Event Hubs-erőforrásokhoz való hozzáférés engedélyezése a Microsoft Entra-azonosítóval
Az Azure Event Hubs támogatja a Microsoft Entra ID használatát az Event Hubs-erőforrásokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID használatával az Azure szerepköralapú hozzáférés-vezérlési (RBAC) használatával engedélyeket adhat egy biztonsági tagnak, amely lehet felhasználó vagy alkalmazásszolgáltatás-tag. A szerepkörökről és a szerepkör-hozzárendelésekről további információt a különböző szerepkörök ismertetése című témakörben talál.
Áttekintés
Amikor egy biztonsági tag (felhasználó vagy alkalmazás) megpróbál hozzáférni egy Event Hubs-erőforráshoz, a kérést engedélyezni kell. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat.
- Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza. A jogkivonat
https://eventhubs.azure.net/kéréséhez használt erőforrásnév az, és minden felhőben/bérlőben ugyanaz. A Kafka-ügyfelek esetében a jogkivonat igényléséhez szükséges erőforrás a következőhttps://<namespace>.servicebus.windows.net: . - A jogkivonatot a rendszer egy kérés részeként továbbítja az Event Hubs szolgáltatásnak a megadott erőforráshoz való hozzáférés engedélyezéséhez.
A hitelesítési lépéshez egy alkalmazáskérésnek rendelkeznie kell egy OAuth 2.0 hozzáférési jogkivonattal futásidőben. Ha egy alkalmazás egy Azure-entitáson belül fut, például azure-beli virtuális gépen, virtuálisgép-méretezési csoporton vagy Azure-függvényalkalmazáson belül, felügyelt identitással férhet hozzá az erőforrásokhoz. Ha szeretné megtudni, hogyan hitelesítheti a felügyelt identitások által az Event Hubs szolgáltatásba irányuló kéréseket, olvassa el az Azure Event Hubs-erőforrásokhoz való hozzáférés hitelesítése a Microsoft Entra-azonosítóval és az Azure-erőforrások felügyelt identitásaival című témakört.
Az engedélyezési lépéshez egy vagy több Azure-szerepkört kell hozzárendelni a biztonsági taghoz. Az Azure Event Hubs olyan Azure-szerepköröket biztosít, amelyek az Event Hubs-erőforrások engedélykészleteit foglalják magukban. A rendszerbiztonsági taghoz rendelt szerepkörök határozzák meg azokat az engedélyeket, amelyekkel a rendszerbiztonsági tag rendelkezik. Az Azure-szerepkörökről további információt az Azure Event Hubs beépített Azure-szerepköreivel kapcsolatban talál.
Az Event Hubsra irányuló kéréseket intéző natív alkalmazások és webalkalmazások a Microsoft Entra-azonosítóval is engedélyezhetik. Ha tudni szeretné, hogyan kérhet le hozzáférési jogkivonatot, és hogyan engedélyezheti az Event Hubs-erőforrásokra vonatkozó kérelmeket, olvassa el az Azure Event Hubs-hozzáférés hitelesítése egy alkalmazás Microsoft Entra-azonosítójával című témakört.
Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz
A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat. Az Azure Event Hubs azure-beli beépített szerepkörök készletét határozza meg, amelyek az eseményközpont adatainak eléréséhez használt általános engedélyeket foglalják magukban, és egyéni szerepköröket is meghatározhat az adatok eléréséhez.
Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. A hozzáférés hatóköre az előfizetés szintjére, az erőforráscsoportra, az Event Hubs-névtérre vagy az alatta lévő bármely erőforrásra terjedhet ki. A Microsoft Entra biztonsági tag lehet felhasználó, alkalmazásszolgáltatás-egyszerű vagy felügyelt identitás az Azure-erőforrásokhoz.
Azure beépített szerepkörök az Azure Event Hubshoz
Az Azure az alábbi beépített Azure-szerepköröket biztosítja az Event Hubs-adatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával:
| Szerepkör | Leírás |
|---|---|
| Az Azure Event Hubs-adatok tulajdonosa | Ezzel a szerepkörsel teljes hozzáférést biztosíthat az Event Hubs-erőforrásokhoz. |
| Azure Event Hubs-adatküldő | Ezzel a szerepkörsel hozzáférést adhat az Event Hubs-erőforrásokhoz való küldéshez. |
| Azure Event Hubs Data-fogadó | Ezzel a szerepkörsel hozzáférést biztosíthat az Event Hubs-erőforrásokhoz való használathoz/fogadáshoz. |
A sémaregisztrációs adatbázis beépített szerepköreivel kapcsolatban lásd : Sémaregisztrációs adatbázis szerepkörei.
Erőforrás hatóköre
Mielőtt Azure-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni.
Az alábbi lista azokat a szinteket ismerteti, amelyeken hatókörbe helyezheti az Event Hubs-erőforrásokhoz való hozzáférést, kezdve a legszűkebb hatókörrel:
- Fogyasztói csoport: Ebben a hatókörben a szerepkör-hozzárendelés csak erre az entitásra vonatkozik. Az Azure Portal jelenleg nem támogatja az Azure-szerepkörök biztonsági taghoz való hozzárendelését ezen a szinten.
- Eseményközpont: A szerepkör-hozzárendelés az eseményközpontokra és azok fogyasztói csoportjaira vonatkozik.
- Névtér: A szerepkör-hozzárendelés az Event Hubs teljes topológiájára kiterjed a névtér alatt és a hozzá társított fogyasztói csoportra.
- Erőforráscsoport: A szerepkör-hozzárendelés az erőforráscsoport összes Event Hubs-erőforrására vonatkozik.
- Előfizetés: A szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjában lévő Event Hubs-erőforrásra vonatkozik.
Feljegyzés
- Ne feledje, hogy az Azure-szerepkör-hozzárendelések propagálása akár öt percet is igénybe vehet.
- Ez a tartalom az Apache Kafkához készült Event Hubsra és Event Hubsra is vonatkozik. További információ az Event Hubs for Kafka támogatásáról: Event Hubs for Kafka – biztonság és hitelesítés.
A beépített szerepkörök definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.
Példák
Microsoft.Azure.EventHubs-minták.
Ezek a minták az örökölt Microsoft.Azure.EventHubs-tárat használják , de egyszerűen frissíthetők a legújabb Azure.Messaging.EventHubs-kódtár használatával. Ha át szeretné helyezni a mintát az örökölt kódtárról az újra, tekintse meg a Microsoft.Azure.EventHubsból az Azure.Messaging.EventHubsba való migrálás útmutatóját.
Azure.Messaging.EventHubs-minták
Ez a minta a legújabb Azure.Messaging.EventHubs-kódtár használatára lett frissítve.
Kapcsolódó tartalom
- Megtudhatja, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, lásd : Az Event Hubs-erőforrásokhoz való hozzáférés hitelesítése a Microsoft Entra-azonosítóval.
- Megtudhatja , hogyan hozhat létre egyéni szerepköröket az Azure RBAC-vel.
- Ismerje meg , hogyan használhatja a Microsoft Entra ID-t az EH-vel
Lásd a következő kapcsolódó cikkeket:
- Az Azure Event Hubs felé irányuló kérelmek hitelesítése egy alkalmazásból a Microsoft Entra ID használatával
- Felügyelt identitás hitelesítése Microsoft Entra-azonosítóval az Event Hubs-erőforrások eléréséhez
- Az Azure Event Hubs felé irányuló kérelmek hitelesítése közös hozzáférésű jogosultságkódokkal
- Event Hubs-erőforrásokhoz való hozzáférés engedélyezése közös hozzáférésű jogosultságkódokkal