Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como habilitar identidades de serviço gerenciadas para tópicos do sistema da Grade de Eventos do Azure, tópicos personalizados e domínios. Ele também explica como usar identidades gerenciadas para fornecer eventos para destinos com suporte, como filas e tópicos do Barramento de Serviço, hubs de eventos e contas de armazenamento.
Pré-requisitos
Atribua uma identidade atribuída pelo sistema ou identidade atribuída pelo usuário a um tópico do sistema, tópico personalizado ou domínio.
- Para tópicos e domínios personalizados, consulte Habilitar identidade gerenciada para tópicos e domínios personalizados.
- Para tópicos do sistema, consulte Habilitar identidade gerenciada para tópicos do sistema.
Adicione a identidade a uma função apropriada, como o Remetente de Dados do Barramento de Serviço, no destino, como uma fila do Barramento de Serviço. Para obter etapas detalhadas, consulte Adicionar identidade às funções do Azure em destinos.
Observação
Atualmente, não é possível entregar eventos usando pontos de extremidade privados. Para obter mais informações, confira a seção Pontos de extremidade privados no final deste tutorial.
Crie assinaturas de eventos que utilizem uma identidade
Depois de configurar um tópico personalizado da Grade de Eventos, um tópico do sistema ou um domínio com uma identidade gerenciada e adicionar a identidade à função apropriada no destino, você estará pronto para criar assinaturas que usam a identidade.
Use o portal do Azure
Ao criar uma assinatura de evento, você vê uma opção para habilitar o uso de uma identidade atribuída pelo sistema ou pelo usuário para um ponto de extremidade na seção DETALHES DO PONTO DE EXTREMIDADE.
Este exemplo mostra como habilitar uma identidade atribuída pelo sistema ao criar uma assinatura de evento com uma fila do Barramento de Serviço como destino.
Você também pode habilitar uma identidade atribuída pelo sistema para mensagens mortas na guia Recursos Adicionais .
Habilite uma identidade gerenciada em uma assinatura de evento depois que ela for criada. Na página Assinatura de evento da assinatura do evento, alterne para a guia Recursos adicionais para ver a opção. Você também pode habilitar a identidade para mensagens mortas nesta página.
Se você habilitar identidades atribuídas pelo usuário para o tópico, verá a opção de identidade atribuída pelo usuário habilitada na lista suspensa para Tipo de Identidade Gerenciada. Se você selecionar Usuário Atribuído para Tipo de Identidade Gerenciada, poderá selecionar a identidade atribuída pelo usuário que deseja usar para entregar eventos.
Usar a CLI do Azure
Nesta seção, você aprenderá a usar a CLI do Azure para habilitar o uso de uma identidade atribuída pelo sistema e entregar eventos a uma fila do Service Bus. A identidade deve ser um membro da função de Remetente de Dados do Barramento de Serviço do Azure e da função Colaborador de Dados do Blob de Armazenamento na conta de armazenamento usada para mensagens mortas.
Definir variáveis
subid="<AZURE SUBSCRIPTION ID>"
rg = "<RESOURCE GROUP of EVENT GRID CUSTOM TOPIC>"
topicname = "<EVENT GRID TOPIC NAME>"
# get the service bus queue resource id
queueid=$(az servicebus queue show --namespace-name <SERVICE BUS NAMESPACE NAME> --name <QUEUE NAME> --resource-group <RESOURCE GROUP NAME> --query id --output tsv)
sb_esname = "<Specify a name for the event subscription>"
Criar uma assinatura de evento usando uma identidade gerenciada para entrega
Esse comando cria uma assinatura de evento para um tópico personalizado da Grade de Eventos com o tipo de ponto de extremidade definido como fila do Barramento de Serviço.
