Compartir a través de


Notificaciones de recursos de Azure como origen de Azure Event Grid

Las notificaciones de recursos de Azure (ARN) representan el servicio pub/sub unificado de vanguardia que atiende a todos los recursos de Azure. ARN aprovecha una amplia gama de publicadores, y ahora se puede acceder a esta riqueza de datos a través de los temas del sistema dedicados de ARN en Azure Event Grid.

Estas son las principales ventajas:

  • Cargas útiles completas: Las notificaciones enviadas a través de ARN abarcan toda la carga útil de recursos. Este acceso directo reduce la ralentización de la lectura, lo que mejora la experiencia general.
  • Capacidades de filtrado mejoradas: la disponibilidad de cargas abre una gran cantidad de opciones de filtrado. Use las propiedades dentro de la carga útil para ajustar el flujo de notificaciones, adaptándolo a sus escenarios específicos.
  • Acceso expandido a conjuntos de datos: ARN pulsa en varios publicadores, lo que le permite ofrecer conjuntos de datos que pueden no ser accesibles a través de temas del sistema estándar.
  • Control de acceso basado en rol (RBAC) sólido: el ARN se fortifica con una sólida capacidad RBAC. Esta característica le permite configurar usuarios o entidades de servicio para suscribirse exclusivamente a los datos para los que tienen autorización, dentro del ámbito de su acceso.

RBAC para temas del sistema ARN

Todos los eventos de los temas del sistema ARN se emiten exclusivamente en el ámbito de la suscripción de Azure. Implica que la entidad que crea la suscripción a eventos para un tipo de tema determinado recibe notificaciones para los eventos correspondientes en toda la suscripción a Azure. Por motivos de seguridad, es imperativo restringir la capacidad de crear suscripciones de eventos en este tema a entidades de seguridad con acceso de lectura en toda la suscripción de Azure.

A partir de hoy, necesitará los siguientes permisos genéricos proporcionados por Event Grid para crear temas de sistema y suscripciones a eventos.

  • microsoft.eventgrid/eventsubscription/write
  • microsoft.eventgrid/systemtopic/eventsubscriptions/write

Además de estos permisos, debe conceder los siguientes permisos a los usuarios o entidades de seguridad para acceder a los temas del sistema ARN. Para cada tipo de tema, se exponen permisos distintos, lo que garantiza un acceso preciso y adaptado:

Tipo de tema Permiso
HealthResources Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Administración de recursos de Azure Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action

Para mejorar la experiencia del cliente, se dispone de una definición de funciones integrada que engloba todos los permisos necesarios para recibir datos a través de cualquier tema del sistema ARN. Este rol incluye los permisos exigidos por Event Grid para la creación de temas del sistema y suscripciones a eventos. Esta definición de funciones incorporada se actualiza periódicamente para incorporar más tipos de temas a medida que son accesibles a través de nuestro servicio. Como resultado, los usuarios a los que se les asigne este rol incorporado obtendrán automáticamente acceso a todos los futuros tipos de temas ARN. Puede optar por usar la definición de roles integrada proporcionada o crear sus propias definiciones de roles personalizadas para aplicar el control de acceso.

Definición de roles integrada:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Ponerse en contacto con nosotros

Si tiene alguna pregunta o comentarios sobre esta característica, no dude en ponerse en contacto con nosotros en arnsupport@microsoft.com.

Pasos siguientes

Vea los artículos siguientes: