bir planda veya App Service Ortamı (asa) bir barındırılması gerekir.

ayrıca, bir Azure işlevlerinde çalışan bir sanal ağ ile sınırlı bir olay Hub 'ında olay planlamak ve kullanmak Premium, çalışma zamanı ölçek izlemesiolarak da adlandırılan sanal ağ tetikleyici desteği gerektirir. Çalışma zamanı ölçek izlemesi Azure portal, Azure CLı veya diğer dağıtım çözümleri aracılığıyla yapılandırılabilir. Çalışma zamanı ölçek izlemesi, işlev adanmış (App Service) bir planda veya bir AO 'da çalışırken kullanılamaz.

Çalışma zamanı ölçek izlemeyi Event Hubs ile kullanmak için Microsoft. Azure. WebJobs. Extensions. EventHubs uzantısının 4.1.0 veya sonraki bir sürümünü kullanmanız gerekir.

Sonraki adımlar

Devam etmeden önce, bu ilgili makalelerin gözden geçirilmesini göz önünde bulundurun:

• Azure Active Directory'ye erişimi yetkilendirme
• Azure Event Hubs paylaşılan erişim imzasıyla erişim yetkisi verme
• Kimlik tabanlı bir kaynak yapılandırma

İlgili kaynaklar

• Sunucusuz olay Işlemesini izlemek sunucusuz olay odaklı mimarilerin izlenmesi hakkında rehberlik sağlar.
• Sunucusuz olay işleme , kod örnekleri ve önemli noktaların tartışılması ile bu türden tipik bir mimariyi ayrıntılarıyla açıklayan bir başvuru mimarisidir.
• Event Hubs ile sunucusuz olay Işlemede de toplu işleme ve filtreleme , başvuru mimarisinin bu bölümlerinin nasıl çalıştığı hakkında daha ayrıntılı bilgi için açıklanmaktadır.