Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Event Grid permite controlar el nivel de acceso que tienen distintos usuarios para diversas operaciones de administración , como enumerar suscripciones de eventos, crear nuevas y generar claves. Event Grid usa el control de acceso basado en roles de Azure (Azure RBAC).
Tipos de operación
Para ver una lista de las operaciones admitidas por Azure Event Grid, ejecute el siguiente comando de la CLI de Azure:
az provider operation show --namespace Microsoft.EventGrid
Las siguientes operaciones devuelven información potencialmente confidencial, la cual se filtra de las operaciones de lectura normales. Restringir el acceso a estas operaciones.
- Microsoft.EventGrid/eventSubscriptions/getFullUrl/action
- Microsoft.EventGrid/topics/listKeys/action
- Microsoft.EventGrid/topics/regenerateKey/action
Roles integrados
Event Grid proporciona los siguientes tres roles integrados.
| Rol | Descripción |
|---|---|
EventGrid EventSubscription Reader |
Permite leer las suscripciones de eventos de EventGrid. |
EventGrid EventSubscription Contributor |
Permite administrar las operaciones de suscripción de eventos de EventGrid. |
EventGrid Contributor |
Permite crear y administrar recursos de Event Grid. |
EventGrid Data Sender |
Permite enviar eventos a un tema de Event Grid. |
Los roles Lector de la suscripción de Event Grid y Colaborador de la suscripción de Event Grid permiten administrar suscripciones de eventos. Son importantes al implementar dominios de eventos porque proporcionan a los usuarios los permisos que necesitan para suscribirse a temas en el dominio del evento. Estos roles se centran en las suscripciones de eventos y no conceden acceso para acciones como la creación de temas.
El rol Colaborador de Event Grid le permite crear y administrar los recursos de Event Grid.
Nota:
Seleccione los vínculos de la primera columna para ver un artículo que proporcione más detalles sobre el rol. Para obtener instrucciones sobre cómo asignar usuarios o grupos a roles de RBAC, consulte este artículo.
Roles personalizados
Si tiene que especificar permisos distintos a los de los roles integrados, cree roles personalizados.
Las siguientes definiciones de roles de Event Grid de ejemplo conceden a los usuarios permisos diferentes. Estos roles personalizados difieren de los roles integrados porque conceden acceso más amplio que solo las suscripciones de eventos.
- EventGridReadOnlyRole.json: concede solo operaciones de solo lectura.
{
"Name": "Event grid read only role",
"Id": "7C0B6B59-A278-4B62-BA19-411B70753856",
"IsCustom": true,
"Description": "Event grid read only role",
"Actions": [
"Microsoft.EventGrid/*/read"
],
"NotActions": [
],
"AssignableScopes": [
"/subscriptions/<Subscription Id>"
]
}
- EventGridNoDeleteListKeysRole.json: concede acciones posteriores restringidas, pero no permite eliminar acciones.
{
"Name": "Event grid No Delete Listkeys role",
"Id": "B9170838-5F9D-4103-A1DE-60496F7C9174",
"IsCustom": true,
"Description": "Event grid No Delete Listkeys role",
"Actions": [
"Microsoft.EventGrid/*/write",
"Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
"Microsoft.EventGrid/topics/listkeys/action",
"Microsoft.EventGrid/topics/regenerateKey/action"
],
"NotActions": [
"Microsoft.EventGrid/*/delete"
],
"AssignableScopes": [
"/subscriptions/<Subscription id>"
]
}
- EventGridContributorRole.json: concede todas las acciones de Event Grid.
{
"Name": "Event grid contributor role",
"Id": "4BA6FB33-2955-491B-A74F-53C9126C9514",
"IsCustom": true,
"Description": "Event grid contributor role",
"Actions": [
"Microsoft.EventGrid/*/write",
"Microsoft.EventGrid/*/delete",
"Microsoft.EventGrid/topics/listkeys/action",
"Microsoft.EventGrid/topics/regenerateKey/action",
"Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/<Subscription id>"
]
}
Puede crear roles personalizados con PowerShell, la CLI de Azure o REST.
Cifrado en reposo
El servicio Event Grid cifra todos los eventos o datos escritos en el disco mediante una clave administrada por Microsoft, lo que garantiza que está cifrado en reposo. Además, el período máximo de tiempo que se conservan los eventos o datos es de 24 horas en cumplimiento de la directiva de reintento de Event Grid. Event Grid elimina automáticamente todos los eventos o datos después de 24 horas o el tiempo de vida del evento, lo que sea menor.
Permisos para suscripciones a eventos
Si utiliza un controlador de eventos que no sea un WebHook (como un Event Hub o un almacenamiento en cola), necesita acceso de escritura a ese recurso. Esta comprobación de permisos impide que un usuario no autorizado envíe eventos al recurso.
Debe tener el permiso Microsoft.EventGrid/EventSubscriptions/Write en el recurso que constituya el origen del evento. Necesita este permiso porque está creando una nueva suscripción dentro del ámbito del recurso. El recurso requerido difiere en función de si se suscribe a un tema del sistema o a un tema personalizado. Ambos tipos se describen en esta sección.
Temas del sistema (editores del servicio de Azure)
En el caso de los temas del sistema, si no es el propietario o el colaborador del recurso de origen, necesitará permiso para escribir una nueva suscripción de eventos en el ámbito del recurso que publica el evento. El formato del recurso es: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name}
Por ejemplo, para suscribirse a un evento en una cuenta de almacenamiento denominada myacct, necesita el permiso Microsoft.EventGrid/EventSubscriptions/Write en:/subscriptions/####/resourceGroups/testrg/providers/Microsoft.Storage/storageAccounts/myacct
Temas personalizados
Para temas personalizados, necesita permiso para escribir una nueva suscripción a eventos en el ámbito del tema de Event Grid. El formato del recurso es: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name}
Por ejemplo, para suscribirse a un tema personalizado denominado mytopic, necesita el permiso Microsoft.EventGrid/EventSubscriptions/Write en: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.EventGrid/topics/mytopic
Contenido relacionado
- Para obtener una introducción a Event Grid, vea Acerca de Event Grid.