Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обмен данными между клиентским приложением и пространством имен Azure Event Hubs шифруется с помощью TLS. TLS — это стандартный протокол шифрования, обеспечивающий конфиденциальность и целостность данных, пересылаемых между клиентами и службами через Интернет. Дополнительные сведения см. в статье Протокол TLS.
Azure Event Hubs поддерживает выбор определенной версии TLS для пространств имен. В настоящее время Azure Event Hubs использует TLS 1.2 в общедоступных конечных точках по умолчанию, но tls 1.0 и TLS 1.1 по-прежнему поддерживаются для обратной совместимости.
Azure Event Hubs пространства имен позволяют клиентам отправлять и получать данные с помощью TLS 1.0 и более поздних версий. Чтобы обеспечить более строгие меры безопасности, можно настроить пространство имен Центров событий таким образом, чтобы клиенты отправляли и получали данные с помощью более новой версии TLS. Если в пространстве имен Центров событий настроено требование минимальной версии TLS, все запросы, созданные с использованием более старой версии, будут завершаться ошибкой.
Предупреждение
По состоянию на 20 октября 2025 г. tls 1.0 и TLS 1.1 больше не будут поддерживаться в Azure Event Hubs. Минимальная версия TLS будет 1.2 для всех развертываний Центров событий.
Внимание
31 октября 2024 г. протокол TLS 1.3 будет включен для трафика AMQP. ПРОТОКОЛ TLS 1.3 уже включен для трафика Kafka и HTTPS. Java клиентам может возникнуть проблема с TLS 1.3 из-за зависимости от более старой версии Proton-J. Дополнительные сведения см. в изменениях клиента Java для поддержки TLS 1.3 в Azure Service Bus и Azure Event Hubs
Внимание
Если вы используете службу, которая подключается к Azure Event Hubs, убедитесь, что служба использует соответствующую версию TLS для отправки запросов в Azure Event Hubs, прежде чем задать необходимую минимальную версию пространства имен Центров событий.
Разрешения, необходимые для принудительного использования минимальной версии TLS
Чтобы задать свойство MinimumTlsVersion для пространства имен Центров событий, пользователь должен иметь разрешения на создание пространств имен Центров событий и управление ими. Роли Azure управления доступом на основе ролей (Azure RBAC), предоставляющие эти разрешения, включая действие Microsoft.EventHub/namespaces/write или Microsoft.EventHub/namespaces/*. Встроенные роли с этим действием:
- Роль Azure Resource Manager Owner
- Роль Azure Resource Manager Contributor
- Роль владельца данных Azure Event Hubs
Чтобы разрешить пользователю требовать минимальную версию TLS для пространства имен Центров событий, назначение ролей должно быть ограничено уровнем пространства имен Центров событий или выше. Дополнительные сведения о сфере роли см. статью Understand scope for Azure RBAC.
Рекомендуется назначать эти роли только тем пользователям, которым необходима возможность создавать пространство имен Центров событий или обновлять его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в статье Best practices for Azure RBAC.
Примечание.
Роли администратора классической подписки, такие как Администратор службы и Со-администратор, включают эквивалент роли Владельца в диспетчере ресурсов Azure. Роль владельца включает в себя все действия, поэтому пользователь, которому назначена одна из этих административных ролей, также может создавать пространства имен Центров событий и управлять ими. Дополнительные сведения см. в разделе роли Azure, роли Microsoft Entra и роли администратора классической подписки.
Рекомендации по сети
Когда клиент отправляет запрос в пространство имен Центров событий, прежде чем приступить к обработке запросов, он устанавливает соединение с конечной точкой пространства имен Центров событий. Параметр минимальной версии TLS проверяется после установки соединения TLS. Если в запросе используется более ранняя версия TLS, чем указано в параметрах, соединение будет продолжено, но запрос в конечном итоге завершится ошибкой.
Примечание.
Из-за ограничений в библиотеке confluent ошибки, связанные с недопустимой версией TLS, не будут отображаться при подключении через протокол Kafka. Вместо этого отобразится общее исключение.
Вот несколько важных моментов, которые следует учитывать:
- Трассировка сети показывает успешное создание TCP-подключения и успешное согласование TLS до возврата ошибки 401, если используемая версия TLS меньше минимальной настроенной версии TLS.
- Сканирование на проникновение или сканирование конечной точки
yournamespace.servicebus.windows.netуказывает на поддержку TLS 1.0, TLS 1.1 и TLS 1.2, поскольку услуга продолжает поддерживать все эти протоколы. Минимальная версия TLS, применяемая на уровне пространства имен, указывает, какая минимальная версия TLS будет поддерживать пространство имен.
Следующие шаги
Дополнительные сведения см. в следующей документации: