共用方式為

Azure 資源通知概觀

  • 發行項

Azure 資源通知 (ARN) 是適用於所有 Azure 資源的最新整合發佈/訂閱服務。 ARN 藉助於多種不同的發行者,而這些豐富的資料現已可透過 ARN 在 Azure 事件方格中的專用系統主題來存取。

主要優點如下:

  • 完整的承載:透過 ARN 傳遞的通知包含整體資源承載。 這種直接存取可促使讀取節流減少,進而提升您的整體體驗。
  • 增強的篩選功能:承載的可用性提供了大量篩選選項。 使用承載中的屬性來微調通知串流,根據您的特定案例予以自訂。
  • 擴展的資料集存取:ARN 藉助於多個發行者,因而能夠提供無法透過標準系統主題存取的資料集。
  • 可靠的角色型存取控制 (RBAC):ARN 有所強化,具備可靠的 RBAC 功能。 這項功能可讓您設定使用者或服務主體,使其能夠在存取範圍內以獨佔方式訂閱他們擁有授權的資料。

ARN 系統主題的 RBAC

ARN 系統主題下的所有事件都會在 Azure 訂用帳戶範圍以獨佔方式發出。 這表示為指定主題類型建立事件訂用帳戶的實體,會接收整個 Azure 訂用帳戶中對應事件的通知。 基於安全考量,必須將在此主題上建立事件訂用帳戶的能力,限定於對整個 Azure 訂用帳戶具有讀取權限的主體。

從今天起,必須要有事件方格提供的下列一般權限,才能建立系統主題和事件訂用帳戶。

  • microsoft.eventgrid/eventsubscription/write
  • microsoft.eventgrid/systemtopic/eventsubscriptions/write

除了這些權限以外,您還需要將下列權限授與使用者或安全性主體,以存取 ARN 系統主題。 對於每個主題類型會公開不同的權限,以確保精確而專用的存取:

主題類型 權限
HealthResources Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Azure 資源管理 Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action

為了提升客戶體驗,可以使用內建角色定義,其中包含透過任何 ARN 系統主題接收資料所需的所有必要權限。 此角色包含事件方格授權用於系統主題和事件訂用帳戶建立的權限。 此內建角色定義會定期更新,隨著更多主題類型可透過我們的服務存取時,將其納入。 因此,被指派此內建角色的使用者,將自動取得未來所有 ARN 主題類型的存取權。 您可以選擇使用隨附的內建角色定義,或製作自己的自訂角色定義,來強制執行存取控制。

內建角色定義:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

與我們連絡

如果您對這項功能有任何疑問或意見反應,請立即與我們連絡:arnsupport@microsoft.com

下一步

請參閱以下文章: