Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Event Grid umożliwia kontrolowanie poziomu dostępu różnych użytkowników dla różnych operacji zarządzania , takich jak wyświetlanie subskrypcji zdarzeń, tworzenie nowych i generowanie kluczy. Usługa Event Grid używa kontroli dostępu opartej na rolach platformy Azure (Azure RBAC).
Rodzaje operacji
Aby wyświetlić listę operacji obsługiwanych przez usługę Azure Event Grid, uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure:
az provider operation show --namespace Microsoft.EventGrid
Następujące operacje zwracają potencjalnie tajne informacje, które są filtrowane z normalnych operacji odczytu. Ogranicz dostęp do tych operacji.
- Microsoft.EventGrid/eventSubscriptions/getFullUrl/action
- Microsoft.EventGrid/topics/listKeys/action
- Microsoft.EventGrid/topics/regenerateKey/action
Wbudowane role
Usługa Event Grid udostępnia następujące trzy wbudowane role.
| Rola | opis |
|---|---|
EventGrid EventSubscription Reader |
Umożliwia odczytywanie subskrypcji zdarzeń usługi Event Grid. |
EventGrid EventSubscription Contributor |
Umożliwia zarządzanie operacjami subskrypcji zdarzeń usługi Event Grid. |
EventGrid Contributor |
Umożliwia tworzenie zasobów usługi Event Grid i zarządzanie nimi. |
EventGrid Data Sender |
Umożliwia wysyłanie zdarzeń do tematów usługi Event Grid. |
Role Czytelnik subskrypcji Event Grid i Współautor subskrypcji Event Grid są przeznaczone do zarządzania subskrypcjami zdarzeń. Są istotne podczas implementowania domen zdarzeń, ponieważ dają użytkownikom uprawnienia potrzebne do subskrybowania wątków w domenie zdarzeń. Te role koncentrują się na subskrypcjach zdarzeń i nie udzielają dostępu do działań, takich jak tworzenie wątków.
Rola Współautor usługi Event Grid umożliwia tworzenie zasobów usługi Event Grid i zarządzanie nimi.
Uwaga
Wybierz linki w pierwszej kolumnie, aby przejść do artykułu zawierającego więcej szczegółów na temat roli. Aby uzyskać instrukcje dotyczące przypisywania użytkowników lub grup do ról RBAC, zobacz ten artykuł.
Role niestandardowe
Jeśli musisz określić uprawnienia inne niż role wbudowane, utwórz role niestandardowe.
Poniższe przykładowe definicje ról usługi Event Grid przyznają użytkownikom różne uprawnienia. Te niestandardowe role różnią się od ról wbudowanych, ponieważ zapewniają szerszy dostęp niż tylko dostęp do subskrypcji zdarzeń.
- EventGridReadOnlyRole.json: przyznaje wyłącznie operacje do odczytu.
{
"Name": "Event grid read only role",
"Id": "7C0B6B59-A278-4B62-BA19-411B70753856",
"IsCustom": true,
"Description": "Event grid read only role",
"Actions": [
"Microsoft.EventGrid/*/read"
],
"NotActions": [
],
"AssignableScopes": [
"/subscriptions/<Subscription Id>"
]
}
- EventGridNoDeleteListKeysRole.json: udziela ograniczonych działań typu post, ale nie zezwala na akcje usuwania.
{
"Name": "Event grid No Delete Listkeys role",
"Id": "B9170838-5F9D-4103-A1DE-60496F7C9174",
"IsCustom": true,
"Description": "Event grid No Delete Listkeys role",
"Actions": [
"Microsoft.EventGrid/*/write",
"Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
"Microsoft.EventGrid/topics/listkeys/action",
"Microsoft.EventGrid/topics/regenerateKey/action"
],
"NotActions": [
"Microsoft.EventGrid/*/delete"
],
"AssignableScopes": [
"/subscriptions/<Subscription id>"
]
}
- EventGridContributorRole.json: Przyznaje wszystkie akcje w ramach usługi Event Grid.
{
"Name": "Event grid contributor role",
"Id": "4BA6FB33-2955-491B-A74F-53C9126C9514",
"IsCustom": true,
"Description": "Event grid contributor role",
"Actions": [
"Microsoft.EventGrid/*/write",
"Microsoft.EventGrid/*/delete",
"Microsoft.EventGrid/topics/listkeys/action",
"Microsoft.EventGrid/topics/regenerateKey/action",
"Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/<Subscription id>"
]
}
Role niestandardowe można tworzyć za pomocą programu PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu REST.
Szyfrowanie w spoczynku
Usługa Event Grid szyfruje wszystkie zdarzenia lub dane zapisywane na dysku przy użyciu klucza zarządzanego przez firmę Microsoft, zapewniając, że są szyfrowane w spoczynku. Ponadto maksymalny okres przechowywania zdarzeń lub danych wynosi 24 godziny zgodnie z zasadami ponawiania próby usługi Event Grid. Usługa Event Grid automatycznie usuwa wszystkie zdarzenia lub dane po 24 godzinach lub czas wygaśnięcia zdarzenia, w zależności od tego, która z tych wartości jest mniejsza.
Uprawnienia do subskrypcji zdarzeń
Jeśli używasz procedury obsługi zdarzeń, która nie jest procedurą WebHook (taką jak centrum zdarzeń lub magazyn kolejek), musisz mieć dostęp do zapisu do tego zasobu. Ta kontrola uprawnień uniemożliwia nieautoryzowanemu użytkownikowi wysyłanie zdarzeń do zasobu.
Musisz mieć uprawnienie Microsoft.EventGrid/EventSubscriptions/Write dla zasobu, który jest źródłem zdarzeń. Potrzebujesz tego uprawnienia, ponieważ piszesz nową subskrypcję w zakresie zasobu. Wymagany zasób różni się w zależności od tego, czy subskrybujesz temat systemowy, czy temat niestandardowy. Oba typy opisano w tej sekcji.
Tematy systemowe (wydawcy usług platformy Azure)
W przypadku tematów systemowych, jeśli nie jesteś właścicielem lub współautorem zasobu źródłowego, musisz mieć uprawnienia do zapisu nowej subskrypcji zdarzeń w zakresie zasobu, który publikuje zdarzenie. Format tego zasobu to: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name}
Aby na przykład zasubskrybować zdarzenie na koncie magazynu o nazwie myacct, potrzebujesz uprawnienia Microsoft.EventGrid/EventSubscriptions/Write na: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.Storage/storageAccounts/myacct
Tematy niestandardowe
W przypadku tematów niestandardowych musisz mieć uprawnienia do pisania nowej subskrypcji zdarzeń w zakresie tematu usługi Event Grid. Format tego zasobu to: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name}
Aby na przykład zasubskrybować temat niestandardowy o nazwie mytopic, potrzebne jest uprawnienie Microsoft.EventGrid/EventSubscriptions/Write: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.EventGrid/topics/mytopic
Powiązana zawartość
- Aby zapoznać się z wprowadzeniem do usługi Event Grid, zobacz Wprowadzenie do usługi Azure Event Grid.