Sdílet prostřednictvím


Oznámení o prostředcích Azure jako zdroj služby Azure Event Grid

Oznámení o prostředcích Azure (ARN) představují špičkové jednotné pub/sub service catering pro všechny prostředky Azure. ARN využívá různorodou škálu vydavatelů a toto množství dat je teď dostupné prostřednictvím vyhrazených systémových témat ARN ve službě Azure Event Grid.

Tady jsou klíčové výhody:

  • Komplexní datové části: Oznámení doručená prostřednictvím ARN zahrnují celou datovou část prostředku. Tento přímý přístup vede ke snížení omezování čtení, což zvyšuje celkové prostředí.
  • Vylepšené možnosti filtrování: Dostupnost datových částí otevírá spoustu možností filtrování. Pomocí vlastností v datové části můžete stream oznámení doladit a přizpůsobit ho konkrétním scénářům.
  • Rozšířený přístup k datové sadě: ARN klepne na více vydavatelů, což umožňuje nabízet datové sady, které nemusí být přístupné prostřednictvím standardních systémových témat.
  • Robustní řízení přístupu na základě role (RBAC): ARN je zdůrazněný robustními funkcemi RBAC. Tato funkce umožňuje nakonfigurovat uživatele nebo instanční objekty tak, aby se přihlásili výhradně k odběru dat, pro která mají autorizaci v rámci jejich přístupu.

Témata týkající se RBAC pro systémová témata ARN

Všechny události v rámci systémových témat ARN se generují výhradně v oboru předplatného Azure. Z toho vyplývá, že entita, která vytváří odběr událostí pro daný typ tématu, obdrží oznámení o odpovídajících událostech v celém předplatném Azure. Z bezpečnostních důvodů je nezbytné omezit možnost vytvářet odběry událostí v tomto tématu na objekty zabezpečení s přístupem pro čtení pro celé předplatné Azure.

K dnešnímu dni potřebujete k vytváření systémových témat a odběrů událostí následující obecná oprávnění, která poskytuje Event Grid.

  • microsoft.eventgrid/eventsubscription/write
  • microsoft.eventgrid/systemtopic/eventsubscriptions/write

Kromě těchto oprávnění musíte uživatelům nebo instančním objektům zabezpečení pro přístup k systémovým tématům ARN udělit následující oprávnění. Pro každý typ tématu jsou vystavena jedinečná oprávnění, která zajišťují přesný a přizpůsobený přístup:

Typ tématu Oprávnění
HealthResources Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Správa prostředků Azure Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action
Prostředky událostí služby ContainerService Microsoft.ResourceNotifications.ContainerServiceEventResources.ScheduledEventEmitted

K vylepšení prostředí pro zákazníky je k dispozici integrovaná definice role, která zahrnuje všechna požadovaná oprávnění pro příjem dat prostřednictvím jakéhokoli systémového tématu ARN. Tato role zahrnuje oprávnění, která služba Event Grid vyžaduje k vytvoření systémového tématu a odběru událostí. Tato integrovaná definice role se pravidelně aktualizuje, aby zahrnovala více typů témat, protože jsou přístupné prostřednictvím naší služby. V důsledku toho uživatelé přiřazené této předdefinované roli automaticky získají přístup ke všem budoucím typům témat ARN. Můžete se rozhodnout, jestli použijete zadanou předdefinované definici role, nebo si vytvoříte vlastní definice rolí k vynucení řízení přístupu.

Předdefinovaná definice role:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Kontaktujte nás

Pokud máte nějaké dotazy nebo zpětnou vazbu k této funkci, neváhejte nás kontaktovat na adrese arnsupport@microsoft.com.

Další kroky

Podívejte se na následující články: