Уведомления о ресурсах Azure в качестве источника Сетка событий Azure
Уведомления о ресурсах Azure (ARN) представляют передовые единые пабы или вложенные службы, обслуживаемые всеми ресурсами Azure. ARN касается разнообразных издателей, и это богатство данных теперь доступно через выделенные системные разделы ARN в Сетка событий Azure.
Ниже приведены основные преимущества:
- Комплексные полезные данные: уведомления, доставленные через ARN, охватывают всю полезные данные ресурса. Этот прямой доступ приводит к сокращению регулирования чтения, тем самым повышая общий интерфейс.
- Расширенные возможности фильтрации: доступность полезных данных открывает множество вариантов фильтрации. Используйте свойства в полезных данных для точной настройки потока уведомлений, адаптации его к определенным сценариям.
- Расширенный доступ к набору данных: ARN касается нескольких издателей, что позволяет предлагать наборы данных, которые могут быть недоступны через стандартные системные разделы.
- Надежная контроль доступа на основе ролей (RBAC): ARN укреплена с помощью надежной возможности RBAC. Эта функция позволяет настроить пользователей или субъектов-служб подписку исключительно на данные, для которых у них есть авторизация, в пределах их доступа.
RBAC для системных разделов ARN
Все события в системных разделах ARN создаются исключительно в области подписки Azure. Это означает, что сущность, создающая подписку на события для заданного типа раздела, получает уведомления о соответствующих событиях во всей подписке Azure. По соображениям безопасности крайне важно ограничить возможность создания подписок на события в этом разделе субъектам с доступом на чтение по всей подписке Azure.
На сегодняшний день вам потребуются следующие универсальные разрешения, предоставляемые Сеткой событий, для создания системных разделов и подписок на события.
microsoft.eventgrid/eventsubscription/write
microsoft.eventgrid/systemtopic/eventsubscriptions/write
Помимо этих разрешений, необходимо предоставить следующие разрешения пользователям или субъектам безопасности для доступа к системным разделам ARN. Для каждого типа раздела предоставляются отдельные разрешения, обеспечивая точный и специализированный доступ:
Тип раздела | Разрешение |
---|---|
HealthResources | Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action |
API управления ресурсами Azure | Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action |
Чтобы улучшить взаимодействие с клиентами, доступно встроенное определение ролей, которое включает все необходимые разрешения для получения данных через любой системный раздел ARN. Эта роль включает разрешения, назначенные сеткой событий для создания системного раздела и подписки на события. Это встроенное определение роли регулярно обновляется, чтобы включить дополнительные типы разделов, так как они становятся доступными через нашу службу. В результате пользователи, назначенные этой встроенной роли, автоматически получают доступ ко всем будущим типам разделов ARN. Вы можете использовать предоставленное встроенное определение роли или создать собственные пользовательские определения ролей для принудительного управления доступом.
Встроенное определение роли:
{
"assignableScopes": [
"/"
],
"description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
"name": "[guid]",
"permissions": [{
"actions": [
"Microsoft.EventGrid/eventSubscription/write",
"Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
"Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}],
"roleName": "Azure Resource Notifications System Topics Subscriber",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Свяжитесь с нами
Если у вас есть вопросы или отзывы об этой функции, не стесняйтесь обратиться к нам.arnsupport@microsoft.com
Дальнейшие действия
См. следующие статьи: