Управление доступом к событиям
Концентраторы событий Azure поддерживают Microsoft Entra ID и общие ключи доступа (SAS) для обработки аутентификации и авторизации. Azure предоставляет следующие встроенные роли Azure для авторизации доступа к данным Центров событий с помощью идентификатора Microsoft Entra и OAuth:
- Azure Event Hubs Data Owner: Используйте эту роль, чтобы предоставить полный доступ к ресурсам Event Hubs.
- отправитель данных Центров событий Azure. Используйте эту роль, чтобы предоставить отправлять доступ ресурсам Центров событий.
- приемника данных Центров событий Azure. Используйте эту роль, чтобы предоставить получать доступ к ресурсам Центров событий.
Авторизация доступа с помощью управляемых идентичностей
Чтобы авторизовать запрос к службе Центров событий из управляемого удостоверения в приложении, необходимо настроить параметры управления доступом на основе ролей Azure для этого управляемого удостоверения. Центры событий Azure определяют роли Azure, охватывающие разрешения для отправки и чтения из Центров событий. Когда роль Azure назначается управляемому удостоверению, этому удостоверению предоставляется доступ к данным Event Hubs на соответствующем уровне.
Авторизация доступа с помощью платформы удостоверений Майкрософт
Ключевым преимуществом использования идентификатора Microsoft Entra с центрами событий является то, что учетные данные больше не должны храниться в коде. Вместо этого можно запросить маркер доступа OAuth 2.0 из платформы удостоверений Майкрософт. Microsoft Entra выполняет проверку подлинности субъекта безопасности (пользователя, группы или субъекта-службы). Если проверка подлинности выполнена успешно, идентификатор Microsoft Entra возвращает маркер доступа приложению, а приложение может использовать маркер доступа для авторизации запросов в Центры событий Azure.
Авторизовать доступ к издателям Центров событий с помощью совместных ключей доступа
Издатель событий определяет виртуальную конечную точку для центров событий. Издатель может использоваться только для отправки сообщений в концентратор событий, а не для получения сообщений. Как правило, концентратор событий использует один издатель для каждого клиента. Все сообщения, отправляемые любому издателю концентратора событий, поставляются в очередь в упомянутом концентраторе событий. Издатели обеспечивают точное управление доступом.
Каждому клиенту Центров событий назначается уникальный маркер, который отправляется клиенту. Клиент, содержащий токен, может отправлять только одному издателю и больше ни одному. Если несколько клиентов используют один и тот же маркер, каждый из них предоставляет общий доступ к издателю.
Все токены назначаются ключами подписей общих доступов. Как правило, все токены подписываются одним ключом. Клиенты не знают о ключе, который мешает клиентам создавать токены. Клиенты работают с теми же маркерами до истечения срока действия.
Авторизация доступа к потребителям Event Hubs с помощью подписей для совместного доступа
Для проверки подлинности внутренних приложений, которые используются из данных, созданных производителями Центров событий, проверка подлинности маркеров центров событий требует от своих клиентов либо управления правами, либо прослушивать привилегии, назначенные пространству имен Центров событий или экземпляру концентратора событий или разделу. Данные потребляются из Концентраторов событий с помощью групп потребителей. Хотя политика SAS предоставляет детализированную область, эта область определяется только на уровне сущности, а не на уровне потребителя. Это означает, что привилегии, определенные на уровне пространства имен, уровне экземпляра концентратора событий или уровне топика, относятся к группам потребителей этой сущности.