Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Komunikace mezi klientskou aplikací a oborem názvů služby Azure Service Bus se šifruje pomocí protokolu TLS (Transport Layer Security). TLS je standardní kryptografický protokol, který zajišťuje ochranu soukromí a integritu dat mezi klienty a službami přes internet. Další informace o protokolu TLS naleznete v tématu Transport Layer Security.
Azure Service Bus podporuje volbu konkrétní verze protokolu TLS pro obory názvů. Azure Service Bus v současné době ve výchozím nastavení používá protokol TLS 1.2 ve veřejných koncových bodech, ale kvůli zpětné kompatibilitě se stále podporují protokoly TLS 1.0 a TLS 1.1.
Obory názvů služby Azure Service Bus umožňují klientům odesílat a přijímat data s protokolem TLS 1.0 a vyšším. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat obor názvů služby Service Bus tak, aby vyžadoval, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Service Bus vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou.
Důležité
Pokud používáte službu, která se připojuje ke službě Azure Service Bus, ujistěte se, že služba používá odpovídající verzi protokolu TLS k odesílání požadavků do služby Azure Service Bus, než nastavíte požadovanou minimální verzi oboru názvů služby Service Bus.
Oprávnění potřebná k vyžadování minimální verze protokolu TLS
Pokud chcete nastavit vlastnost MinimumTlsVersion oboru názvů služby Service Bus, musí mít uživatel oprávnění k vytváření a správě oborů názvů služby Service Bus. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.ServiceBus/namespaces/write nebo Microsoft.ServiceBus/namespaces/*. Mezi předdefinované role s touto akcí patří:
- Azure Resource Manager Role vlastníka
- Role přispěvatele Azure Resource Manageru
- Role vlastníka dat služby Azure Service Bus
Přiřazení rolí musí být vymezena na úroveň oboru názvů služby Service Bus nebo vyšší, aby uživatel pro obor názvů služby Service Bus vyžadoval minimální verzi protokolu TLS. Další informace o rozsahu role najdete v tématu Pochopení rozsahu pro Azure RBAC.
Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit obor názvů služby Service Bus nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.
Poznámka:
Klasické role správce předplatného Service Administrator a Spolusprávce zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role vlastníka zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat obory názvů služby Service Bus. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.
Důležité informace z hlediska využívání sítě
Když klient odešle požadavek do oboru názvů služby Service Bus, klient nejprve vytvoří připojení ke koncovému bodu oboru názvů služby Service Bus před zpracováním jakýchkoli požadavků. Po navázání připojení TLS se zkontroluje minimální nastavení verze protokolu TLS. Pokud požadavek používá starší verzi protokolu TLS, než která je určená nastavením, připojení bude i nadále úspěšné, ale požadavek nakonec selže.
Poznámka:
Z důvodu zpětné kompatibility neprovádíme žádné kontroly TLS u jmenných prostorů, které nemají zadané nastavení MinimumTlsVersion nebo které je zadaly jako 1.0, při spojení prostřednictvím protokolu SBMP.
Dne 30. září 2026 vyřadíme podporu protokolu SBMP pro Azure Service Bus, takže tento protokol už nebudete moct používat po 30. září 2026. Migrujte na nejnovější knihovny sady SDK služby Azure Service Bus pomocí protokolu AMQP, který nabízí důležité aktualizace zabezpečení a vylepšené funkce před tímto datem.
Další informace najdete v oznámení o vyřazení podpory.
Tady je několik důležitých bodů, které je potřeba vzít v úvahu:
- Trasování sítě by ukázalo úspěšné vytvoření připojení TCP a úspěšné vyjednání protokolu TLS, než je vrácena chyba 401, pokud použitá verze TLS je nižší než minimální konfigurovaná verze.
- Kontrola průniku nebo kontrola na úrovni koncového bodu na
yournamespace.servicebus.windows.netukáže podporu protokolů TLS 1.0, TLS 1.1 a TLS 1.2, protože služba nadále podporuje všechny tyto protokoly. Minimální verze protokolu TLS vynucená na úrovni oboru názvů označuje, jakou nejnižší verzi protokolu TLS bude obor názvů podporovat.
Další kroky
Další informace najdete v následující dokumentaci.