Condividi tramite


Notifiche delle risorse di Azure come origine di Griglia di eventi di Azure

Le notifiche delle risorse di Azure (ARN) rappresentano il servizio pub/sub unificato all'avanguardia per tutte le risorse di Azure. ARN sfrutta una vasta gamma di editori e questa ricchezza di dati è ora accessibile tramite gli argomenti di sistema dedicati di ARN in Griglia di eventi di Azure.

Ecco i vantaggi principali:

  • Payload completi: le notifiche recapitate tramite ARN includono l'intero payload della risorsa. Questo accesso diretto comporta una riduzione della limitazione delle richieste di lettura, migliorando così l'esperienza complessiva.
  • Funzionalità di filtro avanzate: la disponibilità dei payload apre un'ampia gamma di opzioni di filtro. Usare le proprietà all'interno del payload per ottimizzare il flusso di notifiche, adattandolo agli scenari specifici.
  • Accesso al set di dati espanso: ARN tocca più server di pubblicazione, consentendogli di offrire set di dati che potrebbero non essere accessibili tramite gli argomenti di sistema standard.
  • Controllo degli accessi in base al ruolo (RBAC) affidabile: ARN è fortificato con una solida funzionalità di controllo degli accessi in base al ruolo. Questa funzionalità consente di configurare utenti o entità servizio per sottoscrivere esclusivamente i dati per cui dispongono dell'autorizzazione, nell'ambito dell'accesso.

Argomenti relativi al controllo degli accessi in base al ruolo per il sistema ARN

Tutti gli eventi inclusi negli argomenti del sistema ARN vengono generati esclusivamente nell'ambito della sottoscrizione di Azure. Implica che l'entità che crea la sottoscrizione di eventi per un determinato tipo di argomento riceve notifiche per gli eventi corrispondenti nell'intera sottoscrizione di Azure. Per motivi di sicurezza, è fondamentale limitare la possibilità di creare sottoscrizioni di eventi in questo argomento alle entità con accesso in lettura nell'intera sottoscrizione di Azure.

A partire da oggi, sono necessarie le autorizzazioni generiche seguenti fornite da Griglia di eventi per creare argomenti di sistema e sottoscrizioni di eventi.

  • microsoft.eventgrid/eventsubscription/write
  • microsoft.eventgrid/systemtopic/eventsubscriptions/write

Oltre a queste autorizzazioni, è necessario concedere le autorizzazioni seguenti agli utenti o alle entità di sicurezza per l'accesso agli argomenti di sistema ARN. Per ogni tipo di argomento vengono esposte autorizzazioni distinte, garantendo un accesso preciso e personalizzato:

Tipo di argomento Autorizzazione
HealthResources Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Gestione delle risorse di Azure Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action

Per migliorare l'esperienza dei clienti, è disponibile una definizione di ruolo predefinita che include tutte le autorizzazioni necessarie per la ricezione dei dati tramite qualsiasi argomento del sistema ARN. Questo ruolo include le autorizzazioni richieste da Griglia di eventi per la creazione dell'argomento di sistema e della sottoscrizione di eventi. Questa definizione di ruolo predefinita viene aggiornata regolarmente per incorporare più tipi di argomento man mano che diventano accessibili tramite il servizio. Di conseguenza, gli utenti assegnati a questo ruolo predefinito ottiene automaticamente l'accesso a tutti i futuri tipi di argomenti ARN. È possibile scegliere di usare la definizione del ruolo predefinita fornita o creare definizioni di ruolo personalizzate per applicare il controllo di accesso.

Definizione di ruolo predefinita:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Contatti

In caso di domande o commenti riguardo questa funzionalità, contattarci all'indirizzo arnsupport@microsoft.com.

Passaggi successivi

Fai riferimento ai seguenti articoli: