Поделиться через

Обеспечивать безопасную доставку событий с помощью управляемых удостоверений

Если вы используете базовый уровень Event Grid и ваши требования предполагают безопасную отправку событий через зашифрованный канал с известным удостоверением отправителя (в этом случае Event Grid) по общедоступному IP-пространству, вы можете направлять события в Event Hubs, Service Bus или службу хранения Azure, используя пользовательскую тему Azure Event Grid или домен с управляемым удостоверением, назначаемым системой или пользователем. Дополнительные сведения о доставке событий с помощью управляемого удостоверения см. в статье Доставка событий с помощью управляемого удостоверения.

Диаграмма, демонстрирующая доставку событий с помощью службы Private Link.

В этой конфигурации защищенный трафик, передаваемый от Сетки событий к Центрам событий, Служебной шине или службе хранилища Azure остается в магистральной сети Майкрософт, при этом используется управляемое удостоверение Сетки событий. Настройка экземпляра Функций Azure или веб-перехватчика в пределах виртуальной сети для использования Центров событий, Служебной шины или службы хранилища Azure через приватный канал гарантирует, что трафик между этими службами и вашей функцией или веб-перехватчиком останется в пределах периметра виртуальной сети.

Доставка событий в Event Hubs с помощью управляемого удостоверения

Замечание

Этот раздел относится как к базовым, так и к стандартным уровням сетки событий.

Выполните следующие действия для доставки событий в пространство имен узлов событий с помощью управляемого удостоверения:

  1. Включите управляемое удостоверение, назначаемое пользователем или системой: системные разделы, пользовательские разделы и домены.
  2. Добавьте удостоверение в роль отправителя данных концентраторов событий Azure в пространстве имен концентраторов событий.
  3. Установите флажок Разрешить доверенным службам Майкрософт обходить этот параметр брандмауэра в вашем пространстве имен концентраторов событий.
  4. Настройте подписку на события так, чтобы она использовала центр событий в качестве конечной точки с управляемым удостоверением, назначаемым системой или пользователем.

Отправляйте события в Service Bus с использованием управляемой идентичности

Замечание

Этот раздел относится только к базовому уровню сетки событий.

Чтобы доставлять события в очереди или темы службы Service Bus в вашем пространстве имен с помощью управляемой идентичности, выполните следующие действия:

  1. Включите управляемую идентичность, назначаемую системой или пользователем: системные топики, пользовательские топики и домены.
  2. Добавьте удостоверение в роль Azure Service Bus Data Sender в "Service Bus namespace"
  3. Установите флажок Разрешить доверенным службам Майкрософт обходить этот параметр брандмауэра в вашем пространстве имен "Служебная шина".
  4. Настройте подписку на события, которая использует очередь или раздел Служебной шины в качестве конечной точки, чтобы использовать управляемое удостоверение, назначаемое системой или пользователем.

Доставка событий в очереди в хранилище с использованием управляемой идентификации

Замечание

Этот раздел относится только к базовому уровню сетки событий.

Для доставки событий в очереди хранилища через управляемую учетную запись выполните следующие действия:

  1. Включите управляемое удостоверение, назначаемое системой или пользователем: системные темы, пользовательские темы и домены.
  2. Добавьте удостоверение в роль Отправитель сообщений очереди хранилища в очереди службы хранилища Azure.
  3. Настройте подписку на события, которая использует очередь хранилища в качестве конечной точки, чтобы использовать управляемое удостоверение, назначенное системой или пользователем.

Доставляйте события в webhook-и с помощью управляемого удостоверения

Замечание

Этот раздел относится как к базовым, так и к стандартным уровням сетки событий.

Чтобы доставлять события в Web-перехватчик с помощью управляемой идентификации, выполните следующие действия.

  1. Включите управляемую идентичность, назначаемую системой или пользователем для: системных разделов, пользовательских разделов и доменов, и пространств имен.
  2. Создайте однопользовательское или многопользовательское приложение, чтобы задать аудиторию для токена.
  3. Настройте подписку на события, которая использует веб-хук в качестве конечной точки, чтобы использовать управляемое удостоверение, назначаемое системой или пользователем. Выбрав тип управляемого удостоверения, необходимо ввести новый идентификатор приложения и идентификатор клиента. В сценарии с несколькими клиентами идентификатор приложения должен быть создан из приложения, созданного в целевом клиенте.

Правила брандмауэра и виртуальной сети

Если для целевой учетной записи хранения, пространства имен Центров событий или пространства имен Служебной шины не настроены правила брандмауэра или виртуальной сети, можно использовать как пользовательские, так и системные удостоверения для доставки событий.

Если брандмауэр или правило виртуальной сети настроено для целевой учетной записи хранения, пространства имен Центров событий или пространства имен Service Bus, вы можете использовать только управляемое удостоверение, назначенное системой, если также включено разрешение для служб Azure в списке доверенных служб на доступ к учетной записи хранения. Вы не можете использовать управляемое удостоверение, назначаемое пользователем, независимо от того, включен ли этот параметр.

Связанный контент

Дополнительные сведения о доставке событий с помощью управляемого удостоверения см. в статье Доставка событий с помощью управляемого удостоверения.

  • Last updated on