Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Azure Event Grid können Sie die Zugriffsebene der verschiedenen Benutzer für verschiedene Verwaltungsvorgänge steuern, z. B. Ereignisabonnements auflisten, neue erstellen und Schlüssel generieren. Event Grid verwendet die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC).
Vorgangstypen
Führen Sie den folgenden Azure CLI-Befehl aus, um eine Liste der vorgänge anzuzeigen, die von Azure Event Grid unterstützt werden:
az provider operation show --namespace Microsoft.EventGrid
Die folgenden Vorgänge geben potenziell geheime Informationen zurück, die aus normalen Lesevorgängen herausgefiltert werden. Einschränken des Zugriffs auf diese Vorgänge.
- Microsoft.EventGrid/eventSubscriptions/getFullUrl/action
- Microsoft.EventGrid/topics/listKeys/action
- Microsoft.EventGrid/topics/regenerateKey/action
Integrierte Rollen
In Event Grid sind die folgenden drei integrierten Rollen verfügbar.
| Rolle | Beschreibung |
|---|---|
EventGrid EventSubscription Reader |
Ermöglicht das Lesen von Event Grid-Ereignisabonnements. |
EventGrid EventSubscription Contributor |
Ermöglicht die Verwaltung von Event Grid-Ereignisabonnementvorgängen. |
EventGrid Contributor |
Ermöglich das Erstellen und Verwalten von Event Grid-Ressourcen. |
EventGrid Data Sender |
Ermöglicht Ihnen das Senden von Ereignissen an ein Event Grid-Thema. |
Die Rollen Event Grid-Abonnementleser und Event Grid-Abonnementmitwirkender dienen der Verwaltung von Ereignisabonnements. Sie sind wichtig beim Implementieren von Ereignisdomänen, da sie Benutzern die erforderlichen Berechtigungen erteilen, um Themen in Ihrer Ereignisdomäne zu abonnieren. Diese Rollen gelten für Ereignisabonnements und gewähren keinen Zugriff auf Aktionen. Das heißt, sie berechtigen Sie beispielsweise nicht zum Erstellen von Themen.
Mit der Rolle Event Grid-Mitwirkender können Sie Event Grid-Ressourcen erstellen und verwalten.
Hinweis
Klicken Sie für weitere Informationen zu den Rollen auf den jeweiligen Link in der linken Spalte, um zu dem entsprechenden Artikel zu gelangen. Eine Anleitung zur Zuweisung von Benutzern oder Gruppen zu RBAC-Rollen finden Sie in diesem Artikel.
Benutzerdefinierte Rollen
Wenn Sie Berechtigungen angeben müssen, die sich von den integrierten Rollen unterscheiden, erstellen Sie benutzerdefinierte Rollen.
Im folgenden Beispiel für Ereignisraster-Rollendefinitionen werden Benutzern unterschiedliche Berechtigungen gewährt. Diese benutzerdefinierten Rollen unterscheiden sich von den integrierten Rollen, da sie umfassenderen Zugriff gewähren als nur Ereignisabonnements.
- EventGridReadOnlyRole.json: Gewährt nur Lesezugriffe.
{
"Name": "Event grid read only role",
"Id": "7C0B6B59-A278-4B62-BA19-411B70753856",
"IsCustom": true,
"Description": "Event grid read only role",
"Actions": [
"Microsoft.EventGrid/*/read"
],
"NotActions": [
],
"AssignableScopes": [
"/subscriptions/<Subscription Id>"
]
}
- EventGridNoDeleteListKeysRole.json: Gewährt eingeschränkte Post-Aktionen, erlaubt jedoch keine Löschaktionen.
