Appliquez une version minimale requise du protocole TLS (Transport Layer Security) pour une rubrique, un domaine ou un abonnement Event Grid.
La communication entre une application cliente et une rubrique, un domaine ou un abonnement Azure Grid est chiffrée à l'aide du protocole TLS (Transport Layer Security). Pour plus d'informations sur le protocole TLS en général, consultez Transport Layer Security.
Azure Event Grid prend en charge le choix d'une version TLS spécifique pour les rubriques, domaines ou abonnements (lors de l'utilisation d'une destination Webhook). Actuellement, Azure Event Grid utilise le protocole TLS 1.2 sur les points de terminaison publics par défaut, mais les protocoles TLS 1.0 et TLS 1.1 sont toujours pris en charge à des fins de compatibilité descendante.
Les rubriques ou domaines Azure Event Grid permettent aux clients d’envoyer et de recevoir des données avec le protocole TLS 1.0 et versions ultérieures. Pour appliquer des mesures de sécurité plus strictes, vous pouvez configurer votre rubrique ou domaine Event Grid afin d’exiger que les clients envoient et reçoivent des données avec une version plus récente du protocole TLS. Si une rubrique ou un domaine Event Grid nécessite une version minimale du protocole TLS, toutes les requêtes effectuées avec une version antérieure échouent.
Lors de la création d'un abonnement aux événements Webhook, vous pouvez configurer cet abonnement de manière à ce qu'il utilise la même version TLS que la rubrique ou spécifier explicitement la version minimale de TLS. Dans ce cas, Event Grid ne parviendra pas à fournir des événements à un Webhook qui ne prend pas en charge la version minimale de TLS ou une version ultérieure.
Important
Si le client est un service, assurez-vous que le service utilise la version appropriée du protocole TLS pour envoyer des requêtes à Event Grid avant de définir la version minimale requise pour une rubrique ou un domaine Event Grid.
Autorisations nécessaires pour exiger une version minimale du protocole TLS
Pour définir la propriété MinimumTlsVersion
pour la rubrique ou le domaine Event Grid, un utilisateur doit disposer des autorisations nécessaires pour créer et gérer des rubriques ou domaines Event Grid. Les rôles de contrôle d’accès en fonction du rôle Azure (Azure RBAC) qui fournissent ces autorisations incluent l’action Microsoft.EventGrid/topics/write ou Microsoft.EventGrid/domains/write. Parmi les rôles intégrés comportant cette action figurent :
- Le rôle Propriétaire d’Azure Resource Manager
- Le rôle Contributeur d’Azure Resource Manager
- Rôle Contributeur Azure Event Grid
Les attributions de rôles doivent être définies au niveau de la rubrique (ou du domaine) Event Grid ou à un niveau supérieur pour permettre à un utilisateur d’exiger une version minimale du protocole TLS pour la rubrique ou le domaine Event Grid. Pour plus d’informations sur l’étendue des rôles, consultez Comprendre l’étendue pour Azure RBAC.
Veillez à limiter l’attribution de ces rôles aux seules personnes qui ont besoin de créer une rubrique ou un domaine Event Grid ou de mettre à jour ses propriétés. Appliquez le principe des privilèges minimum pour que les utilisateurs disposent des autorisations nécessaires les plus faibles possibles pour accomplir leurs tâches. Pour plus d’informations sur la gestion de l’accès avec Azure RBAC, consultez Meilleures pratiques pour Azure RBAC.
Notes
Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire comprend toutes les actions. Par conséquent, un utilisateur disposant de l’un de ces rôles d’administration peut également créer et gérer des rubriques ou domaines Event Grid. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.
Considérations relatives au réseau
Quand un client envoie une requête à une rubrique ou un domaine Event Grid, il établit d’abord une connexion avec le point de terminaison public de cette rubrique ou de ce domaine, puis la requête est traitée. Le paramètre de version TLS minimale est vérifié après l’établissement de la connexion TLS. Si la requête utilise une version de TLS antérieure à celle spécifiée par le paramètre, la connexion continue, mais la requête finit par échouer.
Voici quelques points importants à prendre en compte :
- Une trace réseau indique la réussite de l’établissement d’une connexion TCP et d’une négociation TLS, avant qu’une erreur 401 soit retournée si la version TLS utilisée est inférieure à la version TLS minimale configurée.
- L’analyse de la pénétration ou du point de terminaison sur
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.net
indique la prise en charge de TLS 1.0, TLS 1.1 et TLS 1.2, car le service continue de prendre en charge tous ces protocoles. La version minimale du protocole TLS, appliquée au niveau de la rubrique ou du domaine, indique la version du protocole TLS la plus basse prise en charge par la rubrique ou le domaine.
Étapes suivantes
Pour plus d’informations, consultez l’article suivant : Configurer la version minimale du protocole TLS pour une rubrique ou un domaine Event Grid