Configuración del firewall de IP para temas o dominios de Azure Event Grid

De forma predeterminada, el tema y el dominio son accesibles desde Internet siempre que la solicitud llegue con autenticación y autorización válidas. Con el firewall de IP, puedes restringirlo aún más a solo un conjunto de direcciones o rangos de direcciones IPv4 en notación CIDR (Enrutamiento entre dominios sin clase). Los publicadores que se originan en cualquier otra dirección IP se rechazarán y recibirán una respuesta 403 (Prohibido). Para obtener más información sobre las características de seguridad de red compatibles con Event Grid, consulte Seguridad de red para Event Grid.

En este artículo se describe cómo configurar la configuración del firewall de IP para temas o dominios de Azure Event Grid.

Utilizar el portal de Azure

En esta sección se muestra cómo usar Azure Portal para habilitar el acceso público o privado al crear un tema o para un tema existente. Los pasos que se muestran en esta sección son para temas. Puede usar pasos similares para habilitar el acceso público o privado para dominios.

Al crear un tema

En esta sección se muestra cómo habilitar el acceso a la red pública o privada para un tema de Event Grid o un dominio. Para obtener instrucciones paso a paso para crear un tema, consulte Creación de un tema personalizado.

1. En la página Aspectos básicos del Asistente para crear temas , seleccione Siguiente: Redes en la parte inferior de la página después de rellenar los campos necesarios.

   

2. Si desea permitir que los clientes se conecten al punto de conexión del tema a través de una dirección IP pública, mantenga seleccionada la opción Acceso público .

   Puede restringir el acceso al tema desde direcciones IP específicas especificando valores para el campo Intervalo de direcciones. Especifique una sola dirección IPv4 o un intervalo de direcciones IP en la notación de enrutamiento entre dominios sin clases (CIDR).

   

3. Para permitir el acceso al tema de Event Grid a través de un punto de conexión privado, seleccione la opción Acceso privado .

   

4. Siga las instrucciones de la sección Incorporación de un punto de conexión privado mediante Azure Portal para crear un punto de conexión privado.

Para un tema existente

1. En Azure Portal, vaya al tema o dominio de Event Grid y cambie a la pestaña Redes .

2. Seleccione Redes públicas para permitir que todas las redes, incluida Internet, accedan al recurso.

   Puede restringir el acceso al tema desde direcciones IP específicas especificando valores para el campo Intervalo de direcciones. Especifique una sola dirección IPv4 o un intervalo de direcciones IP en la notación de enrutamiento entre dominios sin clases (CIDR).

   

3. Seleccione solo puntos de conexión privados para permitir que únicamente las conexiones de punto de conexión privado accedan a este recurso. Utiliza la pestaña Conexiones de punto de conexión privado en esta página para administrar las conexiones.

   Para obtener instrucciones paso a paso para crear una conexión de punto de conexión privado, consulte Incorporación de un punto de conexión privado mediante Azure Portal.

   

4. Seleccione Guardar en la barra de herramientas.

Uso de la CLI de Azure

En esta sección se muestra cómo usar comandos de la CLI de Azure para crear temas con reglas ip de entrada. Los pasos que se muestran en esta sección son para temas. Puede usar pasos similares para crear reglas IP de entrada para dominios.

Habilitación o deshabilitación del acceso a la red pública

De forma predeterminada, el acceso a la red pública está habilitado para temas y dominios. También puede habilitarla explícitamente o deshabilitarla. Puede restringir el tráfico mediante la configuración de reglas de firewall de IP de entrada.

Habilitación del acceso a la red pública al crear un tema

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled

Deshabilitar el acceso a la red pública al crear un tema

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access disabled

Nota:

Cuando el acceso a la red pública está deshabilitado para un tema o dominio, no se permite el tráfico a través de la red pública de Internet. Solo se permitirán conexiones de punto de conexión privado para acceder a estos recursos.

Habilitación del acceso a la red pública para un tema existente

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled 

Deshabilitación del acceso a la red pública para un tema existente

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access disabled

Creación de un tema con una sola regla IP de entrada

El siguiente comando de ejemplo de la CLI crea un tópico de Event Grid con reglas para IP de entrada.

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow 

Crea un tema con varias reglas de entrada IP

El siguiente comando de la CLI de ejemplo crea un tópico de Event Grid de dos reglas IP de entrada en un solo paso:

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Actualizar un tema existente para agregar reglas IP de entrada

En este ejemplo se crea primero un tema de Event Grid y, a continuación, se agregan reglas ip de entrada para el tema en un comando independiente. También actualiza las reglas ip de entrada que se establecieron en el segundo comando.

# create the event grid topic first
az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location

# add inbound IP rules to an existing topic
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow

# later, update topic with additional ip rules
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Eliminar una regla IP de entrada

El comando siguiente quita la segunda regla que creó en el paso anterior especificando solo la primera regla al actualizar la configuración.

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow

Uso de PowerShell

En esta sección se muestra cómo usar comandos de Azure PowerShell para crear temas de Azure Event Grid con reglas de firewall de IP de entrada. Los pasos que se muestran en esta sección son para temas. Puede usar pasos similares para crear reglas IP de entrada para dominios.

De forma predeterminada, el acceso a la red pública está habilitado para temas y dominios. También puede habilitarla explícitamente o deshabilitarla. Puede restringir el tráfico mediante la configuración de reglas de firewall de IP de entrada.

Habilitación del acceso a la red pública al crear un tema

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled

Deshabilitar el acceso a la red pública al crear un tema

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled

Nota:

Cuando el acceso a la red pública está deshabilitado para un tema o dominio, no se permite el tráfico a través de la red pública de Internet. Solo se permitirán conexiones de punto de conexión privado para acceder a estos recursos.

Crear un tema con acceso a la red pública y reglas de IP entrante

El siguiente comando de la CLI de ejemplo crea un tema de Event Grid con reglas de ip de entrada y acceso a la red pública.

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }

Actualiza un tema existente con acceso a la red pública y reglas para IP de entrada

El siguiente comando de la CLI de ejemplo actualiza un tema de Event Grid existente con reglas ip de entrada.

Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}

Deshabilitación del acceso a la red pública para un tema existente

Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}

Pasos siguientes

• Para obtener información sobre la supervisión de entregas de eventos, consulte Supervisión de la entrega de mensajes de Event Grid.
• Para más información sobre la clave de autenticación, consulte Seguridad y autenticación de Event Grid.
• Para más información acerca de la creación de una suscripción de Azure Event Grid, consulte Esquema de suscripción de Event Grid.
• Para solucionar problemas de conectividad de red, consulte Solución de problemas de conectividad de red.