A Notification Hubs biztonsága
Áttekintés
Ez a témakör az Azure Notification Hubs biztonsági modelljét ismerteti.
Közös hozzáférésű jogosultságkód biztonsága
A Notification Hubs egy közös hozzáférésű jogosultságkód (SAS) nevű entitásszintű biztonsági sémát implementál. Minden szabály tartalmaz egy nevet, egy kulcsértéket (megosztott titkos kulcsot) és egy jogosultságkészletet, amint azt a biztonsági jogcímek későbbi részében ismertetik.
Központ létrehozásakor a rendszer automatikusan két szabályt hoz létre: egyet figyeli jogosultságokkal (amelyeket az ügyfélalkalmazás használ), a másik pedig minden jogosultsággal (amelyet az alkalmazás háttérrendszere használ):
- DefaultListenSharedAccessSignature: csak figyeli engedélyt ad.
- DefaultFullSharedAccessSignature: figyelés, kezelés és küldés engedélyeket ad. Ez a szabályzat csak az alkalmazás háttérrendszerében használható. Ne használja az ügyfélalkalmazásokban; csak Figyelés hozzáféréssel rendelkező szabályzatot használjon. Ha új egyéni hozzáférési szabályzatot szeretne létrehozni egy új SAS-jogkivonattal, tekintse meg a jelen cikk későbbi részében a hozzáférési szabályzatok SAS-jogkivonatait.
Ha az ügyfélalkalmazások regisztrációkezelését hajtja végre, ha az értesítéseken keresztül küldött információk nem érzékenyek (például időjárási frissítések), a Notification Hub elérésének gyakori módja az, hogy a szabály csak figyelési szintű hozzáférését adja az ügyfélalkalmazáshoz, és teljes hozzáférést biztosít a szabály kulcsértékéhez az alkalmazás háttérrendszeréhez.
Az alkalmazások nem ágyazhatók be a kulcsértékbe a Windows Áruházbeli ügyfélalkalmazásokban; ehelyett kérje le az ügyfélalkalmazást az alkalmazás háttérrendszeréből indításkor.
A Figyelő hozzáféréssel rendelkező kulcs lehetővé teszi, hogy az ügyfélalkalmazás bármilyen címkére regisztráljon. Ha az alkalmazásnak adott címkékre kell korlátoznia a regisztrációkat adott ügyfelekre (például amikor a címkék felhasználói azonosítókat jelölnek), az alkalmazás háttérrendszerének végre kell hajtania a regisztrációkat. További információ: Regisztrációkezelés. Vegye figyelembe, hogy így az ügyfélalkalmazás nem fog közvetlen hozzáféréssel rendelkezni a Notification Hubshoz.
Biztonsági jogcímek
A többi entitáshoz hasonlóan a Notification Hub-műveletek három biztonsági jogcím esetében engedélyezettek: figyelés, küldés és kezelés.
| Jogcím | Leírás | Műveletek engedélyezettek |
|---|---|---|
| Figyelés | Önálló regisztrációk létrehozása/frissítése, olvasása és törlése | Regisztráció létrehozása/frissítése Regisztráció olvasása A leíró összes regisztrációjának olvasása Regisztráció törlése |
| Küldés | Üzenetek küldése a Notification Hubnak | Üzenet küldése |
| Kezelés | CRUD-k a Notification Hubson (beleértve a PNS hitelesítő adatainak és biztonsági kulcsainak frissítését), valamint a regisztrációk olvasása címkék alapján | Hubok létrehozása/frissítése/olvasása/törlése Regisztrációk olvasása címke szerint |
A Notification Hubs elfogadja a közvetlenül a központban konfigurált megosztott kulcsokkal létrehozott SAS-jogkivonatokat.
Egynél több névtérbe nem küldhető értesítés. A névterek a Notification Hubs logikai tárolói, és nem vesznek részt az értesítések küldésében.
A névtérszintű műveletekhez használja a névtérszintű hozzáférési szabályzatokat (hitelesítő adatokat); például: hubok listázása, központok létrehozása vagy törlése stb. Csak a központi szintű hozzáférési szabályzatok teszik lehetővé az értesítések küldését.
SAS-jogkivonatok hozzáférési szabályzatokhoz
Új biztonsági jogcím létrehozásához vagy a meglévő SAS-kulcsok megtekintéséhez tegye a következőket:
- Jelentkezzen be az Azure Portalra.
- Válassza a Minden erőforrás elemet.
- Válassza ki annak a Notification Hubnak a nevét, amelyhez létre szeretné hozni a jogcímet, vagy tekintse meg az SAS-kulcsot.
- A bal oldali menüben válassza a Hozzáférési szabályzatok lehetőséget.
- Új biztonsági jogcím létrehozásához válassza az Új házirend lehetőséget. Adjon nevet a szabályzatnak, és válassza ki a megadni kívánt engedélyeket. Ezután válassza az OK gombra.
- A teljes kapcsolati sztring (beleértve az új SAS-kulcsot) megjelenik az Access Policies ablakban. Ezt a sztringet később a vágólapra másolhatja.
Ha ki szeretné nyerni az SAS-kulcsot egy adott szabályzatból, válassza a kívánt SAS-kulcsot tartalmazó szabályzat melletti Másolás gombot. Illessze be ezt az értéket egy ideiglenes helyre, majd másolja a kapcsolati sztring SAS-kulcsrészét. Ez a példa egy Mytestnamespace1 nevű Notification Hubs-névteret és egy szabályzat2 nevű szabályzatot használ. Az SAS-kulcs a SharedAccessKey által megadott sztring végéhez közeli érték:
Endpoint=sb://mytestnamespace1.servicebus.windows.net/;SharedAccessKeyName=policy2;SharedAccessKey=<SAS key value here>
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: