Dela via

Framtvinga en lägsta nödvändig version av TLS (Transport Layer Security) för ett Event Grid-ämne, en domän eller en prenumeration

  • Artikel

Kommunikationen mellan ett klientprogram och ett Azure Grid-ämne, en domän eller en prenumeration krypteras med hjälp av TLS (Transport Layer Security). Information om TLS i allmänhet finns i Transport Layer Security.

Azure Event Grid har stöd för att välja en specifik TLS-version för ämnen, domäner eller prenumerationer (när du använder ett Web Hook-mål). För närvarande använder Azure Event Grid TLS 1.2 på offentliga slutpunkter som standard, men TLS 1.0 och TLS 1.1 stöds fortfarande för bakåtkompatibilitet.

Azure Event Grid-ämnen eller -domäner tillåter klienter att skicka och ta emot data med TLS 1.0 och senare. Om du vill tillämpa strängare säkerhetsåtgärder kan du konfigurera event grid-ämnet eller domänen så att klienterna skickar och tar emot data med en nyare version av TLS. Om ett Event Grid-ämne eller en domän kräver en lägsta version av TLS misslyckas alla begäranden som görs med en äldre version.

När du skapar en Web Hook-händelseprenumeration kan du konfigurera den så att den använder samma TLS-version som ämnet eller uttryckligen ange den lägsta TLS-versionen. Om du gör det misslyckas Event Grid med att leverera händelser till en webbhook som inte stöder den lägsta versionen av TLS eller senare.

Viktigt!

Om klienten är en tjänst kontrollerar du att tjänsten använder rätt version av TLS för att skicka begäranden till Event Grid innan du anger den lägsta version som krävs för ett Event Grid-ämne eller en domän.

Behörigheter som krävs för att kräva en lägsta version av TLS

Om du vill ange MinimumTlsVersion egenskapen för Event Grid-ämnet eller domänen måste en användare ha behörighet att skapa och hantera Event Grid-ämnen eller domäner. Rollbaserade Azure-åtkomstkontrollroller (Azure RBAC) som ger dessa behörigheter inkluderar åtgärden Microsoft.EventGrid/topics/write eller Microsoft.EventGrid/domains/write . Inbyggda roller med den här åtgärden är:

Rolltilldelningar måste begränsas till nivån för Event Grid-ämnet (eller domänen) eller på en högre nivå för att tillåta en användare att kräva en lägsta version av TLS för Event Grid-ämnet eller domänen. Mer information om rollomfång finns i Förstå omfånget för Azure RBAC.

Var noga med att begränsa tilldelningen av dessa roller endast till dem som behöver möjligheten att skapa ett Event Grid-ämne eller en domän eller uppdatera dess egenskaper. Använd principen om minsta behörighet för att se till att användarna har minst behörighet att utföra sina uppgifter. Mer information om hur du hanterar åtkomst med Azure RBAC finns i Metodtips för Azure RBAC.

Kommentar

De klassiska prenumerationsadministratörsrollerna Tjänstadministratör och medadministratör innehåller motsvarigheten till rollen Azure Resource Manager-ägare. Rollen Ägare innehåller alla åtgärder, så att en användare med någon av dessa administrativa roller också kan skapa och hantera Event Grid-ämnen eller domäner. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.

Nätverksöverväganden

När en klient skickar en begäran till ett Event Grid-ämne eller en domän upprättar klienten först en anslutning till Event Grid-ämnet eller domänslutpunkten innan någon begäran bearbetas. Inställningen för lägsta TLS-version kontrolleras när TLS-anslutningen har upprättats. Om begäran använder en tidigare version av TLS än den som anges i inställningen fortsätter anslutningen att lyckas, men begäran misslyckas till slut.

Här är några viktiga saker att tänka på:

  • En nätverksspårning skulle visa en lyckad etablering av en TCP-anslutning och lyckad TLS-förhandling innan en 401 returneras om den TLS-version som används är mindre än den minsta TLS-version som har konfigurerats.
  • Intrång eller slutpunktsgenomsökning på <TOPICorDOMAIN>.<REGION>.eventgrid.azure.net indikerar stöd för TLS 1.0, TLS 1.1 och TLS 1.2, eftersom tjänsten fortsätter att stödja alla dessa protokoll. Den lägsta TLS-versionen, som tillämpas på ämnes- eller domännivå, anger vad den lägsta TLS-versionen som ämnet eller domänen stöder.

Nästa steg

Mer information finns i följande artikel: Konfigurera den lägsta TLS-versionen för ett Event Grid-ämne eller en domän