Поделиться через

Обеспечивать безопасную доставку событий с помощью управляемых удостоверений

Если вы используете службу "Сетка событий", а требования требуют безопасного способа отправки событий с помощью зашифрованного канала и известного удостоверения отправителя (в данном случае сетка событий) с помощью общедоступного IP-пространства, вы можете доставлять события в Центры событий, служебная шина или службу служба хранилища Azure с помощью Сетка событий Azure пользовательский раздел или домен с управляемым удостоверением, назначаемого системой или назначаемого пользователем. Дополнительные сведения о доставке событий с помощью управляемого удостоверения см. в статье Доставка событий с помощью управляемого удостоверения.

Диаграмма, демонстрирующая доставку событий с помощью службы Private Link.

В этой конфигурации защищенный трафик, передаваемый от Сетки событий к Центрам событий, Служебной шине или службе хранилища Azure остается в магистральной сети Майкрософт, при этом используется управляемое удостоверение Сетки событий. Настройка экземпляра Функций Azure или веб-перехватчика в пределах виртуальной сети для использования Центров событий, Служебной шины или службы хранилища Azure через приватный канал гарантирует, что трафик между этими службами и вашей функцией или веб-перехватчиком останется в пределах периметра виртуальной сети.

Доставка событий в концентратор событий с помощью управляемого удостоверения

Замечание

Этот раздел относится как к базовым, так и к стандартным уровням сетки событий.

Выполните следующие действия для доставки событий в пространстве имен вашего концентратора событий с помощью управляемого удостоверения:

  1. Включите управляемое удостоверение, назначаемое пользователем или системой: системные разделы, пользовательские разделы и домены.
  2. Добавьте удостоверение в роль отправителя данных концентраторов событий Azure в пространстве имен концентраторов событий.
  3. Установите флажок Разрешить доверенным службам Майкрософт обходить этот параметр брандмауэра в вашем пространстве имен концентраторов событий.
  4. Настройте подписку на события, использующую центр событий в качестве конечной точки для управляемого удостоверения, назначаемого пользователем или системой.

Доставка событий в служебную шину с помощью управляемого удостоверения

Замечание

Этот раздел относится только к базовому уровню сетки событий.

Чтобы доставлять события в очереди или разделы служебной шины в пространстве имен "Служебная шина" с помощью управляемого удостоверения, выполните следующие действия:

  1. Включите управляемое удостоверение, назначаемое пользователем или системой: системные разделы, пользовательские разделы и домены.
  2. Добавьте удостоверения в роль Отправитель данных служебной шины Azure в пространстве имен "Служебная шина"
  3. Установите флажок Разрешить доверенным службам Майкрософт обходить этот параметр брандмауэра в вашем пространстве имен "Служебная шина".
  4. Настройте подписку на события, использующую очередь или раздел Служебной шины в качестве конечной точки для управляемого удостоверения, назначаемого пользователем или системой.

Доставка событий в очереди в хранилище с использованием управляемой идентификации

Замечание

Этот раздел относится только к базовому уровню сетки событий.

Для доставки событий в очереди хранилища с помощью управляемого удостоверения выполните следующие действия:

  1. Включите управляемое удостоверение, назначаемое пользователем или системой: системные разделы, пользовательские разделы и домены.
  2. Добавьте удостоверение в роль Отправитель сообщений очереди хранилища в очереди службы хранилища Azure.
  3. Настройте подписку на события, использующую очередь хранилища в качестве конечной точки для управляемого удостоверения, назначаемого пользователем или системой.

Доставляйте события в webhook-и с помощью управляемого удостоверения

Замечание

Этот раздел относится как к базовым, так и к стандартным уровням сетки событий.

Чтобы доставлять события в Web-перехватчик с помощью управляемой идентификации, выполните следующие действия.

  1. Включите управляемую идентичность, назначаемую системой или пользователем для: системных разделов, пользовательских разделов и доменов, и пространств имен.
  2. Создайте однопользовательское или многопользовательское приложение, чтобы задать аудиторию для токена.
  3. Настройте подписку на события, которая использует веб-хук в качестве конечной точки, чтобы использовать управляемое удостоверение, назначаемое системой или пользователем. Выбрав тип управляемого удостоверения, необходимо ввести новый идентификатор приложения и идентификатор клиента. В сценарии с несколькими клиентами идентификатор приложения должен быть создан из приложения, созданного в целевом клиенте.

Правила брандмауэра и виртуальной сети

Если для целевой учетной записи хранения, пространства имен Центров событий или пространства имен служебная шина не настроены правила брандмауэра или виртуальной сети, можно использовать как назначаемые пользователем, так и назначаемые системой удостоверения для доставки событий.

Если брандмауэр или правило виртуальной сети настроено для целевой учетной записи хранения, пространства имен Центров событий или пространства имен служебная шина, можно использовать только управляемое удостоверение, назначаемое системой, если разрешить службам Azure в списке доверенных служб доступ к учетной записи хранения также включен в назначениях. Вы не можете использовать управляемое удостоверение, назначаемое пользователем, независимо от того, включен ли этот параметр.

Связанный контент

Дополнительные сведения о доставке событий с помощью управляемого удостоверения см. в статье Доставка событий с помощью управляемого удостоверения.

  • Last updated on