Azure-resursmeddelanden som en Azure Event Grid-källa

Azure Resource Notifications (ARN) representerar den senaste enhetliga pub-/undertjänsten för alla Azure-resurser. ARN utnyttjar en mängd olika utgivare, och den här mängden data är nu tillgänglig via ARN:s dedikerade systemämnen i Azure Event Grid.

Här är de viktigaste fördelarna:

• Omfattande nyttolaster: Meddelanden som levereras via ARN omfattar hela resursnyttolasten. Denna direkta åtkomst leder till en minskning av läsbegränsningen, vilket förbättrar din övergripande upplevelse.
• Förbättrade filtreringsfunktioner: Tillgängligheten för nyttolaster öppnar en mängd olika filtreringsalternativ. Använd egenskaperna i nyttolasten för att finjustera meddelandeströmmen och skräddarsy den efter dina specifika scenarier.
• Utökad datamängdsåtkomst: ARN utnyttjar flera utgivare, vilket gör att den kan erbjuda datauppsättningar som kanske inte är tillgängliga via standardsystemämnen.
• Robust rollbaserad åtkomstkontroll (RBAC): ARN är förstärkt med en robust RBAC-funktion. Den här funktionen ger dig möjlighet att konfigurera användare eller tjänstens huvudnamn att enbart prenumerera på de data som de har auktorisering för, inom ramen för deras åtkomst.

Avsnitt om RBAC för ARN-system

Alla händelser under ARN-systemavsnitt genereras exklusivt i Azure-prenumerationsomfånget. Det innebär att entiteten som skapar händelseprenumerationen för en viss ämnestyp tar emot meddelanden om motsvarande händelser i hela Azure-prenumerationen. Av säkerhetsskäl är det viktigt att begränsa möjligheten att skapa händelseprenumerationer i det här avsnittet till huvudkonton med läsåtkomst över hela Azure-prenumerationen.

Från och med idag behöver du följande allmänna behörigheter från Event Grid för att skapa systemämnen och händelseprenumerationer.

• microsoft.eventgrid/eventsubscription/write
• microsoft.eventgrid/systemtopic/eventsubscriptions/write

Utöver dessa behörigheter måste du bevilja följande behörigheter till användare eller säkerhetsobjekt för åtkomst till ARN-systemämnen. För varje ämnestyp exponeras distinkta behörigheter, vilket säkerställer exakt och skräddarsydd åtkomst:

Typ av ämne	Behörighet
HealthResources	Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action
Azure Resource Management	Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action
ContainerService-händelseresurser	Microsoft.ResourceNotifications.ContainerServiceEventResources.ScheduledEventEmitted

För att förbättra kundupplevelsen finns en inbyggd rolldefinition som omfattar alla nödvändiga behörigheter för att ta emot data via ett ARN-systemämne. Den här rollen innehåller behörigheter som krävs av Event Grid för att skapa systemämne och händelseprenumeration. Den här inbyggda rolldefinitionen uppdateras regelbundet för att inkludera fler ämnestyper när de blir tillgängliga via vår tjänst. Därför får användare som tilldelats den här inbyggda rollen automatiskt åtkomst till alla framtida ARN-ämnestyper. Du kan välja att antingen använda den inbyggda rolldefinitionen eller skapa egna anpassade rolldefinitioner för att framtvinga åtkomstkontroll.

Inbyggd rolldefinition:

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
    "name": "[guid]",
    "permissions": [{
    "actions": [
        "Microsoft.EventGrid/eventSubscription/write",
        "Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
        "Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
    ],
    "notActions": [],
    "dataActions": [],
    "notDataActions": []
    }],
    "roleName": "Azure Resource Notifications System Topics Subscriber",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Kontakta oss

Om du har frågor eller feedback om den här funktionen kan du kontakta oss på arnsupport@microsoft.com.

Nästa steg

Mer information finns i följande artiklar:

• Azure-resursmeddelanden – Hälsoresurshändelser i Azure Event Grid.
• Azure Resource Notifications – Azure Resource Manager-händelser i Azure Event Grid.
• Azure Resource Notifications – Container Service-händelser i Azure Event Grid.