授與 Azure 事件中樞的存取權

每次發佈或取用事件中樞的事件時，您的用戶端都會嘗試存取事件中樞資源。 針對安全資源所發出的每個要求都必須經過授權，如此服務才能確保用戶端具有發佈或取用資料的必要權限。

Azure 事件中樞提供下列選項來授與安全資源的存取權限：

• Microsoft Entra ID
• 共用存取簽章

注意

本文適用於事件中樞與 Apache Kafka 案例。

Microsoft Entra ID

Microsoft Entra 與事件中樞資源整合，提供 Azure 角色型存取控制 (Azure RBAC)，可精準控制用戶端的資源存取。 您可以使用 Azure RBAC 將權限授與安全性主體，該安全性主體可能是使用者、群組或應用程式服務主體。 Microsoft Entra 會驗證安全性主體，並傳回 OAuth 2.0 權杖。 權杖可以用來授權存取事件中樞資源的要求。

如需使用 Microsoft Entra ID 進行驗證的詳細資訊，請參閱下列文章：

• 使用 Microsoft Entra ID 驗證對 Azure 事件中樞的要求
• 使用 Microsoft Entra ID 授權存取事件中樞資源。

共用存取簽章

事件中樞資源的共用存取簽章，會提供對事件中樞資源的有限委派存取權。 對簽章的有效時間間隔或對其授與的權限新增條件約束，可讓您彈性管理資源。 如需詳細資訊，請參閱使用共用存取簽章 (SAS) 驗證。

使用由 Microsoft Entra ID 傳回的 OAuth 2.0 權杖來授權使用者或應用程式，可透過共用存取簽章 (SAS) 提供卓越的安全性與易用性。 只要使用 Microsoft Entra ID，就不需要以程式碼儲存存取權杖，或是承擔潛在的安全性弱點風險。 您可以繼續使用共用存取簽章 (SAS) 將細部存取權授與事件中樞資源，但 Microsoft Entra ID 提供類似功能，卻不必管理 SAS 權杖或擔心需要撤銷遭盜用的 SAS。

根據預設，所有事件中樞資源都會受到保護，並只供帳戶擁有者使用。 雖然您可以使用上述的任一授權策略來授與用戶端對事件中樞資源的存取權， 但 Microsoft 建議盡可能使用 Microsoft Entra ID，以獲得最高的安全性與易用性。

如需使用 SAS 進行授權的詳細資訊，請參閱使用共用存取簽章授與對事件中樞資源的存取權。

下一步

• 檢閱在我們 GitHub 存放庫中發佈的 Azure RBAC 範例。
• 查看下列文章：
  • 使用 Microsoft Entra ID 驗證應用程式對 Azure 事件中樞的要求
  • 使用 Microsoft Entra ID 驗證受控識別以存取事件中樞資源
  • 使用共用存取簽章驗證對 Azure 事件中樞的要求
  • 使用 Microsoft Entra ID 授與事件中樞資源的存取權
  • 使用共用存取簽章授與事件中樞資源的存取權