{
"Name": "Event grid No Delete Listkeys role",
"Id": "B9170838-5F9D-4103-A1DE-60496F7C9174",
"IsCustom": true,
"Description": "Event grid No Delete Listkeys role",
"Actions": [
"Microsoft.EventGrid/*/write",
"Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
"Microsoft.EventGrid/topics/listkeys/action",
"Microsoft.EventGrid/topics/regenerateKey/action"
],
"NotActions": [
"Microsoft.EventGrid/*/delete"
],
"AssignableScopes": [
"/subscriptions/<Subscription id>"
]
}
- EventGridContributorRole.json: Gewährt alle Event Grid-Aktionen.
{
"Name": "Event grid contributor role",
"Id": "4BA6FB33-2955-491B-A74F-53C9126C9514",
"IsCustom": true,
"Description": "Event grid contributor role",
"Actions": [
"Microsoft.EventGrid/*/write",
"Microsoft.EventGrid/*/delete",
"Microsoft.EventGrid/topics/listkeys/action",
"Microsoft.EventGrid/topics/regenerateKey/action",
"Microsoft.EventGrid/eventSubscriptions/getFullUrl/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/<Subscription id>"
]
}
Benutzerdefinierte Rollen können mit PowerShell, der Azure CLI oder der REST-API erstellt werden.
Verschlüsselung ruhender Daten
Der Ereignisrasterdienst verschlüsselt alle Ereignisse oder Daten, die mit einem von Microsoft verwalteten Schlüssel auf den Datenträger geschrieben wurden, und stellt sicher, dass es im Ruhezustand verschlüsselt ist. Darüber hinaus beträgt die maximale Dauer, die Ereignisse oder Daten aufbewahrt werden, 24 Stunden in Übereinstimmung mit der Event Grid-Retry-Richtlinie. Event Grid löscht automatisch alle Ereignisse oder Daten nach 24 Stunden oder nach der Verfallszeit des Ereignisses, abhängig davon, welcher Zeitraum kürzer ist.
Berechtigungen für Ereignisabonnements
Wenn Sie einen Ereignishandler verwenden, der kein WebHook ist (z. B. ein Event Hub oder Warteschlangenspeicher), benötigen Sie Schreibzugriff auf diese Ressource. Durch diese Berechtigungsüberprüfung wird verhindert, dass ein nicht autorisierter Benutzer Ereignisse an Ihre Ressource sendet.
Sie benötigen die Berechtigung Microsoft.EventGrid/EventSubscriptions/Write für die Ressource, die als Ereignisquelle verwendet wird. Sie benötigen diese Berechtigung, da Sie ein neues Abonnement im Umfang der Ressource erstellen. Die angeforderte Ressource variiert abhängig davon, ob Sie ein Systemthema oder ein benutzerdefiniertes Thema abonnieren. In diesem Abschnitt werden beide Typen beschrieben.
Systemthemen (Azure-Dienstherausgeber)
Bei Systemthemen benötigen Sie, wenn Sie nicht der Besitzer oder Mitwirkende der Quellressource sind, die Berechtigung zum Schreiben eines neuen Ereignisabonnements im Bereich der Ressource, die das Ereignis veröffentlicht. Das Format der Ressource ist: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name}.
Beispiel: Um ein Ereignis im Speicherkonto myacct zu abonnieren, benötigen Sie die Berechtigung Microsoft.EventGrid/EventSubscriptions/Write für: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.Storage/storageAccounts/myacct.
Benutzerdefinierte Themen
Für benutzerdefinierte Themen benötigen Sie die Berechtigung, um ein neues Ereignisabonnement innerhalb des Gültigkeitsbereichs des Event Grid-Themas zu erstellen. Das Format der Ressource ist: /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name}.
Beispiel: Um das benutzerdefinierte Thema mytopic zu abonnieren, benötigen Sie die Berechtigung Microsoft.EventGrid/EventSubscriptions/Write für: /subscriptions/####/resourceGroups/testrg/providers/Microsoft.EventGrid/topics/mytopic.
Zugehöriger Inhalt
- Eine Einführung in Event Grid finden Sie unter Informationen zu Event Grid.