Configuración del firewall de IP para temas o dominios de Azure Event Grid

De forma predeterminada, el tema y el dominio son accesibles desde Internet siempre que la solicitud venga con una autenticación y una autorización válidas. Con el firewall de IP, puede restringirlo aún más a solo un conjunto de direcciones IPv4 o intervalos de direcciones IPv4 en la notación CIDR (Enrutamiento de interdominios sin clases). Los publicadores que se originen desde cualquier otra dirección IP se rechazarán y recibirán una respuesta 403 (Prohibido). Para más información sobre las características de seguridad de red admitidas por Event Grid, consulte Seguridad de red para Event Grid.

En este artículo se describe cómo configurar las opciones de firewall de IP para los temas o dominios de Azure Event Grid.

Usar Azure Portal

En esta sección se muestra cómo usar el Azure Portal para habilitar el acceso público o privado al crear un tema o para un tema existente. Los pasos que se muestran en esta sección son para los temas. Puede usar pasos similares para habilitar el acceso público o privado para dominios.

Creación de un tema

En esta sección se muestra cómo habilitar el acceso a la red pública o privada para un tema de Event Grid o un dominio. Para obtener instrucciones paso a paso para crear un nuevo tema, consulte Creación de un tema personalizado.

1. En la página Aspectos básicos del asistente para Crear tema, seleccione Siguiente: Redes en la parte inferior de la página después de rellenar los campos necesarios.

   

2. Si desea permitir que los clientes se conecten al punto de conexión del tema a través de una dirección IP pública, mantenga seleccionada la opción Acceso público.

   Es posible restringir el acceso al tema desde direcciones IP específicas especificando valores para el campo Intervalo de direcciones. Especifique una única dirección IPv4 o un intervalo de direcciones IP en la notación de enrutamiento de interdominios sin clases (CIDR).

   

3. Para permitir el acceso al tema de Event Grid a través de un punto de conexión privado, seleccione la opción Acceso privado.

   

4. Siga las instrucciones de la sección Incorporación de un punto de conexión privado mediante Azure Portal para crear un punto de conexión privado.

Para un tema existente

1. En Azure Portal, vaya a su tema o dominio de Event Grid y cambie a la pestaña Redes.

2. Seleccione Redes públicas para permitir que todas las redes, incluida Internet, tengan acceso al recurso.

   Es posible restringir el acceso al tema desde direcciones IP específicas especificando valores para el campo Intervalo de direcciones. Especifique una única dirección IPv4 o un intervalo de direcciones IP en la notación de enrutamiento de interdominios sin clases (CIDR).

   

3. Seleccione Private endpoints only (Solo puntos de conexión privados) para permitir que sean solo las conexiones de puntos de conexión privados las que tengan acceso a este recurso. Use la pestaña Conexiones de punto de conexión privado de esta página para administrar las conexiones.

   Para obtener instrucciones paso a paso para crear una conexión de punto de conexión privado, consulte Incorporación de un punto de conexión privado mediante Azure Portal.

   

4. Seleccione Guardar en la barra de herramientas.

Uso de CLI de Azure

En esta sección se muestra cómo usar los comandos de la CLI de Azure para crear temas con reglas de IP de entrada. Los pasos que se muestran en esta sección son para los temas. Puede usar pasos similares para crear reglas de IP de entrada para dominios.

Habilitación o deshabilitación del acceso a la red pública

De forma predeterminada, el acceso de red pública está habilitado para los temas y los dominios. También puede habilitarlo explícitamente o deshabilitarlo. Puede restringir el tráfico mediante la configuración de reglas de firewall de IP de entrada.

Habilitación del acceso a la red pública durante la creación de un tema

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled

Deshabilitación del acceso a la red pública durante la creación de un tema

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access disabled

Nota:

Cuando se deshabilita el acceso de red pública para un tema o un dominio, no se permite el tráfico a través de la red pública de Internet. Solo se permitirá el acceso a estos recursos a las conexiones de punto de conexión privado.

Habilitación del acceso de red pública para un tema existente

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled 

Deshabilitación del acceso de red pública para un tema existente

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access disabled

Creación de un tema con una sola regla de IP de entrada

El siguiente comando de la CLI de ejemplo crea un tema de Event Grid con reglas de IP de entrada.

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow 

Creación de un tema con varias reglas de IP de entrada

El siguiente comando de la CLI de ejemplo crea un tema de Event Grid con dos reglas de IP de entrada en un solo paso:

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Actualización de un tema existente para agregar reglas de IP de entrada

En este ejemplo se crea primero un tema de Event Grid y, a continuación, se agregan reglas de IP de entrada para el tema en un comando independiente. También se actualizan las reglas de IP de entrada que se establecieron en el segundo comando.

# create the event grid topic first
az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location

# add inbound IP rules to an existing topic
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow

# later, update topic with additional ip rules
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Eliminación de una regla de IP de entrada

El siguiente comando quita la segunda regla que creó en el paso anterior mediante la especificación de solo la primera regla al actualizar la configuración.

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow

Uso de PowerShell

En esta sección se muestra cómo usar los comandos de Azure PowerShell para crear temas de Azure Event Grid con reglas de firewall de IP de entrada. Los pasos que se muestran en esta sección son para los temas. Puede usar pasos similares para crear reglas de IP de entrada para dominios.

De forma predeterminada, el acceso de red pública está habilitado para los temas y los dominios. También puede habilitarlo explícitamente o deshabilitarlo. Puede restringir el tráfico mediante la configuración de reglas de firewall de IP de entrada.

Habilitación del acceso a la red pública durante la creación de un tema

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled

Deshabilitación del acceso a la red pública durante la creación de un tema

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled

Nota:

Cuando se deshabilita el acceso de red pública para un tema o un dominio, no se permite el tráfico a través de la red pública de Internet. Solo se permitirá el acceso a estos recursos a las conexiones de punto de conexión privado.

Creación de un tema con acceso a la red pública y reglas ip de entrada

El siguiente comando de CLI de ejemplo crea un tema de Event Grid con acceso a la red pública y reglas de IP de entrada.

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }

Actualización de un tema existente con acceso a la red pública y reglas ip de entrada

El siguiente comando de la CLI de ejemplo actualiza un tema de Event Grid existente con reglas de IP de entrada.

Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}

Deshabilitación del acceso de red pública para un tema existente

Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}

Pasos siguientes

• Para información sobre la supervisión de las entregas de eventos, consulte Supervisar la entrega de mensajes de Event Grid.
• Para más información sobre la clave de autenticación, vea Seguridad y autenticación de Event Grid.
• Para más información acerca de la creación de una suscripción de Azure Event Grid, consulte Esquema de suscripción de Event Grid.
• Para solucionar problemas de conectividad de red, consulte Solucionar problemas de conectividad de red.