Toegang tot Event Grid-resources autoriseren

Met Azure Event Grid kunt u het toegangsniveau beheren dat aan verschillende gebruikers wordt gegeven om verschillende beheerbewerkingen uit te voeren, zoals het weergeven van gebeurtenisabonnementen, het maken van nieuwe en het genereren van sleutels. Event Grid maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Bewerkingstypen

Voer de volgende Azure CLI-opdracht uit voor een lijst met bewerkingen die worden ondersteund door Azure Event Grid:

az provider operation show --namespace Microsoft.EventGrid

De volgende bewerkingen retourneren mogelijk geheime informatie, die wordt gefilterd op normale leesbewerkingen. U wordt aangeraden de toegang tot deze bewerkingen te beperken.

  • Microsoft.EventGrid/eventSubscriptions/getFullUrl/action
  • Microsoft.EventGrid/topics/listKeys/action
  • Microsoft.EventGrid/topics/regenerateKey/action

Ingebouwde rollen

Event Grid biedt de volgende drie ingebouwde rollen.

Rol Beschrijving
EventGrid EventSubscription Reader Hiermee kunt u Event Grid-gebeurtenisabonnementen lezen.
EventGrid EventSubscription Contributor Hiermee kunt u gebeurtenisabonnementbewerkingen voor Event Grid beheren.
EventGrid Contributor Hiermee kunt u Event Grid-resources maken en beheren.
EventGrid Data Sender Hiermee kunt u gebeurtenissen verzenden naar Event Grid-onderwerpen.

De rollen Event Grid Subscription Reader en Event Grid Subscription Contributor zijn bedoeld voor het beheren van gebeurtenisabonnementen. Ze zijn belangrijk bij het implementeren van gebeurtenisdomeinen , omdat ze gebruikers de machtigingen geven die ze nodig hebben om zich te abonneren op onderwerpen in uw gebeurtenisdomein. Deze rollen zijn gericht op gebeurtenisabonnementen en verlenen geen toegang voor acties zoals het maken van onderwerpen.

Met de rol Event Grid-inzender kunt u Event Grid-resources maken en beheren.

Notitie

Selecteer koppelingen in de eerste kolom om naar een artikel te gaan waarin meer informatie over de rol wordt weergegeven. Zie dit artikel voor instructies over het toewijzen van gebruikers of groepen aan RBAC-rollen.

Aangepaste rollen

Als u machtigingen wilt opgeven die afwijken van de ingebouwde rollen, maakt u aangepaste rollen.

Hier volgen voorbeelden van Event Grid-roldefinities waarmee gebruikers verschillende acties kunnen uitvoeren. Deze aangepaste rollen verschillen van de ingebouwde rollen omdat ze bredere toegang verlenen dan alleen gebeurtenisabonnementen.

EventGridReadOnlyRole.json: Alleen bewerkingen met het kenmerk Alleen-lezen toestaan.

{
  "Name": "Event grid read only role",
  "Id": "7C0B6B59-A278-4B62-BA19-411B70753856",
  "IsCustom": true,
  "Description": "Event grid read only role",
  "Actions": [
    "Microsoft.EventGrid/*/read"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<Subscription Id>"
  ]
}

EventGridNoDeleteListKeysRole.json: Beperkte postacties toestaan, maar verwijderacties niet toestaan.

{
  "Name": "Event grid No Delete Listkeys role",
  "Id": "B9170838-5F9D-4103-A1DE-60496F7C9174",
  "IsCustom": true,
  "Description": "Event grid No Delete Listkeys role",
  "Actions": [
    "Microsoft.EventGrid/*/write",
    "Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
    "Microsoft.EventGrid/topics/listkeys/action",
    "Microsoft.EventGrid/topics/regenerateKey/action"
  ],
  "NotActions": [
    "Microsoft.EventGrid/*/delete"
  ],
  "AssignableScopes": [
    "/subscriptions/<Subscription id>"
  ]
}

EventGridContributorRole.json: hiermee staat u alle Event Grid-acties toe.

{
  "Name": "Event grid contributor role",
  "Id": "4BA6FB33-2955-491B-A74F-53C9126C9514",
  "IsCustom": true,
  "Description": "Event grid contributor role",
  "Actions": [
    "Microsoft.EventGrid/*/write",
    "Microsoft.EventGrid/*/delete",
    "Microsoft.EventGrid/topics/listkeys/action",
    "Microsoft.EventGrid/topics/regenerateKey/action",
    "Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
  ],
  "NotActions": [],
  "AssignableScopes": [
    "/subscriptions/<Subscription id>"
  ]
}

U kunt aangepaste rollen maken met PowerShell, Azure CLI en REST.

Versleuteling 'at rest'

Alle gebeurtenissen of gegevens die door de Event Grid-service naar de schijf worden geschreven, worden versleuteld door een door Microsoft beheerde sleutel om ervoor te zorgen dat deze at-rest worden versleuteld. Daarnaast is de maximale periode die gebeurtenissen of gegevens worden bewaard 24 uur in overeenstemming met het beleid voor opnieuw proberen van Event Grid. Event Grid verwijdert automatisch alle gebeurtenissen of gegevens na 24 uur of de time-to-live van de gebeurtenis, afhankelijk van wat minder is.

Machtigingen voor gebeurtenisabonnementen

Als u een gebeurtenishandler gebruikt die geen WebHook is (zoals een Event Hub of Queue Storage), hebt u schrijftoegang tot die resource nodig. Met deze machtigingscontrole voorkomt u dat een onbevoegde gebruiker gebeurtenissen naar uw resource verzendt.

U moet beschikken over de machtiging Microsoft.EventGrid/EventSubscriptions/Write voor de resource die de gebeurtenisbron is. U hebt deze machtiging nodig omdat u een nieuw abonnement op het bereik van de resource schrijft. De vereiste resource verschilt afhankelijk van of u zich abonneert op een systeemonderwerp of aangepast onderwerp. Beide typen worden in deze sectie beschreven.

Systeemonderwerpen (Uitgevers van Azure-services)

Als u niet de eigenaar of inzender van de bronresource bent voor systeemonderwerpen, moet u toestemming hebben om een nieuw gebeurtenisabonnement te schrijven op het bereik van de resource die de gebeurtenis publiceert. De indeling van de resource is: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name}

Als u zich bijvoorbeeld wilt abonneren op een gebeurtenis in een opslagaccount met de naam myacct, hebt u de machtiging Microsoft.EventGrid/EventSubscriptions/Write nodig voor: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.Storage/storageAccounts/myacct

Aangepaste onderwerpen

Voor aangepaste onderwerpen hebt u toestemming nodig om een nieuw gebeurtenisabonnement te schrijven binnen het bereik van het Event Grid-onderwerp. De indeling van de resource is: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name}

Als u zich bijvoorbeeld wilt abonneren op een aangepast onderwerp met de naam mytopic, hebt u de machtiging Microsoft.EventGrid/EventSubscriptions/Write nodig voor: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.EventGrid/topics/mytopic

Volgende stappen

  • Zie Over Event Grid voor een inleiding tot Event Grid