作為 Azure 事件方格來源的 Azure 資源通知
Azure 資源通知 (ARN) 是適用於所有 Azure 資源的最新整合發佈/訂閱服務。 ARN 藉助於多種不同的發行者,而這些豐富的資料現已可透過 ARN 在 Azure 事件方格中的專用系統主題來存取。
主要優點如下:
- 完整的承載:透過 ARN 傳遞的通知包含整體資源承載。 這種直接存取可促使讀取節流減少,進而提升您的整體體驗。
- 增強的篩選功能:承載的可用性提供了大量篩選選項。 使用承載中的屬性來微調通知串流,根據您的特定案例予以自訂。
- 擴展的資料集存取:ARN 藉助於多個發行者,因而能夠提供無法透過標準系統主題存取的資料集。
- 可靠的角色型存取控制 (RBAC):ARN 有所強化,具備可靠的 RBAC 功能。 這項功能可讓您設定使用者或服務主體,使其能夠在存取範圍內以獨佔方式訂閱他們擁有授權的資料。
ARN 系統主題的 RBAC
ARN 系統主題下的所有事件都會在 Azure 訂用帳戶範圍以獨佔方式發出。 這表示為指定主題類型建立事件訂用帳戶的實體,會接收整個 Azure 訂用帳戶中對應事件的通知。 基於安全考量,必須將在此主題上建立事件訂用帳戶的能力,限定於對整個 Azure 訂用帳戶具有讀取權限的主體。
從今天起,必須要有事件方格提供的下列一般權限,才能建立系統主題和事件訂用帳戶。
microsoft.eventgrid/eventsubscription/write
microsoft.eventgrid/systemtopic/eventsubscriptions/write
除了這些權限以外,您還需要將下列權限授與使用者或安全性主體,以存取 ARN 系統主題。 對於每個主題類型會公開不同的權限,以確保精確而專用的存取:
主題類型 | 權限 |
---|---|
HealthResources | Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action |
Azure 資源管理 | Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action |
ContainerService 事件資源 | Microsoft.ResourceNotifications.ContainerServiceEventResources.ScheduledEventEmitted |
為了提升客戶體驗,可以使用內建角色定義,其中包含透過任何 ARN 系統主題接收資料所需的所有必要權限。 此角色包含事件方格授權用於系統主題和事件訂用帳戶建立的權限。 此內建角色定義會定期更新,隨著更多主題類型可透過我們的服務存取時,將其納入。 因此,被指派此內建角色的使用者,將自動取得未來所有 ARN 主題類型的存取權。 您可以選擇使用隨附的內建角色定義,或製作自己的自訂角色定義,來強制執行存取控制。
內建角色定義:
{
"assignableScopes": [
"/"
],
"description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
"name": "[guid]",
"permissions": [{
"actions": [
"Microsoft.EventGrid/eventSubscription/write",
"Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
"Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}],
"roleName": "Azure Resource Notifications System Topics Subscriber",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
與我們連絡
如果您對這項功能有任何疑問或意見反應,請立即與我們連絡:arnsupport@microsoft.com。
下一步
請參閱以下文章: