將受控識別指派給事件方格自訂主題或網域

本文說明如何使用 Azure 入口網站和 CLI，將系統指派或使用者指派的受控識別指派給事件方格自訂主題或網域。

建立主題或網域時啟用身分識別

Azure 入口網站

在 Azure 入口網站中，建立主題或網域時，您可以指派系統指派的身分識別或兩個使用者指派的身分識別，但不能同時指派這兩種類型的身分識別。 建立主題或網域之後，您可以依照啟用現有主題或網域的身分識別一節中的步驟來指派這兩種類型的身分識別。

啟用系統指派的身分識別

在主題或網域建立精靈的 [安全] 頁面上，選取 [啟用系統指派的身分識別]。

啟用使用者指派的身分識別

1. 在主題或網域建立精靈的 [進階] 頁面上，選取 [新增使用者指派的身分識別]。

2. 在 [選取使用者指派的身分識別] 視窗中，選取具有使用者指派身分識別的訂用帳戶、選取使用者指派的身分識別，然後按一下 [選取]。

   

Azure CLI

您也可以使用 Azure CLI，建立帶有系統指派的身分識別的自訂主題或網域。 Azure CLI 目前不支援將使用者指派的身分識別指派給主題或網域。

使用 az eventgrid topic create 命令，搭配設為 systemassigned 的 --identity 參數。 如果您未指定這個參數的值，則會使用預設值 noidentity。

# create a custom topic with a system-assigned identity
az eventgrid topic create -g <RESOURCE GROUP NAME> --name <TOPIC NAME> -l <LOCATION>  --identity systemassigned

同樣地，您可以使用 az eventgrid domain create 命令，建立一個帶有系統指派身分識別的網域。

為現有自訂主題或網域啟用身分識別

在本節中，您將瞭解如何為現有的自訂主題或網域啟用系統指派的身分識別或使用者指派的身分識別。

Azure 入口網站

當您使用 Azure 入口網站時，您可以將一個系統指派的身分識別，以及最多兩個使用者指派的身分識別指派給現有的主題或網域。

下列程序示範如何啟用自訂主題的身分識別。 啟用網域身分識別的步驟很類似。

1. 前往 Azure 入口網站。
2. 在頂端的搜尋列中，搜尋 [事件方格主題]。
3. 選取您要啟用受控識別的 [自訂主題]。
4. 選取左側功能表上的 [身分識別]。

將系統指派的身分識別指派給主題

1. 在 [系統指派] 索引標籤中，開啟參數以啟用身分識別。

2. 選取工具列上的 [儲存] 來儲存設定。

   

將使用者指派的身分識別指派給主題

1. 依照管理使用者指派的受控識別一文中的指示，建立使用者指派的身分識別。

2. 在 [身分識別] 頁面上，切換至右窗格中的 [使用者指派] 索引標籤，然後選取工具列上的 [+ 新增]。

   

3. 在 [新增使用者受控識別] 視窗中，遵循下列步驟：

   1. 選取具有使用者指派身分識別的 Azure 訂用帳戶。
   2. 選取使用者指派的身分識別。
   3. 選取 [新增]。

4. 重新整理 [使用者指派] 索引標籤中的清單，以查看新增的使用者指派身分識別。

您可以使用類似的步驟，以啟用事件方格網域的身分識別。

Azure CLI

您也可以使用 Azure CLI，將系統指派的身分識別指派給現有的自訂主題或網域。 Azure CLI 目前不支援將使用者指派的身分識別指派給主題或網域。

將 az eventgrid topic update 命令與設為 systemassigned 的 --identity 搭配使用，為現有自訂主題啟用系統指派的身分識別。 如果您想要停用身分識別，請將 noidentity 指定為值。

# Update the topic to assign a system-assigned identity. 
az eventgrid topic update -g $rg --name $topicname --identity systemassigned --sku basic 

更新現有網域的命令是類似的 (az eventgrid domain update)。

下一步

將身分識別新增至目的地 (例如，服務匯流排佇列) 的適當角色 (例如，服務匯流排資料傳送者)。 如需詳細步驟，請參閱將事件方格目的地的存取權授與受控識別。