你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn 。
本文内容
重要
本页包含使用 Kubernetes 部署清单(目前为预览版若干限制 ,不应该用于生产工作负载。
有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款 。
授权策略确定客户端可以在代理上执行的操作,例如连接、发布或订阅主题。 将 MQTT 代理配置为将一个或多个授权策略与 BrokerAuthorization 资源配合使用。 每个 BrokerAuthorization 资源都包含一个规则列表,用于指定授权策略的主体和资源。
将 BrokerAuthorization 链接到 BrokerListener
若要将 ports 设置中指定 authorizationRef 字段。 与 BrokerAuthentication 类似,
重要
若要将
若要了解 BrokerListener 的详细信息,请参阅
授权规则
若要配置授权策略,首先需要在 Kubernetes 群集中创建 代理身份验证 API 参考。
以下示例演示如何使用用户名和属性创建
在 Azure 门户中,导航到 IoT 操作实例。
在“组件”
选择授权 选项卡。
选择现有身份验证策略,或通过选择“创建授权策略”来创建新的身份验证策略
若要编辑授权策略,请创建包含以下内容的 Bicep .bicep 文件。 根据需要更新设置,并将占位符值(如 <AIO_INSTANCE_NAME>)替换为你自己的值。
param aioInstanceName string = '<AIO_INSTANCE_NAME>'
param customLocationName string = '<CUSTOM_LOCATION_NAME>'
param policyName string = '<POLICY_NAME>'
resource aioInstance 'Microsoft.IoTOperations/instances@2024-11-01' existing = {
name: aioInstanceName
}
resource customLocation 'Microsoft.ExtendedLocation/customLocations@2021-08-31-preview' existing = {
name: customLocationName
}
resource defaultBroker 'Microsoft.IoTOperations/instances/brokers@2024-11-01' existing = {
parent: aioInstance
name: 'default'
}
resource brokerAuthorization 'Microsoft.IoTOperations/instances/brokers/authorizations@2024-11-01' = {
parent: defaultBroker
name: policyName
extendedLocation: {
name: customLocation.id
type: 'CustomLocation'
}
properties: {
authorizationPolicies: {
cache: 'Enabled'
rules: [
{
principals: {
clientIds: [
'temperature-sensor'
'humidity-sensor'
]
attributes: [
{
city: 'seattle'
organization: 'contoso'
}
]
}
brokerResources: [
{
method: 'Connect'
}
{
method: 'Publish'
topics: [
'/telemetry/{principal.clientId}'
'/telemetry/{principal.attributes.organization}'
]
}
{
method: 'Subscribe'
topics: [
'/commands/{principal.attributes.organization}'
]
}
]
}
]
}
}
}
使用 Azure CLI 部署 Bicep 文件。
az deployment group create --resource-group <RESOURCE_GROUP> --template-file <FILE>.bicep
apiVersion: mqttbroker.iotoperations.azure.com/v1
kind: BrokerAuthorization
metadata:
name: "my-authz-policies"
namespace: azure-iot-operations
spec:
authorizationPolicies:
cache: Enabled
rules:
- principals:
clientIds:
- "temperature-sensor"
- "humidity-sensor"
attributes:
- city: "seattle"
organization: "contoso"
brokerResources:
- method: Connect
- method: Publish
topics:
- "/telemetry/{principal.clientId}"
- "/telemetry/{principal.attributes.organization}"
- method: Subscribe
topics:
- "/commands/{principal.attributes.organization}"
若要创建此 BrokerAuthorization 资源,请将 YAML 清单应用到 Kubernetes 群集。
此代理授权允许具有客户端 ID temperature-sensor 或 humidity-sensor 的客户端,或者具有属性 organization(值为 contoso)的客户端和具有属性 city(值为 seattle)的客户端:
