Autorizzazione dell'accesso alle risorse di Griglia di eventi

  • Articolo

Griglia di eventi di Azure consente di controllare il livello di accesso assegnato a utenti diversi per eseguire varie operazioni di gestione, ad esempio sottoscrizioni di eventi di elenco, crearne di nuove e generare chiavi. Griglia di eventi usa il controllo degli accessi in base al ruolo di Azure (RBAC di Azure).

Tipi di operazione

Per un elenco di operazioni supportate da Griglia di eventi di Azure, eseguire il comando seguente dell'interfaccia della riga di comando di Azure:

az provider operation show --namespace Microsoft.EventGrid

Le operazioni seguenti restituiscono informazioni potenzialmente segrete, che vengono filtrate fuori dalle normali operazioni di lettura. È consigliabile limitare l'accesso a queste operazioni.

  • Microsoft.EventGrid/eventSubscriptions/getFullUrl/action
  • Microsoft.EventGrid/topics/listKeys/action
  • Microsoft.EventGrid/topics/regenerateKey/action

Ruoli predefiniti

Griglia di eventi fornisce i tre ruoli predefiniti seguenti.

Ruolo Descrizione
EventGrid EventSubscription Reader Consente di leggere le sottoscrizioni degli eventi di Griglia di eventi.
EventGrid EventSubscription Contributor Consente di gestire le operazioni delle sottoscrizioni di eventi di Griglia di eventi.
EventGrid Contributor Consente di creare e gestire le risorse di Griglia di eventi.
EventGrid Data Sender Consente di inviare gli eventi agli argomenti di Griglia di eventi.

I ruoli Di lettura sottoscrizione di Griglia di eventi e Collaboratore sottoscrizione griglia di eventi sono per la gestione delle sottoscrizioni di eventi. È importante quando si implementano domini eventi perché forniscono agli utenti le autorizzazioni necessarie per sottoscrivere gli argomenti nel dominio eventi. Questi ruoli sono finalizzati soprattutto alle sottoscrizioni di eventi e non concedono l'accesso per azioni come la creazione di argomenti.

Il ruolo Collaboratore Griglia di eventi consente di creare e gestire le risorse di Griglia di eventi.

Nota

Selezionare i collegamenti nella prima colonna per passare a un articolo che fornisce altri dettagli sul ruolo. Per istruzioni su come assegnare utenti o gruppi ai ruoli controllo degli accessi in base al ruolo, vedere questo articolo.

Ruoli personalizzati

Se è necessario specificare autorizzazioni diverse dai ruoli predefiniti, creare ruoli personalizzati.

Le seguenti sono definizioni di esempio del ruolo di Griglia di eventi che consentono agli utenti di eseguire diverse azioni. Questi ruoli personalizzati sono diversi dai ruoli predefiniti perché garantiscono un accesso più ampio rispetto alle sole sottoscrizioni di eventi.

EventGridReadOnlyRole.json: consente solo operazioni di sola lettura.

{
  "Name": "Event grid read only role",
  "Id": "7C0B6B59-A278-4B62-BA19-411B70753856",
  "IsCustom": true,
  "Description": "Event grid read only role",
  "Actions": [
    "Microsoft.EventGrid/*/read"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<Subscription Id>"
  ]
}

EventGridNoDeleteListKeysRole.json: consente le azioni di pubblicazione con restrizioni, ma non consente le azioni di eliminazione.

{
  "Name": "Event grid No Delete Listkeys role",
  "Id": "B9170838-5F9D-4103-A1DE-60496F7C9174",
  "IsCustom": true,
  "Description": "Event grid No Delete Listkeys role",
  "Actions": [
    "Microsoft.EventGrid/*/write",
    "Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
    "Microsoft.EventGrid/topics/listkeys/action",
    "Microsoft.EventGrid/topics/regenerateKey/action"
  ],
  "NotActions": [
    "Microsoft.EventGrid/*/delete"
  ],
  "AssignableScopes": [
    "/subscriptions/<Subscription id>"
  ]
}

EventGridContributorRole.json: consente tutte le azioni di Griglia di eventi.

{
  "Name": "Event grid contributor role",
  "Id": "4BA6FB33-2955-491B-A74F-53C9126C9514",
  "IsCustom": true,
  "Description": "Event grid contributor role",
  "Actions": [
    "Microsoft.EventGrid/*/write",
    "Microsoft.EventGrid/*/delete",
    "Microsoft.EventGrid/topics/listkeys/action",
    "Microsoft.EventGrid/topics/regenerateKey/action",
    "Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/<Subscription id>"
  ]
}

È possibile creare ruoli personalizzati con PowerShell, l'interfaccia della riga di comando di Azure e REST.

Crittografia dei dati inattivi

Tutti gli eventi o i dati scritti sul disco dal servizio Griglia di eventi vengono crittografati con una chiave gestita da Microsoft, per garantire che siano crittografati quando sono inattivi. Il periodo massimo di conservazione di eventi o dati è inoltre pari a 24 ore, in conformità ai criteri di ripetizione di Griglia di eventi. Griglia di eventi eliminerà automaticamente tutti gli eventi o i dati una volta trascorse 24 ore o il tempo impostato per la durata (TTL) dell'evento, a seconda dell'evento che si verifica per primo.

Autorizzazioni per le sottoscrizioni di eventi

Se si usa un gestore eventi che non è un WebHook, ad esempio, un hub eventi o un'archiviazione code, è necessario l'accesso in scrittura a tale risorsa. Questo controllo delle autorizzazioni impedisce che un utente non autorizzato invii eventi alla risorsa.

È necessaria l'autorizzazione Microsoft.EventGrid/EventSubscriptions/Write per la risorsa che è l'origine dell'evento. Questa autorizzazione è necessaria perché si sta scrivendo una nuova sottoscrizione nell'ambito della risorsa. La risorsa necessaria è diversa a seconda del fatto che si sottoscriva un argomento di sistema o un argomento personalizzato. Entrambi i tipi sono descritti in questa sezione.

Argomenti di sistema (entità di pubblicazione dei servizi di Azure)

Per gli argomenti di sistema, se non si è il proprietario o il collaboratore della risorsa di origine, è necessario disporre dell'autorizzazione per scrivere una nuova sottoscrizione di eventi nell'ambito della risorsa che pubblica l'evento. Il formato della risorsa è: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name}

Per sottoscrivere, ad esempio, un evento in un account di archiviazione denominato myacct, è necessaria l'autorizzazione Microsoft.EventGrid/EventSubscriptions/Write per: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.Storage/storageAccounts/myacct

Argomenti personalizzati

Per gli argomenti personalizzati, è necessaria l'autorizzazione per scrivere una nuova sottoscrizione di evento nell'ambito dell'argomento di Griglia di eventi. Il formato della risorsa è: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name}

Per sottoscrivere, ad esempio, un argomento personalizzato denominato mytopic, è necessaria l'autorizzazione Microsoft.EventGrid/EventSubscriptions/Write per: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.EventGrid/topics/mytopic

Passaggi successivi