Notifications de ressources Azure en tant que source Azure Event Grid

Les notifications de ressources Azure (ARN) représentent le service pub/sub unifié de pointe compatible avec toutes les ressources Azure. ARN s’appuie sur un large éventail d’éditeurs, et cette richesse de données est désormais accessible via les rubriques système dédiées d’ARN dans Azure Event Grid.

Voici les principaux avantages :

• Charges utiles complètes : les notifications fournies via ARN englobent l’intégralité de la charge utile des ressources. Cet accès direct entraîne une réduction de la limitation de lecture, ce qui améliore votre expérience globale.
• Fonctionnalités de filtrage améliorées : la disponibilité des charges utiles ouvre une multitude d’options de filtrage. Utilisez les propriétés de la charge utile pour affiner le flux de notifications, en l’adaptant à vos scénarios spécifiques.
• Accès étendu aux jeux de données : ARN s’appuie sur plusieurs éditeurs, ce qui lui permet d’offrir des jeux de données qui peuvent ne pas être accessibles via des rubriques système standard.
• Contrôle d’accès en fonction du rôle (RBAC) robuste : ARN est renforcé avec une fonctionnalité RBAC robuste. Cette fonctionnalité vous permet de configurer des utilisateurs ou des principaux de service pour s’abonner exclusivement aux données pour lesquelles ils disposent d’autorisations, dans l’étendue de leur accès.

RBAC pour les rubriques système ARN

Tous les événements sous les rubriques système ARN sont exclusivement émis dans l’étendue de l’abonnement Azure. Cela implique que l’entité qui crée l’abonnement aux événements pour un type de rubrique donné reçoit des notifications pour les événements correspondants dans l’ensemble de l’abonnement Azure. Pour des raisons de sécurité, il est impératif de restreindre la possibilité de créer des abonnements aux événements sur cette rubrique aux principaux disposant d’un accès en lecture sur l’ensemble de l’abonnement Azure.

À compter d’aujourd’hui, vous avez besoin des autorisations génériques suivantes fournies par Event Grid pour créer des rubriques système et des abonnements aux événements.

• microsoft.eventgrid/eventsubscription/write
• microsoft.eventgrid/systemtopic/eventsubscriptions/write

En plus de ces autorisations, vous devez accorder les autorisations suivantes aux utilisateurs ou aux principaux de sécurité pour accéder aux rubriques système ARN. Pour chaque type de rubrique, des autorisations distinctes sont exposées, garantissant un accès précis et adapté :

Type de rubrique	Autorisation
HealthResources	Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Gestion des ressources Azure	Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action

Pour améliorer l’expérience client, une définition de rôle intégrée qui englobe toutes les autorisations requises pour recevoir des données via n’importe quelle rubrique système ARN est disponible. Ce rôle inclut les autorisations requises par Event Grid pour la création de rubriques système et d’abonnement aux événements. Cette définition de rôle intégrée est régulièrement mise à jour pour incorporer davantage de types de rubriques au fur et à mesure qu’ils deviennent accessibles via notre service. Par conséquent, les utilisateurs affectés à ce rôle intégré accèdent automatiquement à tous les futurs types de rubriques ARN. Vous pouvez choisir d’utiliser la définition de rôle intégrée fournie ou d’élaborer vos propres définitions de rôles personnalisées pour appliquer le contrôle d’accès.

Définition de rôle intégrée :

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Nous contacter

Si vous avez des questions ou des commentaires sur cette fonctionnalité, n’hésitez pas à nous contacter à arnsupport@microsoft.com.

Étapes suivantes

Voir les articles suivants :

• Notifications des ressources Azure : événements de ressources d’intégrité dans Azure Event Grid.
• Notifications des ressources Azure - Événements Azure Resource Manager dans Azure Event Grid.