连接到中转站。
将消息发布到其客户端 ID 和组织所在范围的遥测主题。 例如:
temperature-sensor 可以发布到 /telemetry/temperature-sensor 和 /telemetry/contoso。humidity-sensor 可以发布到 /telemetry/humidity-sensor 和 /telemetry/contoso。some-other-username 可以发布到 /telemetry/contoso。
订阅其组织所在范围的命令主题。 例如:
temperature-sensor 可以订阅 /commands/contoso。some-other-username 可以订阅 /commands/contoso。
使用用户名进行授权
若要使用 MQTT 用户名进行授权,请将其以数组的形式指定在 principals.usernames 下。 但是,根据身份验证方法的不同,用户名可能无法验证:
Kubernetes SAT - 用户名不应用于授权,因为它未经过具有增强身份验证的 MQTTv5 的验证。X.509 - 用户名与证书中的公用名相匹配,可用于授权规则。自定义 - 只有在自定义身份验证验证用户名的情况下,用户名才可以用于授权规则。
为了防止出现安全问题,只有当 MQTT 用户名可以验证时,才能将其用于代理授权。
根据客户端 ID 进一步限制访问
由于 principals 字段是逻辑 OR,因此可以通过将 clientIds 字段添加到 brokerResources 字段来进一步限制基于客户端 ID 的访问。 例如,若要允许客户端 ID 以生成编号开头的客户端连接遥测数据并将其发布到其生成范围的主题,请使用以下配置:
在授权策略的代理授权规则中,使用以下配置:
[
{
"brokerResources": [
{
"clientIds": [
"{principal.attributes.building}*"
],
"method": "Connect",
"topics": []
},
{
"clientIds": [],
"method": "Publish",
"topics": [
"sensors/{principal.attributes.building}/{principal.clientId}/telemetry"
]
}
],
"principals": {
"attributes": [
{
"building": "building22"
},
{
"building": "building23"
}
]
}
}
]
若要编辑授权策略,请创建包含以下内容的 Bicep .bicep 文件。 根据需要更新设置,并将占位符值(如 <AIO_INSTANCE_NAME>)替换为你自己的值。
param aioInstanceName string = '<AIO_INSTANCE_NAME>'
param customLocationName string = '<CUSTOM_LOCATION_NAME>'
param policyName string = '<POLICY_NAME>'
resource aioInstance 'Microsoft.IoTOperations/instances@2024-11-01' existing = {
name: aioInstanceName
}
resource customLocation 'Microsoft.ExtendedLocation/customLocations@2021-08-31-preview' existing = {
name: customLocationName
}
resource defaultBroker 'Microsoft.IoTOperations/instances/brokers@2024-11-01' existing = {
parent: aioInstance
name: 'default'
}
resource brokerAuthorization 'Microsoft.IoTOperations/instances/brokers/authorizations@2024-11-01' = {
parent: defaultBroker
name: policyName
extendedLocation: {
name: customLocation.id
type: 'CustomLocation'
}
properties: {
authorizationPolicies: {
cache: 'Enabled'
rules: [
{
principals: {
attributes: [
{
building: 'building22'
}
{
building: 'building23'
}
]
}
brokerResources: [
{
method: 'Connect'
clientIds: [
'{principal.attributes.building}*' // client IDs must start with building22
]
}
{
method: 'Publish'
topics: [
'sensors/{principal.attributes.building}/{principal.clientId}/telemetry'
]
}
]
}
]
}
}
}
使用 Azure CLI 部署 Bicep 文件。
az deployment group create --resource-group <RESOURCE_GROUP> --template-file <FILE>.bicep
apiVersion: mqttbroker.iotoperations.azure.com/v1
kind: BrokerAuthorization
metadata:
name: "my-authz-policies"
namespace: azure-iot-operations
spec:
authorizationPolicies:
cache: Enabled
rules:
- principals:
attributes:
