Entrega de eventos com uma identidade gerenciada

  • Artigo

Este artigo descreve como usar uma identidade de serviço gerenciado para um tópico do sistema de Grade de Eventos do Azure, tópico personalizado ou domínio. Use-o para encaminhar eventos para destinos suportados, como filas e tópicos do Service Bus, hubs de eventos e contas de armazenamento.

Pré-requisitos

  1. Atribua uma identidade atribuída pelo sistema ou uma identidade atribuída pelo usuário a um tópico do sistema, um tópico personalizado ou um domínio.

  2. Adicione a identidade a uma função apropriada (por exemplo, Remetente de Dados do Barramento de Serviço) no destino (por exemplo, uma fila do Barramento de Serviço). Para obter etapas detalhadas, consulte Adicionar identidade a funções do Azure em destinos

    Nota

    Atualmente, não é possível entregar eventos usando pontos de extremidade privados. Para obter mais informações, consulte a seção Pontos de extremidade privados no final deste artigo.

Criar subscrições de eventos que utilizam uma identidade

Depois de ter um tópico personalizado da Grade de Eventos ou tópico do sistema ou domínio com uma identidade gerenciada e ter adicionado a identidade à função apropriada no destino, você estará pronto para criar assinaturas que usem a identidade.

Utilizar o portal do Azure

Ao criar uma assinatura de evento, você vê uma opção para habilitar o uso de uma identidade atribuída pelo sistema ou pelo usuário para um ponto de extremidade na seção DETALHES DO PONTO DE EXTREMIDADE.

Veja um exemplo de como habilitar a identidade atribuída ao sistema ao criar uma assinatura de evento com uma fila do Service Bus como destino.

Screenshot that shows how to enable an identity when creating an event subscription for a Service Bus queue.

Você também pode habilitar o uso de uma identidade atribuída pelo sistema para ser usada para letras mortas na guia Recursos Adicionais.

Screenshot that shows how to enable a system-assigned identity for dead-lettering.

Você pode habilitar uma identidade gerenciada em uma assinatura de evento depois que ela for criada. Na página Assinatura de Evento da assinatura do evento, alterne para a guia Recursos Adicionais para ver a opção. Você também pode habilitar a identidade para letras mortas nesta página.

Screenshot that shows how to enable a system-assigned identity on an existing event subscription.

Se você tiver habilitado identidades atribuídas pelo usuário para o tópico, verá a opção de identidade atribuída pelo usuário habilitada na lista suspensa para Tipo de identidade manejada. Se você selecionar Usuário Atribuído para Tipo de Identidade Gerenciada, poderá selecionar a identidade atribuída pelo usuário que deseja usar para entregar eventos.

Screenshot that shows how to enable a user-assigned identity on an event subscription.

Usar a CLI do Azure - fila do Barramento de Serviço

Nesta seção, você aprenderá a usar a CLI do Azure para habilitar o uso de uma identidade atribuída ao sistema para entregar eventos a uma fila do Service Bus. A identidade deve ser um membro da função Remetente de Dados do Barramento de Serviço do Azure. Ele também deve ser membro da função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento usada para letras mortas.

Definir variáveis

Primeiro, especifique valores para as seguintes variáveis a serem usadas no comando CLI.

subid="<AZURE SUBSCRIPTION ID>"
rg = "<RESOURCE GROUP of EVENT GRID CUSTOM TOPIC>"
topicname = "<EVENT GRID TOPIC NAME>"

# get the service bus queue resource id
queueid=$(az servicebus queue show --namespace-name <SERVICE BUS NAMESPACE NAME> --name <QUEUE NAME> --resource-group <RESOURCE GROUP NAME> --query id --output tsv)
sb_esname = "<Specify a name for the event subscription>"

Criar uma assinatura de evento usando uma identidade gerenciada para entrega

Este comando de exemplo cria uma assinatura de evento para um tópico personalizado da Grade de Eventos com um tipo de ponto de extremidade definido como fila do Barramento de Serviço.

az eventgrid event-subscription create  
    --source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
    --delivery-identity-endpoint-type servicebusqueue  
    --delivery-identity systemassigned 
    --delivery-identity-endpoint $queueid
    -n $sb_esname

Criar uma assinatura de evento usando uma identidade gerenciada para entrega e letras mortas

Este comando de exemplo cria uma assinatura de evento para um tópico personalizado da Grade de Eventos com um tipo de ponto de extremidade definido como fila do Barramento de Serviço. Ele também especifica que a identidade gerenciada pelo sistema deve ser usada para letras mortas.

storageid=$(az storage account show --name demoStorage --resource-group gridResourceGroup --query id --output tsv)
deadletterendpoint="$storageid/blobServices/default/containers/<BLOB CONTAINER NAME>"

az eventgrid event-subscription create  
    --source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname 
    --delivery-identity-endpoint-type servicebusqueue
    --delivery-identity systemassigned 
    --delivery-identity-endpoint $queueid
    --deadletter-identity-endpoint $deadletterendpoint 
    --deadletter-identity systemassigned 
    -n $sb_esnameq

Usar a CLI do Azure - Hubs de Eventos

Nesta seção, você aprenderá a usar a CLI do Azure para habilitar o uso de uma identidade atribuída pelo sistema para entregar eventos a um hub de eventos. A identidade deve ser membro da função Remetente de Dados dos Hubs de Eventos do Azure. Ele também deve ser membro da função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento usada para letras mortas.

Definir variáveis

subid="<AZURE SUBSCRIPTION ID>"
rg = "<RESOURCE GROUP of EVENT GRID CUSTOM TOPIC>"
topicname = "<EVENT GRID CUSTOM TOPIC NAME>"

hubid=$(az eventhubs eventhub show --name <EVENT HUB NAME> --namespace-name <NAMESPACE NAME> --resource-group <RESOURCE GROUP NAME> --query id --output tsv)
eh_esname = "<SPECIFY EVENT SUBSCRIPTION NAME>"

Criar uma assinatura de evento usando uma identidade gerenciada para entrega

Este comando de exemplo cria uma assinatura de evento para um tópico personalizado da Grade de Eventos com um tipo de ponto de extremidade definido como Hubs de Eventos.

az eventgrid event-subscription create  
    --source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname 
    --delivery-identity-endpoint-type eventhub 
    --delivery-identity systemassigned 
    --delivery-identity-endpoint $hubid
    -n $sbq_esname

Criar uma assinatura de evento usando uma identidade gerenciada para entrega + deadletter

Este comando de exemplo cria uma assinatura de evento para um tópico personalizado da Grade de Eventos com um tipo de ponto de extremidade definido como Hubs de Eventos. Ele também especifica que a identidade gerenciada pelo sistema deve ser usada para letras mortas.

storageid=$(az storage account show --name demoStorage --resource-group gridResourceGroup --query id --output tsv)
deadletterendpoint="$storageid/blobServices/default/containers/<BLOB CONTAINER NAME>"

az eventgrid event-subscription create
    --source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname 
    --delivery-identity-endpoint-type servicebusqueue  
    --delivery-identity systemassigned 
    --delivery-identity-endpoint $hubid
    --deadletter-identity-endpoint $eh_deadletterendpoint
    --deadletter-identity systemassigned 
    -n $eh_esname

Usar a CLI do Azure - fila de armazenamento do Azure

Nesta seção, você aprenderá a usar a CLI do Azure para habilitar o uso de uma identidade atribuída pelo sistema para entregar eventos a uma fila de Armazenamento do Azure. A identidade deve ser membro da função Remetente de Mensagem de Dados da Fila de Armazenamento na conta de armazenamento. Ele também deve ser membro da função de Colaborador de Dados de Blob de Armazenamento na conta de armazenamento usada para letras mortas.

Definir variáveis

subid="<AZURE SUBSCRIPTION ID>"
rg = "<RESOURCE GROUP of EVENT GRID CUSTOM TOPIC>"
topicname = "<EVENT GRID CUSTOM TOPIC NAME>"

# get the storage account resource id
storageid=$(az storage account show --name <STORAGE ACCOUNT NAME> --resource-group <RESOURCE GROUP NAME> --query id --output tsv)

# build the resource id for the queue
queueid="$storageid/queueservices/default/queues/<QUEUE NAME>" 

sa_esname = "<SPECIFY EVENT SUBSCRIPTION NAME>"

Criar uma assinatura de evento usando uma identidade gerenciada para entrega

az eventgrid event-subscription create 
    --source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname 
    --delivery-identity-endpoint-type storagequeue  
    --delivery-identity systemassigned 
    --delivery-identity-endpoint $queueid
    -n $sa_esname

Criar uma assinatura de evento usando uma identidade gerenciada para entrega + deadletter

storageid=$(az storage account show --name demoStorage --resource-group gridResourceGroup --query id --output tsv)
deadletterendpoint="$storageid/blobServices/default/containers/<BLOB CONTAINER NAME>"

az eventgrid event-subscription create  
    --source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname 
    --delivery-identity-endpoint-type storagequeue  
    --delivery-identity systemassigned 
    --delivery-identity-endpoint $queueid
    --deadletter-identity-endpoint $deadletterendpoint 
    --deadletter-identity systemassigned 
    -n $sa_esname

Pontos finais privados

Atualmente, não é possível entregar eventos usando pontos de extremidade privados. Ou seja, não há suporte se você tiver requisitos rígidos de isolamento de rede em que o tráfego de eventos entregues não deve sair do espaço IP privado.

No entanto, se seus requisitos exigirem uma maneira segura de enviar eventos usando um canal criptografado e uma identidade conhecida do remetente (neste caso, Grade de Eventos) usando espaço IP público, você poderá entregar eventos para Hubs de Eventos, Service Bus ou serviço de Armazenamento do Azure usando um tópico personalizado da Grade de Eventos do Azure ou um domínio com uma identidade gerenciada, conforme mostrado neste artigo. Em seguida, você pode usar um link privado configurado no Azure Functions ou seu webhook implantado em sua rede virtual para extrair eventos. Consulte o tutorial: Conectar-se a pontos de extremidade privados com o Azure Functions.

Nessa configuração, o tráfego passa pelo IP/internet público da Grade de Eventos para Hubs de Eventos, Barramento de Serviço ou Armazenamento do Azure, mas o canal pode ser criptografado e uma identidade gerenciada da Grade de Eventos é usada. Se você configurar suas Funções do Azure ou webhook implantado em sua rede virtual para usar Hubs de Eventos, Barramento de Serviço ou Armazenamento do Azure por meio de link privado, essa seção do tráfego evidentemente permanecerá no Azure.

Próximos passos

Para saber mais sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos do Azure.