Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro téma, doménu nebo odběr služby Event Grid

Komunikace mezi klientskou aplikací a tématem služby Azure Grid, doménou nebo předplatným se šifruje pomocí protokolu TLS (Transport Layer Security). Obecné informace o protokolu TLS naleznete v tématu Zabezpečení přenosové vrstvy.

Azure Event Grid podporuje výběr konkrétní verze protokolu TLS pro témata, domény nebo odběry (při použití cíle webhooku). Azure Event Grid v současné době ve výchozím nastavení používá protokol TLS 1.2 ve veřejných koncových bodech, ale kvůli zpětné kompatibilitě se stále podporují protokoly TLS 1.0 a TLS 1.1.

Témata nebo domény služby Azure Event Grid umožňují klientům odesílat a přijímat data s protokolem TLS 1.0 a vyšším. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat téma nebo doménu služby Event Grid tak, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud téma nebo doména Event Gridu vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou.

Při vytváření odběru událostí webhooku ji můžete nakonfigurovat tak, aby používala stejnou verzi protokolu TLS jako téma, nebo explicitně zadat minimální verzi protokolu TLS. Pokud to uděláte, Event Grid nedoručí události do webhooku, který nepodporuje minimální verzi protokolu TLS nebo vyšší.

Důležité

Pokud je klient službou, ujistěte se, že služba používá odpovídající verzi protokolu TLS k odesílání požadavků do Event Gridu, než nastavíte požadovanou minimální verzi tématu nebo domény event Gridu.

Oprávnění potřebná k vyžadování minimální verze protokolu TLS

Pokud chcete nastavit MinimumTlsVersion vlastnost tématu nebo domény event Gridu, musí mít uživatel oprávnění k vytváření a správě témat nebo domén Event Gridu. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.EventGrid/topics/write nebo akci Microsoft.EventGrid/domains/write . Mezi předdefinované role s touto akcí patří:

• Role vlastníka Azure Resource Manager
• Role přispěvatele Azure Resource Manager
• Role Přispěvatel Azure Event Gridu

Přiřazení rolí musí být vymezena na úroveň tématu event Gridu (nebo domény) nebo na vyšší úrovni, aby uživatel pro téma nebo doménu event Gridu vyžadoval minimální verzi protokolu TLS. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.

Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit téma nebo doménu Event Gridu, nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.

Poznámka:

Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat témata nebo domény Event Gridu. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.

Důležité informace z hlediska využívání sítě

Když klient odešle požadavek do tématu nebo domény Event Gridu, klient nejprve vytvoří připojení k tématu event Gridu nebo koncovému bodu domény před zpracováním jakýchkoli požadavků. Po navázání připojení TLS se zkontroluje minimální nastavení verze protokolu TLS. Pokud požadavek používá starší verzi protokolu TLS, než která je určená nastavením, připojení bude i nadále úspěšné, ale požadavek nakonec selže.

Tady je několik důležitých bodů, které je potřeba vzít v úvahu:

• Trasování sítě by ukázalo úspěšné vytvoření připojení TCP a úspěšné vyjednávání protokolu TLS před 401, pokud je použitá verze protokolu TLS menší než minimální nakonfigurovaná verze protokolu TLS.
• Kontrola <TOPICorDOMAIN>.<REGION>.eventgrid.azure.net průniku nebo koncového bodu bude indikovat podporu protokolu TLS 1.0, TLS 1.1 a TLS 1.2, protože služba nadále podporuje všechny tyto protokoly. Minimální verze protokolu TLS vynucená na úrovni tématu nebo domény označuje, jakou nejnižší verzi protokolu TLS téma nebo doména podporuje.

Další kroky

Další informace najdete v následujícím článku: Konfigurace minimální verze protokolu TLS pro téma nebo doménu služby Event Grid