- building: "building22"
- building: "building23"
brokerResources:
- method: Connect
clientIds:
- "{principal.attributes.building}*" # client IDs must start with building22
- method: Publish
topics:
- "sensors/{principal.attributes.building}/{principal.clientId}/telemetry"
此处,如果未在 Connect 方法下设置 clientIds,则只要客户端的 building 属性设置为 building22 或 building23,则具有任何客户端 ID 的客户端就可以进行连接。 通过添加 clientIds 字段,只有客户端 ID 以 building22 或 building23 开头的客户端才能连接。 这不仅可以确保客户端具有正确的属性,而且还确保客户端 ID 与预期模式匹配。
授权使用 X.509 身份验证的客户端
使用 X.509 证书进行身份验证 的客户端可被授权访问其证书上基于 X.509 属性或其链上颁发证书的资源。
使用属性
若要基于客户端证书的属性、其根 CA 或中间 CA 创建规则,请在 BrokerAuthorization 资源中定义 X.509 属性。 有关详细信息,请参阅证书属性 。
使用客户端证书主体公用名作为用户名
若要仅基于客户端 证书主体公用名 (CN) 创建授权策略,请基于 CN 创建规则。
例如,如果客户端具有主体为 CN = smart-lock 的证书,则其用户名为 smart-lock。 然后,像平时一样创建授权策略。
授权使用 Kubernetes 服务帐户令牌的客户端
在“服务帐户注释 ”中设置 SAT 的授权属性。 例如,若要添加具有值 authz-sat 且名为 group 的授权属性,请运行以下命令:
kubectl annotate serviceaccount mqtt-client aio-broker-auth/group=authz-sat
属性注释必须以 aio-broker-auth/ 开头,以便将其与其他注释区分开来。
由于应用程序具有名为 authz-sat 的授权属性,因此无需提供 clientId 或 username。 相应的 BrokerAuthorization 资源使用此属性作为主体,例如:
在授权策略的代理授权规则中,使用以下配置:
[
{
"brokerResources": [
{
"clientIds": [],
"method": "Connect",
"topics": []
},
{
"clientIds": [],
"method": "Publish",
"topics": [
"odd-numbered-orders"
]
},
{
"clientIds": [],
"method": "Subscribe",
"topics": [
"orders"
]
}
],
"principals": {
"attributes": [
{
"group": "authz-sat"
}
]
}
}
]
若要编辑授权策略,请创建包含以下内容的 Bicep .bicep 文件。 根据需要更新设置,并将占位符值(如 <AIO_INSTANCE_NAME>)替换为你自己的值。
param aioInstanceName string = '<AIO_INSTANCE_NAME>'
param customLocationName string = '<CUSTOM_LOCATION_NAME>'
param policyName string = '<POLICY_NAME>'
resource aioInstance 'Microsoft.IoTOperations/instances@2024-11-01' existing = {
name: aioInstanceName
}
resource customLocation 'Microsoft.ExtendedLocation/customLocations@2021-08-31-preview' existing = {
name: customLocationName
}
resource defaultBroker 'Microsoft.IoTOperations/instances/brokers@2024-11-01' existing = {
parent: aioInstance
name: 'default'
}
resource brokerAuthorization 'Microsoft.IoTOperations/instances/brokers/authorizations@2024-11-01' = {
parent: defaultBroker
name: policyName
extendedLocation: {
name: customLocation.id
type: 'CustomLocation'
}
properties: {
authorizationPolicies: {
rules: [
{
principals: {
attributes: [
{
group: 'authz-sat'
}
]
}
brokerResources: [
{
method: 'Connect'
}
{
method: 'Publish'
topics: [
'odd-numbered-orders'
]
}
{
method: 'Subscribe'
topics: [
'orders'
]
}
]
}
]
}
}
}
使用 Azure CLI 部署 Bicep 文件。
az deployment group create --resource-group <RESOURCE_GROUP> --template-file <FILE>.bicep
apiVersion: mqttbroker.iotoperations.azure.com/v1
kind: BrokerAuthorization
metadata:
