Azure Event Grid ソースとしての Azure リソース通知

Azure リソース通知 (ARN) は、すべての Azure リソースに対応する最先端の統合パブ/サブ サービスです。 ARN は幅広いパブリッシャーを利用し、この豊富なデータは Azure Event Grid の ARN 専用システム トピック経由でアクセスできるようになりました。

主な利点は次のとおりです。

• 包括的なペイロード: ARN を通じて配信される通知は、リソースのペイロード全体を包括します。 この直接アクセスにより、読み取りスロットリングが減少し、全体的なエクスペリエンスが向上します。
• 強化されたフィルター処理:。ペイロードを利用できるため、フィルター処理の選択肢が広がります。 ペイロード内のプロパティを使用して通知ストリームを特定のシナリオに合わせて微調整します。
• 拡張されたデータセット アクセス: ARN は複数のパブリッシャーと連携しているため、標準システム トピック経由ではアクセスできないデータセットを提供できます。
• ロール ベースのアクセス制御 (RBAC): ARN は堅牢な RBAC 機能で強化されています。 この機能を使用することで、ユーザーまたはサービス プリンシパルは、そのアクセスの範囲内で、権限のあるデータのみにサブスクライブするように構成できます。

ARN システム トピック向け RBAC

ARN システム トピックのすべてのイベントは、Azure サブスクリプションの範囲で排他的に生成されます。 これは、与えられたトピックの種類のイベント サブスクリプションを作成するエンティティが、Azure サブスクリプション全体にわたって対応するイベントの通知を受け取ることを意味します。 セキュリティ上の理由から、このトピックでイベント サブスクリプションを作成する機能は、Azure サブスクリプション全体の読み取りアクセス権を持つプリンシパルに制限する必要があります。

現時点では、システム トピックとイベント サブスクリプションを作成するには、Event Grid で提供される次の一般的なアクセス許可が必要です。

• microsoft.eventgrid/eventsubscription/write
• microsoft.eventgrid/systemtopic/eventsubscriptions/write

これらの権限に加えて、ARN システム トピックにアクセスするために、ユーザーまたはセキュリティ プリンシパルに次のアクセス許可を付与する必要があります。 トピックの種類ごとに、個別のアクセス許可が公開され、次のように正確でカスタマイズされたアクセスが保証されます。

トピックの種類	権限
HealthResources	Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Azure Resource Management	Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action

顧客エクスペリエンスを向上させるために、ARN システム トピックを通じてデータを受信するために必要なすべてのアクセス許可を包含する組み込みのロール定義を利用できます。 このロールには、システム トピックとイベント サブスクリプションの作成に対して Event Grid で要求されるアクセス許可が含まれます。 この組み込みのロール定義は定期的に更新され、Microsoft のサービスを通じてアクセスできるようになると、より多くのトピックの種類が組み込まれます。 その結果、この組み込みのロールを割り当てられたユーザーは、自動的に将来のすべての ARN トピックの種類にアクセスできるようになります。 指定された組み込みのロール定義を利用するか、または独自のカスタム ロール定義を作成してアクセス制御を適用するかを選択できます。

組み込みのロール定義:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

お問い合わせ

この機能について質問またはフィードバックがある場合は、ご遠慮なく arnsupport@microsoft.com までお問い合わせください。

次のステップ

次の記事をご覧ください。

• Azure リソース通知 - Azure Event Grid での正常性リソース イベント。
• Azure リソース通知 - Azure Event Grid での Azure Resource Manager イベント。