针对事件网格主题、域或订阅强制实施所需最低版本的传输层安全性 (TLS)
客户端应用程序与 Azure 网格主题、域或订阅之间的通信使用传输层安全性 (TLS) 进行加密。 有关 TLS 的一般信息,请参阅传输层安全性。
Azure 事件网格支持为主题、域或订阅选择特定的 TLS 版本(使用 Web Hook 目标时)。 目前,Azure 事件网格默认在公共终结点上使用 TLS 1.2,但仍支持 TLS 1.0 和 TLS 1.1 以实现后向兼容性。
Azure 事件网格主题或域允许客户端使用 TLS 1.0 及更高版本发送和接收数据。 若要强制实施更严格的安全措施,可以将事件网格主题或域配置为要求客户端使用较新版本的 TLS 发送和接收数据。 如果事件网格主题或域需要最低版本的 TLS,则使用较旧版本发出的任何请求都会失败。
创建 Web Hook 事件订阅时,可以将其配置为使用与主题相同的 TLS 版本,或显式指定最低 TLS 版本。 如果这样做,事件网格就无法将事件传送到不支持最低版本及以上版本的 TLS 的 WebHook。
重要
如果客户端是一项服务,请先确保该服务使用适当的 TLS 版本将请求发送到事件网格,然后再为事件网格主题或域设置所需的最低版本。
需要最低版本的 TLS 所需的权限
若要设置事件网格主题或域的 MinimumTlsVersion 属性,用户必须有权创建和管理事件网格主题或域。 提供这些权限的 Azure RBAC(Azure 基于角色的访问控制)角色包括 Microsoft.EventGrid/topics/write 操作或 Microsoft.EventGrid/domains/write 操作。 具有此操作的内置角色包括:
- Azure 资源管理器所有者角色
- Azure 资源管理器参与者角色
- Azure 事件网格参与者角色
角色分配的范围必须限定为事件网格主题(或域)级别或更高级别,以便允许用户要求事件网格主题或域至少使用最低 TLS 版本。 有关角色范围的详细信息,请参阅了解 Azure RBAC 的范围。
注意,请仅向需要能够创建事件网格主题或域或更新其属性的用户分配这些角色。 使用最小特权原则确保用户拥有完成任务所需的最少权限。 有关使用 Azure RBAC 管理访问权限的详细信息,请参阅 Azure RBAC 最佳做法。
注意
经典订阅管理员角色“服务管理员”和“共同管理员”具有 Azure 资源管理器所有者角色的等效权限。 “所有者”角色包含所有操作,因此具有这些管理角色之一的用户也可以创建和管理事件网格主题或域。 有关详细信息,请参阅 Azure 角色、Azure AD 角色和经典订阅管理员角色。
网络注意事项
当客户端向事件网格主题或域发送请求时,客户端会先与事件网格主题或域终结点建立连接,然后再处理任何请求。 建立 TLS 连接后,将检查最低 TLS 版本设置。 如果请求使用的 TLS 版本比设置中指定的版本低,则连接仍会成功,但是请求最终会失败。
以下是要考虑的几个要点:
- 如果使用的 TLS 版本低于配置的最低 TLS 版本,则网络跟踪将显示已成功建立 TCP 连接且已成功进行了 TLS 协商,然后返回 401。
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.cn上的渗透或终结点扫描将指示对 TLS 1.0、TLS 1.1 和 TLS 1.2 的支持,因为服务将继续支持所有这些协议。 在主题或域级别强制实施的最低 TLS 版本代表着主题或域支持的最低 TLS 版本。
后续步骤
有关详细信息,请参阅以下文章:为事件网格主题或域配置最低 TLS 版本