name: "my-authz-policies"
namespace: azure-iot-operations
spec:
authorizationPolicies:
cache: Enabled
rules:
- principals:
attributes:
- group: "authz-sat"
brokerResources:
- method: Connect
- method: Publish
topics:
- "odd-numbered-orders"
- method: Subscribe
topics:
- "orders"
若要详细了解示例,请参阅使用 Dapr 客户端设置授权策略 。
状态存储
MQTT 代理会提供一个可供客户端用于存储状态的状态存储 。 状态存储也可以配置为高度可用。
若要为使用状态存储的客户端设置授权,请提供以下权限:
要发布到系统密钥值存储 $services/statestore/_any_/command/invoke/request 主题的权限
用于订阅响应主题(是在初始发布期间作为参数来设置的)<response_topic>/# 的权限
状态存储键
状态存储是通过 MQTT 代理在主题 statestore/v1/FA9AE35F-2F64-47CD-9BFF-08E2B32A0FE8/command/invoke 上进行访问的。
由于客户端有权访问该主题,因此可以在 MQTT 代理 brokerResources 配置的 stateStoreResources 部分下指定键和访问级别。
stateStoreResources 部分格式包括访问级别、模式指示器和模式。
将 stateStoreResources 部分包含在授权策略的规则中。
"stateStoreResources": [
{
"method": "", // Values: read, write, readwrite
"keyType": "", //Values: string, pattern, binary. Default is pattern
"keys": [
// List of patterns to match
]
},
]
在 Bicep 中,将 stateStoreResources 部分包含在授权策略中。
stateStoreResources: [
{
method: '' // Values: read, write, readwrite
keyType: '' //Values: string, pattern, binary. Default is pattern
keys: [
// List of patterns to match
]
}
{
method: 'ReadWrite'
keyType: 'Binary'
keys: [
'xxxxxxxxxxxxxxxxxxxx'
]
}
]
在自定义资源定义中,将 stateStoreResources 部分包含在授权策略中。
stateStoreResources:
- method: # Values: read, write, readwrite
keyType: # Values: string, pattern, binary. Default is pattern
keys:
- # List of patterns to match
method 字段指定访问级别。
读取访问通过 read 指定,写入权限通过 write,读写访问权限通过 readwrite。
访问级别是必需的。
读取访问级别意味着可以执行 get 和 keynotify 操作。
写入访问级别意味着可以执行 set、del 和 vdel 操作。
keyType 字段指定键匹配的类型。
pattern 使用 glob 样式模式匹配使用 string 进行精确匹配,例如,当键包含可能作为模式匹配的字符时(*、?、[0-9])
使用 binary 来匹配二进制键
keys 字段指定要匹配的键。 可以将这些键指定为 Glob 样式模式、令牌替换或确切字符串
Glob 样式示例
colors/*:所有前缀为“colors/”的键number[0-9]:从“number0”到“number9”的任意键char?:前缀为“char”且后缀为单个数字的任意键,如“charA”*:对所有键的完全访问权限。
当键类型为 pattern 时,状态存储键还支持令牌替换,并为此保留大括号。 令牌替换示例:
clients/{principal.clientId}/*usernames/{principal.username}/*rooms/{principal.attributes.room}/*
下面是如何创作状态存储资源的示例:
在授权策略的代理授权规则中,添加类似的配置:
[
{
"brokerResources": [
{
"clientIds": [
"{principal.attributes.building}*"
],
"method": "Connect"
},
{
"method": "Publish",
"topics": [
"sensors/{principal.attributes.building}/{principal.clientId}/telemetry/*"
]
},
{
"method": "Subscribe",
"topics": [
"commands/{principal.attributes.organization}"
]
}
],
"principals": {
"attributes": [
{
"building": "17",
"organization": "contoso"
}
],
"usernames": [
"temperature-sensor",
"humidity-sensor"
]
},
"stateStoreResources": [
{
"method": "Read",
"keyType": "Pattern",
"keys": [
"myreadkey",
"myotherkey?",
"mynumerickeysuffix[0-9]",
"clients/{principal.clientId}/*"
]
},
{
