Event Hubs ad alanına yönelik istekler için Aktarım Katmanı Güvenliği'nin (TLS) gerekli en düşük sürümünü zorunlu kılma

bir istemci uygulaması ile Azure Event Hubs ad alanı arasındaki iletişim Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenir. TLS, istemcilerle hizmetler arasında İnternet üzerinden gizliliği ve veri bütünlüğünü güvence altına alan standart bir şifreleme protokolüdür. TLS hakkında daha fazla bilgi için bkz . Aktarım Katmanı Güvenliği.

Azure Event Hubs, ad alanları için belirli bir TLS sürümünün seçilmesini destekler. Şu anda Azure Event Hubs varsayılan olarak genel uç noktalarda TLS 1.2 kullanıyor, ancak geriye dönük uyumluluk için TLS 1.0 ve TLS 1.1 hala destekleniyor.

Azure Event Hubs ad alanları, istemcilerin TLS 1.0 ve üzeri ile veri gönderip almasına izin verir. Daha katı güvenlik önlemleri uygulamak için Event Hubs ad alanınızı istemcilerin daha yeni bir TLS sürümüyle veri gönderip almasını gerektirecek şekilde yapılandırabilirsiniz. Event Hubs ad alanı en düşük TLS sürümünü gerektiriyorsa, eski bir sürümle yapılan istekler başarısız olur.

Uyarı

28 Şubat 2025 itibarıyla TLS 1.0 ve TLS 1.1 artık Azure Event Hubs'da desteklenmeyecektir. Tüm Event Hubs dağıtımları için en düşük TLS sürümü 1.2 olacaktır.

Önemli

31 Ekim 2024 tarihinde, AMQP trafiği için TLS 1.3 etkinleştirilecektir. TLS 1.3, Kafka ve HTTPS trafiği için zaten etkindir. Java istemcileri, Proton-J'nin eski bir sürümüne bağımlılık nedeniyle TLS 1.3 ile ilgili bir sorun yaşayabilir. Daha fazla ayrıntı için Azure Service Bus ve Azure Event Hubs ile TLS 1.3'i destekleyecek Java istemci değişiklikleri makalesini okuyun

Önemli

Azure Event Hubs'a bağlanan bir hizmet kullanıyorsanız, Event Hubs ad alanı için gerekli en düşük sürümü ayarlamadan önce hizmetin Azure Event Hubs'a istek göndermek için uygun TLS sürümünü kullandığından emin olun.

En düşük TLS sürümünü gerektirmek için gereken izinler

Event Hubs ad alanının özelliğini ayarlamak MinimumTlsVersion için kullanıcının Event Hubs ad alanlarını oluşturma ve yönetme izinlerine sahip olması gerekir. Bu izinleri sağlayan Azure rol tabanlı erişim denetimi (Azure RBAC) rolleri Microsoft.EventHub/namespaces/write veya Microsoft.EventHub/namespaces/* eylemini içerir. Bu eyleme sahip yerleşik roller şunlardır:

• Azure Resource Manager Sahip rolü
• Azure Resource Manager Katkıda Bulunan rolü
• Azure Event Hubs Veri Sahibi rolü

Bir kullanıcının Event Hubs ad alanı için en düşük TLS sürümünü gerektirmesine izin vermek için rol atamalarının kapsamı Event Hubs ad alanı düzeyine veya daha yüksek bir düzeye sahip olmalıdır. Rol kapsamı hakkında daha fazla bilgi için bkz . Azure RBAC kapsamını anlama.

Bu rollerin atamasını yalnızca Event Hubs ad alanı oluşturma veya özelliklerini güncelleştirme yeteneğine ihtiyaç duyanlarla kısıtlamaya dikkat edin. Kullanıcıların görevlerini gerçekleştirmek için ihtiyaç duydukları en az izinlere sahip olduğundan emin olmak için en az ayrıcalık ilkesini kullanın. Azure RBAC ile erişimi yönetme hakkında daha fazla bilgi için bkz . Azure RBAC için en iyi yöntemler.

Not

Klasik abonelik yöneticisi rolleri Hizmet Yöneticisi ve Ortak Yönetici, Azure Resource Manager Sahip rolünün eşdeğerini içerir. Sahip rolü tüm eylemleri içerdiğinden, bu yönetim rollerinden birine sahip bir kullanıcı Event Hubs ad alanlarını da oluşturabilir ve yönetebilir. Daha fazla bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.

Ağ konuları

İstemci bir Event Hubs ad alanına istek gönderdiğinde, istemci istekleri işlemeden önce Event Hubs ad alanı uç noktasıyla bağlantı kurar. TLS bağlantısı kurulduktan sonra en düşük TLS sürüm ayarı denetleniyor. İstek, ayar tarafından belirtilenden daha eski bir TLS sürümü kullanıyorsa, bağlantı başarılı devam eder, ancak istek sonunda başarısız olur.

Not

Confluent kitaplığındaki sınırlamalar nedeniyle, Kafka protokolü aracılığıyla bağlanırken geçersiz bir TLS sürümünden gelen hatalar ortaya çıkar. Bunun yerine genel bir özel durum gösterilir.

Dikkate alınması gereken birkaç önemli nokta şunlardır:

• Ağ izlemesi, kullanılan TLS sürümü yapılandırılan en düşük TLS sürümünden küçükse 401 döndürülmeden önce tcp bağlantısının başarıyla kurulmasını ve başarılı TLS anlaşması yapıldığını gösterir.
• Üzerinde sızma veya uç nokta taraması yournamespace.servicebus.windows.net , hizmet tüm bu protokolleri desteklemeye devam ettiğinden TLS 1.0, TLS 1.1 ve TLS 1.2 desteğini gösterir. Ad alanı düzeyinde zorlanan en düşük TLS sürümü, ad alanının destekleyeceği en düşük TLS sürümünü gösterir.

Sonraki adımlar

Daha fazla bilgi için aşağıdaki belgelere bakın.

• Event Hubs ad alanı için en düşük TLS sürümünü yapılandırma
• Event Hubs istemci uygulaması için Aktarım Katmanı Güvenliğini (TLS) yapılandırma
• Event Hubs ad alanı için en düşük TLS sürümünün uyumluluğunu denetlemek için Azure İlkesi kullanma