Microsoft Entra ID kullanarak Event Hubs kaynaklarına erişimi yetkilendirme
Azure Event Hubs, Event Hubs kaynaklarına yönelik istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını destekler. Microsoft Entra Id ile Azure rol tabanlı erişim denetimini (RBAC) kullanarak bir kullanıcı veya uygulama hizmet sorumlusu olabilecek bir güvenlik sorumlusuna izin vekleyebilirsiniz. Roller ve rol atamaları hakkında daha fazla bilgi edinmek için bkz . Farklı rolleri anlama.
Genel bakış
Bir güvenlik sorumlusu (kullanıcı veya uygulama) bir Event Hubs kaynağına erişmeye çalıştığında, isteğin yetkilendirilmiş olması gerekir. Microsoft Entra Id ile kaynağa erişim iki adımlı bir işlemdir.
- İlk olarak, güvenlik sorumlusunun kimliği doğrulanır ve bir OAuth 2.0 belirteci döndürülür. Belirteç istemek için kaynak adı şeklindedir
https://eventhubs.azure.net/ve tüm bulutlar/kiracılar için aynıdır. Kafka istemcileri için belirteç istemek için kaynak olurhttps://<namespace>.servicebus.windows.net. - Ardından belirteç, belirtilen kaynağa erişim yetkisi vermek için Event Hubs hizmetine yapılan bir isteğin parçası olarak geçirilir.
Kimlik doğrulama adımı, bir uygulama isteğinin çalışma zamanında bir OAuth 2.0 erişim belirteci içermesini gerektirir. Bir uygulama Azure VM, sanal makine ölçek kümesi veya Azure İşlevi uygulaması gibi bir Azure varlığında çalışıyorsa, kaynaklara erişmek için yönetilen kimlik kullanabilir. Yönetilen kimlik tarafından Event Hubs hizmetine yapılan isteklerin kimliğini doğrulamayı öğrenmek için bkz . Microsoft Entra Id ve Azure Kaynakları için yönetilen kimliklerle Azure Event Hubs kaynaklarına erişimin kimliğini doğrulama.
Yetkilendirme adımı için güvenlik sorumlusuna bir veya daha fazla Azure rolü atanmalıdır. Azure Event Hubs, Event Hubs kaynakları için izin kümelerini kapsayan Azure rolleri sağlar. Güvenlik sorumlusuna atanan roller, sorumlunun sahip olacağı izinleri belirler. Azure rolleri hakkında daha fazla bilgi için bkz . Azure Event Hubs için Azure yerleşik rolleri.
Event Hubs'a istekte bulunan yerel uygulamalar ve web uygulamaları da Microsoft Entra Id ile yetkilendirilebilir. Bir erişim belirtecinin nasıl istendiğini ve Event Hubs kaynaklarına yönelik istekleri yetkilendirmek için nasıl kullanılacağını öğrenmek için bkz . Bir uygulamadan Microsoft Entra Kimliği ile Azure Event Hubs'a erişimin kimliğini doğrulama.
Erişim hakları için Azure rolleri atama
Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Event Hubs, olay hub'ı verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar ve verilere erişmek için özel roller de tanımlayabilirsiniz.
Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Erişimin kapsamı abonelik düzeyi, kaynak grubu, Event Hubs ad alanı veya altındaki herhangi bir kaynak olabilir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, uygulama hizmet sorumlusu ya da Azure kaynakları için yönetilen kimlik olabilir.
Azure Event Hubs için Azure yerleşik rolleri
Azure, Microsoft Entra ID ve OAuth kullanarak Event Hubs verilerine erişim yetkisi vermek için aşağıdaki Azure yerleşik rollerini sağlar:
| Rol | Açıklama |
|---|---|
| Azure Event Hubs Veri sahibi | Event Hubs kaynaklarına tam erişim vermek için bu rolü kullanın. |
| Azure Event Hubs Veri göndereni | Event Hubs kaynaklarına gönderme erişimi vermek için bu rolü kullanın. |
| Azure Event Hubs Veri alıcısı | Event Hubs kaynaklarına tüketen/alan erişim vermek için bu rolü kullanın. |
Şema Kayıt Defteri yerleşik rolleri için bkz . Şema Kayıt Defteri rolleri.
Kaynak kapsamı
Güvenlik sorumlusuna Azure rolü atamadan önce, güvenlik sorumlusunun sahip olması gereken erişim kapsamını belirleyin. En iyi yöntemler, yalnızca mümkün olan en dar kapsamı vermenin her zaman en iyi yöntem olduğunu belirler.
Aşağıdaki listede, en dar kapsamla başlayarak Event Hubs kaynaklarına erişimi kapsam olarak kullanabileceğiniz düzeyler açıklanmaktadır:
- Tüketici grubu: Bu kapsamda rol ataması yalnızca bu varlığa uygulanır. Azure portalı şu anda bu düzeyde bir güvenlik sorumlusuna Azure rolü atamayı desteklememektedir.
- Olay hub'ı: Rol ataması olay hub'ları ve bunların tüketici grupları için geçerlidir.
- Ad Alanı: Rol ataması, Event Hubs'ın ad alanı altındaki topolojisinin tamamını ve onunla ilişkili tüketici grubunu kapsar.
- Kaynak grubu: Rol ataması, kaynak grubu altındaki tüm Event Hubs kaynaklarına uygulanır.
- Abonelik: Rol ataması, abonelikteki tüm kaynak gruplarındaki tüm Event Hubs kaynaklarına uygulanır.
Not
- Azure rol atamalarının yayılması beş dakika kadar sürebilir.
- Bu içerik hem Event Hubs hem de Apache Kafka için Event Hubs için geçerlidir. Kafka için Event Hubs desteği hakkında daha fazla bilgi için bkz . Kafka için Event Hubs - güvenlik ve kimlik doğrulaması.
Yerleşik rollerin nasıl tanımlandığı hakkında daha fazla bilgi için bkz . Rol tanımlarını anlama. Azure özel rolleri oluşturma hakkında bilgi için bkz . Azure özel rolleri.
Örnekler
Microsoft.Azure.EventHubs örnekleri.
Bu örnekler eski Microsoft.Azure.EventHubs kitaplığını kullanır, ancak en son Azure.Messaging.EventHubs kitaplığını kullanarak kolayca güncelleştirebilirsiniz. Örneği eski kitaplığı kullanmaktan yeni bir kitaplığa taşımak için bkz . Microsoft.Azure.EventHubs'tan Azure.Messaging.EventHubs'a geçiş kılavuzu.
Azure.Messaging.EventHubs örnekleri
Bu örnek, en son Azure.Messaging.EventHubs kitaplığını kullanacak şekilde güncelleştirildi.
İlgili içerik
- Güvenlik sorumlusuna Azure yerleşik rolünü atamayı öğrenin. Bkz . Microsoft Entra Id kullanarak Event Hubs kaynaklarına erişimin kimliğini doğrulama.
- Azure RBAC ile özel roller oluşturmayı öğrenin.
- MICROSOFT Entra Id'yi EH ile kullanmayı öğrenin
Aşağıdaki ilgili makalelere bakın:
- Microsoft Entra Id kullanarak bir uygulamadan Azure Event Hubs'a yönelik isteklerin kimliğini doğrulama
- Event Hubs Kaynaklarına erişmek için Microsoft Entra Id ile yönetilen kimliğin kimliğini doğrulama
- Paylaşılan Erişim İmzalarını kullanarak Azure Event Hubs'a yönelik isteklerin kimliğini doğrulama
- Paylaşılan Erişim İmzalarını kullanarak Event Hubs kaynaklarına erişimi yetkilendirme