"method": "ReadWrite",
"keyType": "Binary",
"keys": [
"xxxxxxxxxxxxxxxxxxxx"
]
}
]
}
]
若要编辑授权策略,请创建包含以下内容的 Bicep .bicep 文件。 根据需要更新设置,并将占位符值(如 <AIO_INSTANCE_NAME>)替换为你自己的值。
param aioInstanceName string = '<AIO_INSTANCE_NAME>'
param customLocationName string = '<CUSTOM_LOCATION_NAME>'
param policyName string = '<POLICY_NAME>'
resource aioInstance 'Microsoft.IoTOperations/instances@2024-11-01' existing = {
name: aioInstanceName
}
resource customLocation 'Microsoft.ExtendedLocation/customLocations@2021-08-31-preview' existing = {
name: customLocationName
}
resource defaultBroker 'Microsoft.IoTOperations/instances/brokers@2024-11-01' existing = {
parent: aioInstance
name: 'default'
}
resource brokerAuthorization 'Microsoft.IoTOperations/instances/brokers/authorizations@2024-11-01' = {
parent: defaultBroker
name: policyName
extendedLocation: {
name: customLocation.id
type: 'CustomLocation'
}
properties: {
authorizationPolicies: {
cache: 'Enabled'
rules: [
{
principals: {
usernames: [
'temperature-sensor'
'humidity-sensor'
]
attributes: [
{
city: 'seattle'
organization: 'contoso'
}
]
}
brokerResources: [
{
method: 'Connect'
}
{
method: 'Publish'
topics: [
'/telemetry/{principal.username}'
'/telemetry/{principal.attributes.organization}'
]
}
{
method: 'Subscribe'
topics: [
'/commands/{principal.attributes.organization}'
]
}
]
stateStoreResources: [
{
method: 'Read'
keyType: 'Pattern'
keys: [
'myreadkey'
'myotherkey?'
'mynumerickeysuffix[0-9]'
'clients/{principal.clientId}/*'
]
}
{
method: 'ReadWrite'
keyType: 'Binary'
keys: [
'xxxxxxxxxxxxxxxxxxxx'
]
}
]
}
]
}
}
}
使用 Azure CLI 部署 Bicep 文件。
az deployment group create --resource-group <RESOURCE_GROUP> --template-file <FILE>.bicep
stateStoreResources:
- method: Read # Read includes Get, Notify
keyType: "pattern" # string, pattern, binary
keys:
- "myreadkey" # explicit read access on key: myreadkey
- "myotherkey?" # single digit wildcard
- "mynumerickeysuffix[0-9]" # single digit number range
- "clients/{principal.clientId}/*" # use token substitution and a wildcard for per-client sandboxing
- method: ReadWrite # ReadWrite access includes Get, Notify, Set, Del
keyType: "binary" # binary keys have exact match, no patterns
keys:
- "xxxxxxxxxxxxxxxxxxxx" # base-64 encoded binary key.
更新授权
代理授权资源可以在运行时更新,而无需重启。 策略更新时连接的所有客户端都会断开连接。 还支持更改策略类型。
kubectl edit brokerauthorization my-authz-policies
禁用授权
在 Azure 门户中,导航到 IoT 操作实例。
在“组件”
从列表中选择要编辑的代理侦听器。
在要禁用授权的端口上,在授权下拉列表中选择“无”。
要禁用授权,请在 BrokerListener 资源的 ports 设置中省略 authorizationRef
要禁用授权,请在 BrokerListener 资源的 ports 设置中省略 authorizationRef
MQTT 3.1.1 中未经授权的发布
使用 MQTT 3.1.1 时,若发布被拒绝,客户端会收到 PUBACK,而不会收到错误代码,因为协议版本不支持返回错误代码。 当发布被拒绝时,MQTTv5 返回原因代码为 135(未授权)的 PUBACK。
相关内容
