控制对事件的访问权限
Azure 事件网格允许你控制提供给不同用户的访问权限级别,以执行各种管理作,例如列表事件订阅、创建新订阅和生成密钥。 事件网格使用 Azure 基于角色的访问控制 (Azure RBAC)。
内置角色
事件网格提供以下内置角色:
| 角色 | DESCRIPTION |
|---|---|
| 事件网格订阅读者 | 可以读取 EventGrid 事件订阅。 |
| 事件网格订阅参与者 | 可以管理 EventGrid 事件订阅操作。 |
| 事件网格参与者 | 可以创建和管理事件网格资源。 |
| 事件网格数据发送方 | 可以将事件发送到事件网格主题。 |
事件网格订阅读者角色和事件网格订阅贡献者角色旨在管理事件订阅。 实现事件域时,它们非常重要,因为它们为用户提供了订阅事件域中主题所需的权限。 这些角色专注于事件订阅,不授予创建主题等操作的访问权限。
事件网格参与者角色允许你创建和管理事件网格资源。
事件订阅的权限
如果使用的事件处理程序不是 WebHook(例如事件中心或队列存储),则必须对作为事件源的资源具有 Microsoft.EventGrid/EventSubscriptions/Write 权限。 需要此权限是因为你需要在资源范围内写入新订阅。 此权限检查可防止未经授权的用户向你的资源发送事件。
根据你要订阅系统主题还是自定义主题,要求的资源也有所不同。 本节将介绍这两种类型。
| 主题类型 | DESCRIPTION |
|---|---|
| 系统主题 | 需要有权在发布事件的资源范围内写入新的事件订阅。 该资源的格式为:/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/{resource-provider}/{resource-type}/{resource-name} |
| 自定义主题 | 需要权限才能在事件网格主题的范围内编写新的事件订阅。 该资源的格式为:/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.EventGrid/topics/{topic-name} |