Aracılığıyla paylaş


Microsoft Entra ID kullanarak Event Hubs kaynaklarına erişimi yetkilendirme

Azure Event Hubs, Event Hubs kaynaklarına yönelik istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını destekler. Microsoft Entra Id ile Azure rol tabanlı erişim denetimini (RBAC) kullanarak bir kullanıcı veya uygulama hizmet sorumlusu olabilecek bir güvenlik sorumlusuna izin vekleyebilirsiniz. Roller ve rol atamaları hakkında daha fazla bilgi edinmek için bkz . Farklı rolleri anlama.

Genel bakış

Bir güvenlik sorumlusu (kullanıcı veya uygulama) bir Event Hubs kaynağına erişmeye çalıştığında, isteğin yetkilendirilmiş olması gerekir. Microsoft Entra Id ile kaynağa erişim iki adımlı bir işlemdir.

  1. İlk olarak, güvenlik sorumlusunun kimliği doğrulanır ve bir OAuth 2.0 belirteci döndürülür. Belirteç istemek için kaynak adı şeklindedir https://eventhubs.azure.net/ve tüm bulutlar/kiracılar için aynıdır. Kafka istemcileri için belirteç istemek için kaynak olur https://<namespace>.servicebus.windows.net.
  2. Ardından belirteç, belirtilen kaynağa erişim yetkisi vermek için Event Hubs hizmetine yapılan bir isteğin parçası olarak geçirilir.

Kimlik doğrulama adımı, bir uygulama isteğinin çalışma zamanında bir OAuth 2.0 erişim belirteci içermesini gerektirir. Bir uygulama Azure VM, sanal makine ölçek kümesi veya Azure İşlevi uygulaması gibi bir Azure varlığında çalışıyorsa, kaynaklara erişmek için yönetilen kimlik kullanabilir. Yönetilen kimlik tarafından Event Hubs hizmetine yapılan isteklerin kimliğini doğrulamayı öğrenmek için bkz . Microsoft Entra Id ve Azure Kaynakları için yönetilen kimliklerle Azure Event Hubs kaynaklarına erişimin kimliğini doğrulama.

Yetkilendirme adımı için güvenlik sorumlusuna bir veya daha fazla Azure rolü atanmalıdır. Azure Event Hubs, Event Hubs kaynakları için izin kümelerini kapsayan Azure rolleri sağlar. Güvenlik sorumlusuna atanan roller, sorumlunun sahip olacağı izinleri belirler. Azure rolleri hakkında daha fazla bilgi için bkz . Azure Event Hubs için Azure yerleşik rolleri.

Event Hubs'a istekte bulunan yerel uygulamalar ve web uygulamaları da Microsoft Entra Id ile yetkilendirilebilir. Bir erişim belirtecinin nasıl istendiğini ve Event Hubs kaynaklarına yönelik istekleri yetkilendirmek için nasıl kullanılacağını öğrenmek için bkz . Bir uygulamadan Microsoft Entra Kimliği ile Azure Event Hubs'a erişimin kimliğini doğrulama.

Erişim hakları için Azure rolleri atama

Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Event Hubs, olay hub'ı verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar ve verilere erişmek için özel roller de tanımlayabilirsiniz.

Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Erişimin kapsamı abonelik düzeyi, kaynak grubu, Event Hubs ad alanı veya altındaki herhangi bir kaynak olabilir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, uygulama hizmet sorumlusu ya da Azure kaynakları için yönetilen kimlik olabilir.

Azure Event Hubs için Azure yerleşik rolleri

Azure, Microsoft Entra ID ve OAuth kullanarak Event Hubs verilerine erişim yetkisi vermek için aşağıdaki Azure yerleşik rollerini sağlar:

Rol Açıklama
Azure Event Hubs Veri sahibi Event Hubs kaynaklarına tam erişim vermek için bu rolü kullanın.
Azure Event Hubs Veri göndereni Event Hubs kaynaklarına gönderme erişimi vermek için bu rolü kullanın.
Azure Event Hubs Veri alıcısı Event Hubs kaynaklarına tüketen/alan erişim vermek için bu rolü kullanın.

Şema Kayıt Defteri yerleşik rolleri için bkz . Şema Kayıt Defteri rolleri.

Kaynak kapsamı

Güvenlik sorumlusuna Azure rolü atamadan önce, güvenlik sorumlusunun sahip olması gereken erişim kapsamını belirleyin. En iyi yöntemler, yalnızca mümkün olan en dar kapsamı vermenin her zaman en iyi yöntem olduğunu belirler.

Aşağıdaki listede, en dar kapsamla başlayarak Event Hubs kaynaklarına erişimi kapsam olarak kullanabileceğiniz düzeyler açıklanmaktadır:

  • Tüketici grubu: Bu kapsamda rol ataması yalnızca bu varlığa uygulanır. Azure portalı şu anda bu düzeyde bir güvenlik sorumlusuna Azure rolü atamayı desteklememektedir.
  • Olay hub'ı: Rol ataması olay hub'ları ve bunların tüketici grupları için geçerlidir.
  • Ad Alanı: Rol ataması, Event Hubs'ın ad alanı altındaki topolojisinin tamamını ve onunla ilişkili tüketici grubunu kapsar.
  • Kaynak grubu: Rol ataması, kaynak grubu altındaki tüm Event Hubs kaynaklarına uygulanır.
  • Abonelik: Rol ataması, abonelikteki tüm kaynak gruplarındaki tüm Event Hubs kaynaklarına uygulanır.

Not

Yerleşik rollerin nasıl tanımlandığı hakkında daha fazla bilgi için bkz . Rol tanımlarını anlama. Azure özel rolleri oluşturma hakkında bilgi için bkz . Azure özel rolleri.

Örnekler

Aşağıdaki ilgili makalelere bakın: