Sdílet prostřednictvím


Udělení spravované identity přístupu k cíli Event Gridu

Tato část popisuje, jak přidat identitu pro téma systému, vlastní téma nebo doménu do role Azure.

Požadavky

Přiřaďte spravovanou identitu přiřazenou systémem pomocí pokynů z následujících článků:

Podporované cíle a role Azure

Jakmile povolíte identitu pro vlastní téma nebo doménu služby Event Grid, Azure automaticky vytvoří identitu v Microsoft Entra ID. Přidejte tuto identitu do příslušných rolí Azure, aby vlastní téma nebo doména mohly předávat události do podporovaných cílů. Přidejte například identitu do role Odesílatele dat služby Azure Event Hubs pro obor názvů služby Azure Event Hubs, aby vlastní téma Event Gridu mohl předávat události do center událostí v tomto oboru názvů.

Azure Event Grid v současné době podporuje vlastní témata nebo domény nakonfigurované se spravovanou identitou přiřazenou systémem pro předávání událostí do následujících cílů. Tato tabulka také poskytuje role, ve které by měla být identita, aby vlastní téma mohly události předávat.

Cíl Role Azure
Fronty a témata služby Service Bus Odesílatel dat služby Azure Service Bus
Azure Event Hubs Odesílatel dat služby Azure Event Hubs
Azure Blob Storage Přispěvatel dat objektů blob úložiště
Azure Queue Storage Odesílatel datové zprávy fronty úložiště

Použití portálu Azure Portal

Pomocí webu Azure Portal můžete přiřadit vlastní téma nebo identitu domény příslušné roli, aby vlastní téma nebo doména mohly předávat události do cíle.

Následující příklad přidá spravovanou identitu vlastního tématu Event Gridu s názvem msitesttopic do role Odesílatele dat služby Azure Service Bus pro obor názvů služby Service Bus, který obsahuje prostředek fronty nebo tématu. Když do role přidáte na úrovni oboru názvů, vlastní téma Event Gridu může předávat události všem entitm v rámci oboru názvů.

  1. Na webu Azure Portal přejděte do oboru názvů služby Service Bus.

  2. V levém podokně vyberte Řízení přístupu.

  3. V části Přidat přiřazení role (Preview) vyberte Přidat.

    Image showing the selection of Add role assignment (Preview) menu

  4. Na stránce Přidat přiřazení role vyberte Odesílatele dat služby Azure Service Bus a vyberte Další.

    Image showing the selection of the Azure Service Bus Data Sender role

  5. Na kartě Členové postupujte takto:

    1. Vyberte Použít, skupinu nebo instanční objekt a klikněte na + Vybrat členy. Možnost Spravovaná identita zatím nepodporuje identity Event Gridu.

    2. V okně Vybrat členy vyhledejte a vyberte instanční objekt se stejným názvem jako vlastní téma. V následujícím příkladu je to spcustomtopic0728.

      Image showing the selection of the User, group, or service principal option

    3. V okně Vybrat členy klikněte na Vybrat.

      Image showing the selection of the Managed identity option

  6. Teď zpátky na kartě Členové vyberte Další.

    Image showing the selection of the Next button on the Members page

  7. Na stránce Zkontrolovat a přiřadit vyberte Po kontrole nastavení možnost Zkontrolovat a přiřadit.

Postup je podobný přidání identity do jiných rolí uvedených v tabulce.

Použití Azure CLI

Příklad v této části ukazuje, jak pomocí Azure CLI přidat identitu do role Azure. Ukázkové příkazy jsou určené pro vlastní témata Event Gridu. Příkazy pro domény Event Gridu jsou podobné.

Získání ID objektu zabezpečení pro systémovou identitu vlastního tématu

Nejprve získejte ID objektu zabezpečení identity spravované systémem vlastního tématu a přiřaďte ji příslušným rolím.

topic_pid=$(az ad sp list --display-name "$<TOPIC NAME>" --query [].objectId -o tsv)

Vytvoření přiřazení role pro centra událostí v různých oborech

Následující příklad rozhraní příkazového řádku ukazuje, jak přidat identitu vlastního tématu do role Odesílatele dat služby Azure Event Hubs na úrovni oboru názvů nebo na úrovni centra událostí. Pokud vytvoříte přiřazení role na úrovni oboru názvů, vlastní téma může předávat události do všech center událostí v tomto oboru názvů. Pokud vytvoříte přiřazení role na úrovni centra událostí, vlastní téma může předávat události pouze do konkrétního centra událostí.

role="Azure Event Hubs Data Sender" 
namespaceresourceid=$(az eventhubs namespace show -n $<EVENT HUBS NAMESPACE NAME> -g <RESOURCE GROUP of EVENT HUB> --query "{I:id}" -o tsv) 
eventhubresourceid=$(az eventhubs eventhub show -n <EVENT HUB NAME> --namespace-name <EVENT HUBS NAMESPACE NAME> -g <RESOURCE GROUP of EVENT HUB> --query "{I:id}" -o tsv) 

# create role assignment for the whole namespace 
az role assignment create --role "$role" --assignee "$topic_pid" --scope "$namespaceresourceid" 

# create role assignment scoped to just one event hub inside the namespace 
az role assignment create --role "$role" --assignee "$topic_pid" --scope "$eventhubresourceid" 

Vytvoření přiřazení role pro téma služby Service Bus v různých oborech

Následující příklad rozhraní příkazového řádku ukazuje, jak přidat identitu vlastního tématu služby Event Grid do role Odesílatele dat služby Azure Service Bus na úrovni oboru názvů nebo na úrovni tématu služby Service Bus. Pokud vytvoříte přiřazení role na úrovni oboru názvů, může téma Event Gridu předávat události všem entitám (frontám nebo tématům služby Service Bus) v rámci daného oboru názvů. Pokud vytvoříte přiřazení role na úrovni fronty nebo tématu služby Service Bus, vlastní téma Event Gridu může předávat události pouze do konkrétní fronty nebo tématu služby Service Bus.

role="Azure Service Bus Data Sender" 
namespaceresourceid=$(az servicebus namespace show -n $RG\SB -g "$RG" --query "{I:id}" -o tsv 
sbustopicresourceid=$(az servicebus topic show -n topic1 --namespace-name $RG\SB -g "$RG" --query "{I:id}" -o tsv) 

# create role assignment for the whole namespace 
az role assignment create --role "$role" --assignee "$topic_pid" --scope "$namespaceresourceid" 

# create role assignment scoped to just one hub inside the namespace 
az role assignment create --role "$role" --assignee "$topic_pid" --scope "$sbustopicresourceid" 

Další kroky

Teď, když jste přiřadili identitu přiřazenou systémem k tématu systému, vlastnímu tématu nebo doméně a přidali identitu do příslušných rolí cílů, najdete v tématu Doručování událostí pomocí spravované identity při doručování událostí do cílů pomocí identity.