다음을 통해 공유


Event Hubs 네임스페이스에 대한 요청에 필요한 최소 버전의 TLS(전송 계층 보안) 적용

클라이언트 애플리케이션과 Azure Event Hubs 네임스페이스 간의 통신은 TLS(전송 계층 보안)를 사용하여 암호화됩니다. TLS는 인터넷을 통해 클라이언트와 서비스 간에 개인 정보 보호 및 데이터 무결성을 보장하는 표준 암호화 프로토콜입니다. TLS에 대한 자세한 내용은 전송 계층 보안을 참조하세요.

Azure Event Hubs는 네임스페이스에 대한 특정 TLS 버전 선택을 지원합니다. 현재 Azure Event Hubs는 기본적으로 퍼블릭 엔드포인트에서 TLS 1.2를 사용하지만, 이전 버전과의 호환성을 위해 TLS 1.0 및 TLS 1.1이 계속 지원됩니다.

Azure Event Hubs 네임스페이스를 사용하면 클라이언트가 TLS 1.0 이상을 사용하여 데이터를 보내고 받을 수 있습니다. 보다 엄격한 보안 조치를 적용하기 위해 클라이언트가 최신 버전의 TLS를 사용하여 데이터를 보내고 받도록 Event Hubs 네임스페이스를 구성할 수 있습니다. Event Hubs 네임스페이스에 최소 버전의 TLS가 필요한 경우 이전 버전을 사용하여 수행한 요청은 실패합니다.

Important

Azure Event Hubs에 연결하는 서비스를 사용하는 경우 Event Hubs 네임스페이스에 필요한 최소 버전을 설정하기 전에 해당 서비스에서 적절한 버전의 TLS를 사용하여 Azure Event Hubs에 요청을 보내는지 확인합니다.

최소 버전의 TLS를 요구하는 데 필요한 권한

Event Hubs 네임스페이스에 대한 MinimumTlsVersion 속성을 설정하려면 사용자에게 Event Hubs 네임스페이스를 만들고 관리할 수 있는 권한이 있어야 합니다. 이러한 권한을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어) 역할에는 Microsoft.EventHub=/namespaces/write 또는 Microsoft.EventHub=/namespaces/* 작업이 포함됩니다. 이 작업이 포함된 기본 제공 역할은 다음과 같습니다.

사용자가 Event Hubs 네임스페이스에 대해 최소 버전의 TLS를 요구할 수 있도록 하려면 역할 할당 범위를 Event Hubs 네임스페이스 수준 이상으로 지정해야 합니다. 역할 범위에 대한 자세한 내용은 Azure RBAC의 범위 이해를 참조하세요.

이러한 역할은 Event Hubs 네임스페이스를 만들거나 해당 속성을 업데이트하는 기능이 필요한 사용자에게만 제한적으로 할당해야 합니다. 최소 권한의 원칙을 사용하여 사용자에게 작업을 수행하는 데 필요한 최소 권한을 부여합니다. Azure RBAC를 사용하여 액세스를 관리하는 방법에 대한 자세한 내용은 Azure RBAC 모범 사례를 참조하세요.

참고 항목

클래식 구독 관리자 역할인 서비스 관리자 및 공동 관리자에는 Azure Resource Manager 소유자 역할에 해당하는 항목이 포함됩니다. 소유자 역할은 모든 작업을 포함하므로 이러한 관리 역할 중 하나가 있는 사용자는 Event Hubs 네임스페이스를 만들고 관리할 수도 있습니다. 자세한 내용은 Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할을 참조하세요.

네트워크 고려 사항

클라이언트가 Event Hubs 네임스페이스에 요청을 보내면 클라이언트는 요청을 처리하기 전에 먼저 Event Hubs 네임스페이스 엔드포인트와의 연결을 설정합니다. 최소 TLS 버전 설정은 TLS 연결이 설정된 후에 확인됩니다. 요청에서 설정에 지정된 것보다 이전 버전의 TLS를 사용하는 경우 연결은 계속 성공하지만 결국 요청은 실패합니다.

참고 항목

Confluent 라이브러리의 제한으로 인해 Kafka 프로토콜을 통해 연결할 때 잘못된 TLS 버전에서 발생하는 오류가 나타나지 않습니다. 대신 일반 예외가 표시됩니다.

고려해야 할 몇 가지 중요한 사항은 다음과 같습니다.

  • 네트워크 추적은 사용된 TLS 버전이 구성된 최소 TLS 버전보다 작은 경우 401이 반환되기 전에 TCP 연결의 성공적인 설정 및 성공적인 TLS 협상을 보여줍니다.
  • 서비스가 이러한 모든 프로토콜을 계속 지원하므로 yournamespace.servicebus.windows.net의 침투 또는 엔드포인트 검색은 TLS 1.0, TLS 1.1 및 TLS 1.2에 대한 지원을 나타냅니다. 네임스페이스 수준에서 적용되는 최소 TLS 버전은 네임스페이스에서 지원할 가장 낮은 TLS 버전을 나타냅니다.

다음 단계

자세한 내용은 다음 설명서를 참조하세요.