Azure-Ressourcenbenachrichtigungen als Azure Event Grid-Quelle
Azure Resource Notifications (ARN) stellen den modernsten einheitlichen Pub/Sub-Service für alle Azure-Ressourcen dar. ARN nutzt eine Vielzahl von Herausgebern, und diese Vielzahl von Daten ist jetzt über die dedizierten Systemthemen von ARN in Azure Event Grid zugänglich.
Hier sind die wichtigsten Vorteile:
- Umfassende Nutzlasten: Benachrichtigungen, die über ARN bereitgestellt werden, umfassen die gesamte Ressourcennutzlast. Dieser direkte Zugriff führt zu einer Verringerung der Leseeinschränkung und verbessert so die Gesamterfahrung.
- Erweiterte Filterfunktionen: Die Verfügbarkeit von Nutzlasten eröffnet eine Vielzahl von Filteroptionen. Verwenden Sie die Eigenschaften innerhalb der Nutzlast, um den Benachrichtigungsstream zu optimieren, und passen Sie ihn an Ihre spezifischen Szenarien an.
- Erweiterter Datasetzugriff: ARN greift auf mehrere Herausgeber zu, sodass es Datasets anbieten kann, auf die möglicherweise nicht über Standardsystemthemen zugegriffen werden kann.
- Robuste rollenbasierte Zugriffssteuerung (RBAC): ARN wird mit einer robusten RBAC-Funktion befestigt. Mit diesem Feature können Sie Benutzer oder Dienstprinzipale so konfigurieren, dass diese ausschließlich die Daten abonnieren, für die sie über eine Autorisierung im Rahmen ihres Zugriffs verfügen.
RBAC für ARN-Systemthemen
Alle Ereignisse unter ARN-Systemthemen werden ausschließlich im Azure-Abonnementbereich ausgegeben. Es bedeutet, dass die Entität, die das Ereignisabonnement für einen bestimmten Thementyp erstellt, Benachrichtigungen für die entsprechenden Ereignisse im gesamten Azure-Abonnement empfängt. Aus Sicherheitsgründen müssen Sie die Möglichkeit zum Erstellen von Ereignisabonnements in diesem Thema auf Prinzipale mit Lesezugriff über das gesamte Azure-Abonnement beschränken.
Ab heute benötigen Sie die folgenden generischen Berechtigungen, die von Event Grid bereitgestellt werden, um Systemthemen und Ereignisabonnements zu erstellen.
microsoft.eventgrid/eventsubscription/write
microsoft.eventgrid/systemtopic/eventsubscriptions/write
Zusätzlich zu diesen Berechtigungen müssen Sie Benutzern oder Sicherheitsprinzipalen die folgenden Berechtigungen für den Zugriff auf ARN-Systemthemen erteilen. Für jeden Thementyp werden unterschiedliche Berechtigungen verfügbar gemacht, wodurch ein präziser und maßgeschneiderter Zugriff sichergestellt wird:
Thementyp | Berechtigung |
---|---|
HealthResources | Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action |
Azure-Ressourcenverwaltung | Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action |
ContainerService-Ereignisressourcen | Microsoft.ResourceNotifications.ContainerServiceEventResources.ScheduledEventEmitted |
Um die Kundenerfahrung zu verbessern, ist eine integrierte Rollendefinition mit allen erforderlichen Berechtigungen für den Empfang von Daten über jedes ARN-Systemthema verfügbar. Diese Rolle umfasst Berechtigungen, die vom Ereignisraster für das Systemthema und die Erstellung von Ereignisabonnements vorgeschrieben sind. Diese integrierte Rollendefinition wird regelmäßig aktualisiert, um weitere Thementypen zu integrieren, während sie über unseren Dienst zugänglich werden. Daher erhalten Benutzer, denen diese integrierte Rolle zugewiesen wurde, automatisch Zugriff auf alle zukünftigen ARN-Thementypen. Sie können entweder die bereitgestellte integrierte Rollendefinition verwenden oder eigene benutzerdefinierte Rollendefinitionen erstellen, um die Zugriffssteuerung zu erzwingen.
Integrierte Rollendefinition:
{
"assignableScopes": [
"/"
],
"description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
"name": "[guid]",
"permissions": [{
"actions": [
"Microsoft.EventGrid/eventSubscription/write",
"Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
"Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}],
"roleName": "Azure Resource Notifications System Topics Subscriber",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kontakt
Wenn Sie Fragen oder Feedback zu diesem Feature haben, zögern Sie nicht, uns unter arnsupport@microsoft.com zu kontaktieren.
Nächste Schritte
Weitere Informationen finden Sie in folgenden Artikeln: