Обзор уведомлений о ресурсах Azure

Уведомления о ресурсах Azure (ARN) представляют передовые единые пабы или вложенные службы, обслуживаемые всеми ресурсами Azure. ARN касается разнообразных издателей, и это богатство данных теперь доступно через выделенные системные разделы ARN в Сетка событий Azure.

Ниже приведены основные преимущества:

• Комплексные полезные данные: уведомления, доставленные через ARN, охватывают всю полезные данные ресурса. Этот прямой доступ приводит к сокращению регулирования чтения, тем самым повышая общий интерфейс.
• Расширенные возможности фильтрации: доступность полезных данных открывает множество вариантов фильтрации. Используйте свойства в полезных данных для точной настройки потока уведомлений, адаптации его к определенным сценариям.
• Расширенный доступ к набору данных: ARN касается нескольких издателей, что позволяет предлагать наборы данных, которые могут быть недоступны через стандартные системные разделы.
• Надежная контроль доступа на основе ролей (RBAC): ARN укреплена с помощью надежной возможности RBAC. Эта функция позволяет настроить пользователей или субъектов-служб подписку исключительно на данные, для которых они имеют авторизацию, в область доступа.

RBAC для системных разделов ARN

Все события в системных разделах ARN создаются исключительно в область подписки Azure. Это означает, что сущность, создающая подписку на события для заданного типа раздела, получает уведомления о соответствующих событиях во всей подписке Azure. По соображениям безопасности крайне важно ограничить возможность создания подписок на события в этом разделе субъектам с доступом на чтение по всей подписке Azure.

На сегодняшний день вам потребуются следующие универсальные разрешения, предоставляемые Сеткой событий, для создания системных разделов и подписок на события.

• microsoft.eventgrid/eventsubscription/write
• microsoft.eventgrid/systemtopic/eventsubscriptions/write

Помимо этих разрешений, необходимо предоставить следующие разрешения пользователям или субъектам безопасности для доступа к системным разделам ARN. Для каждого типа раздела предоставляются отдельные разрешения, обеспечивая точный и специализированный доступ:

Тип раздела	Разрешение
HealthResources	Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
API управления ресурсами Azure	Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action

Чтобы улучшить взаимодействие с клиентами, доступно встроенное определение ролей, которое включает все необходимые разрешения для получения данных через любой системный раздел ARN. Эта роль включает разрешения, назначенные сеткой событий для создания системного раздела и подписки на события. Это встроенное определение роли регулярно обновляется, чтобы включить дополнительные типы разделов, так как они становятся доступными через нашу службу. В результате пользователи, назначенные этой встроенной роли, автоматически получают доступ ко всем будущим типам разделов ARN. Вы можете использовать предоставленное встроенное определение роли или создать собственные пользовательские определения ролей для принудительного управления доступом.

Встроенное определение роли:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Свяжитесь с нами

Если у вас есть вопросы или отзывы об этой функции, не стесняйтесь обратиться к нам.arnsupport@microsoft.com

Дальнейшие действия

См. следующие статьи:

• Уведомления о ресурсах Azure — события ресурсов работоспособности в Сетка событий Azure.
• Уведомления о ресурсах Azure — события Azure Resource Manager в Сетка событий Azure.