Autorización del acceso a Azure Event Hubs

Cada vez que publique eventos en un centro de eventos o los consuma, el cliente intenta acceder a los recursos de Event Hubs. Todas las solicitudes a un recurso seguro deben estar autorizadas para que el servicio pueda garantizar que el cliente tenga los permisos necesarios para publicar o consumir los datos.

Azure Event Hubs ofrece las siguientes opciones para autorizar el acceso a los recursos seguros:

• Microsoft Entra ID
• Firma de acceso compartido

Nota:

Este artículo se aplica a los escenarios de Event Hubs y Apache Kafka.

Microsoft Entra ID

La integración de Microsoft Entra con los recursos de Event Hubs proporciona control de acceso basado en rol (RBAC) de Azure para un control específico sobre el acceso de un cliente a los recursos. Puede usar Azure RBAC para conceder permisos a una entidad de seguridad, que puede ser un usuario, un grupo o una entidad de servicio de aplicación. Microsoft Entra autentica la entidad de seguridad y devuelve un token de OAuth 2.0. El token se puede usar a fin de autorizar una solicitud para acceder a un recurso de Event Hubs.

Consulte los siguientes artículos para más información sobre la autenticación con Microsoft Entra ID:

• Autenticación de solicitudes para Azure Event Hubs mediante Microsoft Entra ID
• Autorizar el acceso a los recursos de Event Hubs mediante Microsoft Entra ID

Firmas de acceso compartido

Las firmas de acceso compartido (SAS) para recursos de Event Hubs proporcionan un acceso delegado limitado a recursos de Event Hubs. Agregar restricciones al período de validez de la firma o a los permisos que concede proporciona flexibilidad para administrar los recursos. Para más información, consulte Autenticación de firmas de acceso compartido (SAS).

La autorización de usuarios o aplicaciones mediante un token OAuth 2.0 devuelto por Microsoft Entra ID proporciona una seguridad y facilidad de uso superiores a las firmas de acceso compartido (SAS). Con Microsoft Entra ID, no hay ninguna necesidad de almacenar los tokens de acceso con el código y arriesgarse a posibles vulnerabilidades de seguridad. Si bien puede seguir utilizando firmas de acceso compartido (SAS) para conceder acceso específico a los recursos de Event Hubs, Microsoft Entra ID ofrece funcionalidades similares sin necesidad de administrar tokens SAS o preocuparse por la revocación de un SAS comprometido.

De forma predeterminada, todos los recursos de Event Hubs están protegidos y solo están disponibles para el propietario de la cuenta. No obstante, puede usar cualquiera de las estrategias de autorización descritas anteriormente para conceder a los clientes acceso a recursos de Event Hubs. Microsoft recomienda usar Microsoft Entra ID siempre que sea posible para una mayor seguridad y facilidad de uso.

Para más información sobre la autorización mediante SAS, consulte Autorización del acceso a recursos de Event Hubs mediante firmas de acceso compartido.

Pasos siguientes

• Revise los ejemplos de Azure RBAC publicados en nuestro repositorio de GitHub.
• Vea los artículos siguientes:
  • Autenticar solicitudes a Azure Event Hubs desde una aplicación utilizando Microsoft Entra ID
  • Autenticación de una identidad administrada con Microsoft Entra ID para acceder a recursos de Event Hubs
  • Autenticación de solicitudes para Azure Event Hubs mediante firmas de acceso compartido
  • Autorizar el acceso a los recursos de Centros de eventos mediante Microsoft Entra ID
  • Autorización del acceso a recursos de Event Hubs mediante firmas de acceso compartido