Azure 资源通知作为 Azure 事件网格源
Azure 资源通知 (ARN) 代表了面向所有 Azure 资源的前沿统一发布/订阅服务。 ARN 利用了各种各样的发布者,这些丰富的数据现在可以通过 ARN 在 Azure 事件网格中的专用系统主题访问。
以下是主要优势:
- 综合有效负载:通过 ARN 传递的通知包含整个资源有效负载。 这种直接访问会导致读取限制减少,从而增强整体体验。
- 增强的筛选功能:有效负载的可用性提供了大量筛选选项。 使用有效负载中的属性微调通知流,根据特定方案定制通知流。
- 扩展的数据集访问:ARN 利用多个发布者,使其能够提供可能无法通过标准系统主题访问的数据集。
- 可靠的基于角色的访问控制 (RBAC):ARN 通过可靠的 RBAC 功能进行强化。 此功能使你能够将用户或服务主体配置为在访问权限范围内独占订阅他们拥有授权的数据。
ARN 系统主题的 RBAC
ARN 系统主题下的所有事件都是在 Azure 订阅范围内专门发出的。 这意味着为给定主题类型创建事件订阅的实体会在整个 Azure 订阅中接收相应事件的通知。 出于安全原因,必须将在此主题上创建事件订阅的能力限制为对整个 Azure 订阅具有读取访问权限的主体。
到目前为止,你需要事件网格提供的以下通用权限来创建系统主题和事件订阅。
microsoft.eventgrid/eventsubscription/write
microsoft.eventgrid/systemtopic/eventsubscriptions/write
除了这些权限外,还需要向用户或安全主体授予以下权限才能访问 ARN 系统主题。 对于每种主题类型,都会公开不同的权限,以确保精确和定制的访问:
主题类型 | 权限 |
---|---|
HealthResources | Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action |
Azure 资源管理 | Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action |
ContainerService 事件资源 | Microsoft.ResourceNotifications.ContainerServiceEventResources.ScheduledEventEmitted |
为了增强客户体验,提供了一个内置的角色定义,其中包含通过任何 ARN 系统主题接收数据的所有必要权限。 此角色包括事件网格授权用于系统主题和事件订阅创建的权限。 此内置角色定义会定期更新,以包含更多主题类型,因为它们可通过我们的服务访问。 因此,分配了此内置角色的用户会自动获得对所有将来的 ARN 主题类型的访问权限。 可以选择利用提供的内置角色定义,或创建自己的自定义角色定义来强制实施访问控制。
内置角色定义:
{
"assignableScopes": [
"/"
],
"description": "Lets you create system topics and event subscriptions on all system topics exposed currently and in the future by Azure Resource Notifications.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/[guid]",
"name": "[guid]",
"permissions": [{
"actions": [
"Microsoft.EventGrid/eventSubscription/write",
"Microsoft.EventGrid/systemTopics/eventSubscriptions/write",
"Microsoft.ResourceNotifications/systemTopics/subscribeToResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToHealthResources/action",
"Microsoft.ResourceNotifications/systemTopics/subscribeToMaintenanceResources/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}],
"roleName": "Azure Resource Notifications System Topics Subscriber",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
联系我们
如果对此功能有任何疑问或反馈,请通过 arnsupport@microsoft.com 随时联系我们。
后续步骤
请参阅以下文章: