Авторизация доступа к ресурсам Центров событий с помощью Azure Active Directory

Центры событий Azure поддерживают авторизацию запросов к ресурсам Центров событий с помощью Azure Active Directory (Azure AD). С помощью Azure AD вы можете использовать управление доступом на основе ролей (Azure RBAC) для предоставления разрешений субъекту безопасности, которым может быть пользователь, группа или субъект-служба приложения. Чтобы узнать больше о ролях и назначениях ролей, ознакомьтесь с общими сведениями о различных ролях.

Обзор

Когда субъект безопасности (пользователь или приложение) пытается получить доступ к ресурсу Центров событий, вам понадобится выполнить авторизацию запроса. В Azure AD доступ к ресурсу выполняется в два этапа.

  1. Сначала удостоверяется личность участника безопасности, и возвращается токен OAuth 2.0. Именем ресурса для запроса токена является https://eventhubs.azure.net/. Оно одинаково для всех облаков или клиентов. Для клиентов Kafka ресурсом для запроса токена является https://<namespace>.servicebus.windows.net.
  2. Затем токен передается как часть запроса к службе Центров событий для авторизации доступа к указанному ресурсу.

Для этапа аутентификации требуется, чтобы запрос от приложения содержал маркер доступа OAuth 2.0 в среде выполнения. Если приложение выполняется в сущности Azure, такой как виртуальная машина Azure, масштабируемый набор виртуальных машин или приложение-функция Azure, оно может использовать для доступа к ресурсам управляемое удостоверение. Чтобы узнать, как аутентифицировать запросы, создаваемые управляемым удостоверением к Центрам событий, см. статью Проверка подлинности доступа к ресурсам Центров событий Azure с помощью Azure Active Directory и управляемых удостоверений для ресурсов Azure.

На этапе авторизации субъекту безопасности необходимо назначить одну или несколько ролей Azure. Центры событий Azure предоставляют роли Azure, охватывающие наборы разрешений для ресурсов Центров событий. Роли, назначаемые субъекту безопасности, определяют доступные ему разрешения. Дополнительные сведения о ролях Azure см. в статье Встроенные роли Azure для службы "Центр событий Azure".

Собственные приложения и веб-приложения, которые отправляют запросы к Центрам событий, также могут авторизоваться с помощью Azure Active Directory. Сведения о том, как запросить маркер доступа и использовать его для авторизации запросов ресурсов Центров событий, см. в статье Аутентификация доступа к Центрам событий, используя в приложении Azure AD.

Назначение ролей Azure для предоставления прав доступа

Azure Active Directory (Azure AD) авторизует права доступа к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Центры событий Azure определяют набор встроенных ролей Azure, которые включают в себя общие наборы разрешений, используемых для доступа к концентраторам событий. Вы также можете определить настраиваемые роли для доступа к данным.

Если субъекту безопасности Azure AD назначена роль Azure, Azure предоставляет этому субъекту безопасности доступ к соответствующим ресурсам. Доступ может быть ограничен уровнем подписки, группой ресурсов, пространством имен концентраторов событий или любым ресурсом. Субъектом безопасности в Azure AD может быть пользователь, субъект-служба приложения или управляемое удостоверение службы для ресурсов Azure.

Встроенные роли Azure для Центров событий Azure

Azure предоставляет приведенные ниже встроенные роли Azure для авторизации доступа к данным Центров событий с использованием Azure AD и OAuth:

Роль Описание
Владелец данных Центров событий Azure Используйте эту роль, чтобы предоставить полный доступ к ресурсам Центров событий.
Отправитель данных Центров событий Azure Используйте эту роль, чтобы предоставить разрешения на отправку для ресурсов Центров событий.
Получатель данных Центров событий Azure Используйте эту роль, чтобы предоставить разрешения на использование или получение для ресурсов Центров событий.

Встроенные роли реестра схем см. в разделе Роли реестра схемы.

Область ресурса

Прежде чем назначить роль Azure субъекту безопасности, определите для него область доступа. Рекомендуется всегда предоставлять максимально узкие области.

В следующем списке описаны уровни, на которых вы можете ограничить доступ к ресурсам Центров событий, начиная с самой узкой области:

  • Группа потребителей. В этой области назначение ролей применяется только к этой сущности. Сейчас портал Azure не поддерживает назначение роли Azure субъекту безопасности на этом уровне.
  • Концентратор событий. Назначение ролей применяется к сущности Центра событий и группе потребителей, находящейся в нем.
  • Пространство имен. Назначение роли охватывает всю топологию Центров событий в пространстве имен и связанную с ним группу потребителей.
  • Группа ресурсов. Назначение ролей применяется ко всем ресурсам Центров событий в группе ресурсов.
  • Подписка. Назначение ролей применяется ко всем ресурсам Центров событий во всех группах ресурсов в подписке.

Примечание

  • Имейте в виду, что распространение назначенных ролей Azure может занять до пяти минут.
  • Это содержимое относится как к Центрам событий, так и к Центрам событий для Apache Kafka. Дополнительные сведения о поддержке Центров событий для Kafka см. в разделе Безопасность и проверка подлинности.

Дополнительные сведения об определении встроенных ролей см. в разделе Общие сведения об определениях ролей. Дополнительные сведения о создании настраиваемых ролей Azure см. в разделе Настраиваемые роли Azure.

Примеры

Дальнейшие действия

См. следующие статьи по этой теме: