共用方式為

對事件方格主題、網域或訂用帳戶的要求強制執行最低必要版本的傳輸層安全性 (TLS)

  • 發行項

用戶端應用程式和 Azure 方格主題、網域或訂用帳戶之間的通訊,是使用傳輸層安全性 (TLS) 進行加密。 如需 TLS 的一般資訊,請參閱傳輸層安全性

Azure 事件方格支援為主題、網域或訂用帳戶選擇特定的 TLS 版本 (使用 Webhook 目的地時)。 目前,Azure 事件方格在公用端點上預設會使用 TLS 1.2,但是仍支援 TLS 1.0 和 TLS 1.1 以提供回溯相容性。

Azure 事件方格主題或網域可讓用戶端使用 TLS 1.0 和更新版本來傳送及接收資料。 若要強制執行更嚴格的安全性措施,您可以設定您的事件方格主題或網域,要求用戶端以較新版本的 TLS 傳送和接收資料。 如果事件方格主題或網域需要最低版本的 TLS,則使用較舊版本提出的任何要求都會失敗。

建立 Web Hook 事件訂用帳戶時,您可以將其設定為使用與主題相同的 TLS 版本,或明確指定最低 TLS 版本。 如果您這樣做,事件方格將無法將事件傳遞至不支援 TLS 或更高版本的 Webhook。

重要

如果客戶端是一項服務,請確定服務使用適當的 TLS 版本,先將要求傳送至事件方格後,再設定事件方格主題或網域所需的最低版本。

要求最低 TLS 版本的必要權限

若要設定事件方格主題或網域的 MinimumTlsVersion 屬性,使用者必須具有建立及管理事件方格主題或網域的權限。 可提供這些權限的 Azure 角色型存取控制 (Azure RBAC) 角色包括 Microsoft.EventGrid/topics/writeMicrosoft.EventGrid/domains/write 動作。 具有此動作的內建角色包括:

角色指派的範圍必須設定為事件方格主題 (或網域) 或更高的層級,以允許使用者要求事件方格主題或網域的最低版本 TLS。 如需角色範圍的詳細資訊,請參閱了解 Azure RBAC 的範圍

請小心將這些角色的指派限制為需要建立事件方格主題或網域,或更新其屬性的使用者。 使用最低權限原則,以確保使用者具有完成其工作所需的最低權限。 如需使用 Azure RBAC 管理存取權的詳細資訊,請參閱 Azure RBAC 的最佳做法

注意

傳統訂用帳戶管理員角色「服務管理員」和「共同管理員」含有 Azure Resource Manager 擁有者角色的相等權限。 擁有者角色包含所有動作,因此具有其中一個系統管理角色的使用者也可以建立和管理事件方格主題或網域。 如需詳細資訊,請參閱 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色

網路考量

當用戶端將要求傳送至事件方格主題或網域時,用戶端會先與事件方格主題或網域端點建立連線,然後再處理任何要求。 建立 TLS 連線之後,會檢查最低 TLS 版本設定。 如果要求所使用的 TLS 版本比設定所指定的版本還舊,則連線會繼續成功,但要求最終會失敗。

以下是一些需要考慮的重要事項:

  • 如果使用的 TLS 版本低於所設定的最低 TLS 版本,則網路追蹤會顯示成功建立 TCP 連線和成功的 TLS 交涉,再傳回 401。
  • <TOPICorDOMAIN>.<REGION>.eventgrid.azure.net 上的滲透或端點掃描會指出 TLS 1.0、TLS 1.1 和 TLS 1.2 的支援,因為服務會繼續支援所有這些通訊協定。 在主題或網域層級強制執行的最低 TLS 版本會指出主題或網域會支援的最低 TLS 版本。

下一步

如需詳細資訊,請參閱下列文章:設定事件方格主題或網域的最低 TLS 版本