Wymuszanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla tematu, domeny lub subskrypcji usługi Event Grid

Komunikacja między aplikacją kliencką a tematem, domeną lub subskrypcją usługi Azure Grid jest szyfrowana przy użyciu protokołu Transport Layer Security (TLS). Aby uzyskać ogólne informacje na temat protokołu TLS, zobacz Transport Layer Security.

Usługa Azure Event Grid obsługuje wybieranie określonej wersji protokołu TLS dla tematów, domen lub subskrypcji (w przypadku korzystania z miejsca docelowego elementu Web Hook). Obecnie usługa Azure Event Grid domyślnie używa protokołu TLS 1.2 w publicznych punktach końcowych, ale protokoły TLS 1.0 i TLS 1.1 są nadal obsługiwane w celu zapewnienia zgodności z poprzednimi wersjami.

Tematy lub domeny usługi Azure Event Grid umożliwiają klientom wysyłanie i odbieranie danych przy użyciu protokołu TLS 1.0 lub nowszego. Aby wymusić ostrzejsze środki zabezpieczeń, możesz skonfigurować temat lub domenę usługi Event Grid, aby wymagać od klientów wysyłania i odbierania danych przy użyciu nowszej wersji protokołu TLS. Jeśli temat lub domena usługi Event Grid wymaga minimalnej wersji protokołu TLS, wszystkie żądania wysyłane ze starszą wersją kończą się niepowodzeniem.

Podczas tworzenia subskrypcji zdarzeń webhook można skonfigurować ją tak, aby korzystała z tej samej wersji protokołu TLS co temat lub jawnie określić minimalną wersję protokołu TLS. W takim przypadku usługa Event Grid nie będzie dostarczać zdarzeń do elementu Web Hook, który nie obsługuje minimalnej wersji protokołu TLS lub nowszej.

Ważne

Jeśli klient jest usługą, upewnij się, że usługa używa odpowiedniej wersji protokołu TLS do wysyłania żądań do usługi Event Grid przed ustawieniem wymaganej minimalnej wersji tematu lub domeny usługi Event Grid.

Uprawnienia niezbędne do wymagania minimalnej wersji protokołu TLS

Aby ustawić właściwość tematu MinimumTlsVersion lub domeny usługi Event Grid, użytkownik musi mieć uprawnienia do tworzenia tematów lub domen usługi Event Grid i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.EventGrid/topics/write lub Microsoft.EventGrid/domains/write . Wbudowane role z tą akcją obejmują:

• Rola właściciela w usłudze Azure Resource Manager
• Rola współautora w usłudze Azure Resource Manager
• Rola Współautor usługi Azure Event Grid

Przypisania ról muszą być ograniczone do poziomu tematu usługi Event Grid (lub domeny) lub na wyższym poziomie, aby umożliwić użytkownikowi wymaganie minimalnej wersji protokołu TLS dla tematu lub domeny usługi Event Grid. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych, którzy wymagają możliwości utworzenia tematu lub domeny usługi Event Grid albo zaktualizowania jej właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Uwaga

Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć tematy lub domeny usługi Event Grid i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Kwestie dotyczące sieci

Gdy klient wysyła żądanie do tematu lub domeny usługi Event Grid, klient nawiązuje połączenie z tematem usługi Event Grid lub punktem końcowym domeny przed przetworzeniem żądań. Minimalne ustawienie wersji protokołu TLS jest sprawdzane po nawiązaniu połączenia TLS. Jeśli żądanie używa wcześniejszej wersji protokołu TLS niż określona przez ustawienie, połączenie będzie nadal działać pomyślnie, ale żądanie ostatecznie zakończy się niepowodzeniem.

Oto kilka ważnych kwestii, które należy wziąć pod uwagę:

• Ślad sieciowy pokazuje pomyślne utworzenie połączenia TCP i pomyślne negocjowanie protokołu TLS, zanim zostanie zwrócony błąd 401, jeśli używana wersja protokołu TLS jest mniejsza niż minimalna skonfigurowana wersja protokołu TLS.
• Skanowanie penetracyjne lub końcowe <TOPICorDOMAIN>.<REGION>.eventgrid.azure.net oznacza obsługę protokołów TLS 1.0, TLS 1.1 i TLS 1.2, ponieważ usługa nadal obsługuje wszystkie te protokoły. Minimalna wersja protokołu TLS wymuszana na poziomie tematu lub domeny wskazuje, jaka jest najniższa wersja protokołu TLS obsługiwana przez temat lub domenę.

Następne kroki

Aby uzyskać więcej informacji, zobacz następujący artykuł: Konfigurowanie minimalnej wersji protokołu TLS dla tematu lub domeny usługi Event Grid