Powiadomienia o zasobach platformy Azure jako źródło usługi Azure Event Grid
Usługa Azure Resource Notifications (ARN) reprezentuje najnowocześniejsze ujednolicone usługi pub/podsieci dla wszystkich zasobów platformy Azure. Usługa ARN wychuje się w różnorodnym zakresie wydawców, a to bogactwo danych jest teraz dostępne za pośrednictwem dedykowanych tematów systemowych usługi ARN w usłudze Azure Event Grid.
Oto najważniejsze zalety:
- Kompleksowe ładunki: powiadomienia dostarczane za pośrednictwem usługi ARN obejmują cały ładunek zasobów. Ten bezpośredni dostęp prowadzi do zmniejszenia ograniczania przepustowości odczytu, co zwiększa ogólne środowisko pracy.
- Ulepszone możliwości filtrowania: dostępność ładunków otwiera mnóstwo opcji filtrowania. Użyj właściwości w ładunku, aby dostosować strumień powiadomień, dostosowując go do określonych scenariuszy.
- Rozszerzony dostęp do zestawu danych: usługa ARN naciska na wielu wydawców, umożliwiając jej oferowanie zestawów danych, które mogą nie być dostępne za pośrednictwem standardowych tematów systemowych.
- Niezawodna kontrola dostępu oparta na rolach (RBAC): usługa ARN jest wzmocniona dzięki niezawodnej funkcji kontroli dostępu opartej na rolach. Ta funkcja umożliwia skonfigurowanie użytkowników lub jednostek usługi w celu subskrybowania wyłącznie danych, dla których mają autoryzację, w zakresie ich dostępu.
Kontrola dostępu oparta na rolach dla tematów systemowych usługi ARN
Wszystkie zdarzenia w tematach systemowych usługi ARN są emitowane wyłącznie w zakresie subskrypcji platformy Azure. Oznacza to, że jednostka tworząca subskrypcję zdarzeń dla danego typu tematu odbiera powiadomienia o odpowiednich zdarzeniach w całej subskrypcji platformy Azure. Ze względów bezpieczeństwa konieczne jest ograniczenie możliwości tworzenia subskrypcji zdarzeń w tym temacie do podmiotów zabezpieczeń z dostępem do odczytu w całej subskrypcji platformy Azure.
Obecnie do tworzenia tematów systemowych i subskrypcji zdarzeń potrzebne są następujące ogólne uprawnienia udostępniane przez usługę Event Grid.
microsoft.eventgrid/eventsubscription/write
microsoft.eventgrid/systemtopic/eventsubscriptions/write
Oprócz tych uprawnień należy udzielić następujących uprawnień użytkownikom lub podmiotom zabezpieczeń na potrzeby uzyskiwania dostępu do tematów systemowych usługi ARN. Dla każdego typu tematu uwidocznione są odrębne uprawnienia, zapewniając precyzyjny i dostosowany dostęp:
Typ tematu | Uprawnienie |
---|---|
HealthResources | Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action |
Zarządzanie zasobami platformy Azure | Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action |
Zasoby zdarzeń usługi ContainerService | Microsoft.ResourceNotifications.ContainerServiceEventResources.ScheduledEventEmitted |
Aby zwiększyć jakość obsługi klienta, wbudowana definicja roli obejmująca wszystkie wymagane uprawnienia do odbierania danych za pośrednictwem dowolnego tematu systemu ARN jest dostępna. Ta rola obejmuje uprawnienia wymagane przez usługę Event Grid na potrzeby tworzenia tematu systemu i subskrypcji zdarzeń. Ta wbudowana definicja roli jest regularnie aktualizowana w celu uwzględnienia większej liczby typów tematów w miarę ich dostępności za pośrednictwem naszej usługi. W związku z tym użytkownicy przypisani do tej wbudowanej roli automatycznie uzyskują dostęp do wszystkich przyszłych typów tematów usługi ARN. Aby wymusić kontrolę dostępu, możesz użyć podanej wbudowanej definicji roli lub utworzyć własne niestandardowe definicje ról.
Wbudowana definicja roli:
{
"assignableScopes": [
"/"
],
"description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
"name": "[guid]",
"permissions": [{
"actions": [
"Microsoft.EventGrid/eventSubscription/write",
"Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
"Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}],
"roleName": "Azure Resource Notifications System Topics Subscriber",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kontakt z nami
Jeśli masz jakiekolwiek pytania lub opinie dotyczące tej funkcji, nie wahaj się skontaktować się z nami pod adresem arnsupport@microsoft.com.
Następne kroki
Odwiedź następujące artykuły:
- Powiadomienia dotyczące zasobów platformy Azure — zdarzenia zasobów kondycji w usłudze Azure Event Grid.
- Powiadomienia dotyczące zasobów platformy Azure — zdarzenia usługi Azure Resource Manager w usłudze Azure Event Grid.
- Powiadomienia o zasobach platformy Azure — zdarzenia usługi kontenera w usłudze Azure Event Grid.