az eventgrid event-subscription create
--source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
--delivery-identity-endpoint-type servicebusqueue
--delivery-identity systemassigned
--delivery-identity-endpoint $queueid
-n $sb_esname
Criar uma assinatura de evento usando uma identidade gerenciada para entrega e mensagens mortas
Este comando de exemplo cria uma assinatura de evento para um tópico personalizado da Grade de Eventos com um tipo de ponto de extremidade definido como fila do Barramento de Serviço. Ele também especifica que a identidade gerenciada pelo sistema deve ser usada para mensagens mortas.
storageid=$(az storage account show --name demoStorage --resource-group gridResourceGroup --query id --output tsv)
deadletterendpoint="$storageid/blobServices/default/containers/<BLOB CONTAINER NAME>"
az eventgrid event-subscription create
--source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
--delivery-identity-endpoint-type servicebusqueue
--delivery-identity systemassigned
--delivery-identity-endpoint $queueid
--deadletter-identity-endpoint $deadletterendpoint
--deadletter-identity systemassigned
-n $sb_esnameq
Usar a CLI do Azure – Hubs de Eventos
Nesta seção, você aprenderá a usar a CLI do Azure para habilitar o uso de uma identidade atribuída pelo sistema para entregar eventos a um hub de eventos. A identidade deve ser um membro da função Remetente de dados dos Hubs de Eventos do Azure. Ela também deve ser membro da função Colaborador de dados de blobs de armazenamento na conta de armazenamento usada para mensagens mortas.
Definir variáveis
subid="<AZURE SUBSCRIPTION ID>"
rg = "<RESOURCE GROUP of EVENT GRID CUSTOM TOPIC>"
topicname = "<EVENT GRID CUSTOM TOPIC NAME>"
hubid=$(az eventhubs eventhub show --name <EVENT HUB NAME> --namespace-name <NAMESPACE NAME> --resource-group <RESOURCE GROUP NAME> --query id --output tsv)
eh_esname = "<SPECIFY EVENT SUBSCRIPTION NAME>"
Criar uma assinatura de evento usando uma identidade gerenciada para entrega
Este comando de exemplo cria uma subscrição de evento para um tópico personalizado do Event Grid com um tipo de ponto de extremidade definido como Event Hubs.
az eventgrid event-subscription create
--source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
--delivery-identity-endpoint-type eventhub
--delivery-identity systemassigned
--delivery-identity-endpoint $hubid
-n $sbq_esname
Criar uma assinatura de evento usando uma identidade gerenciada para entrega + mensagens mortas
Este comando de exemplo cria uma subscrição de evento para um tópico personalizado do Event Grid com um tipo de ponto de extremidade definido como Event Hubs. Ele também especifica que a identidade gerenciada pelo sistema deve ser usada para mensagens mortas.
storageid=$(az storage account show --name demoStorage --resource-group gridResourceGroup --query id --output tsv)
deadletterendpoint="$storageid/blobServices/default/containers/<BLOB CONTAINER NAME>"
az eventgrid event-subscription create
--source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
--delivery-identity-endpoint-type servicebusqueue
--delivery-identity systemassigned
--delivery-identity-endpoint $hubid
--deadletter-identity-endpoint $eh_deadletterendpoint
--deadletter-identity systemassigned
-n $eh_esname
Usar a CLI do Azure – Fila de Armazenamento do Azure
Nesta seção, você aprenderá a usar a CLI do Azure para habilitar o uso de uma identidade atribuída pelo sistema para entregar eventos a uma fila de Armazenamento do Azure. A identidade deve ser membro da função Remetente da Mensagem de Dados da Fila de Armazenamento na conta de armazenamento. Ela também deve ser membro da função Colaborador de dados de blobs de armazenamento na conta de armazenamento usada para mensagens mortas.
Definir variáveis
subid="<AZURE SUBSCRIPTION ID>"
rg = "<RESOURCE GROUP of EVENT GRID CUSTOM TOPIC>"
topicname = "<EVENT GRID CUSTOM TOPIC NAME>"
# get the storage account resource id
storageid=$(az storage account show --name <STORAGE ACCOUNT NAME> --resource-group <RESOURCE GROUP NAME> --query id --output tsv)
# build the resource id for the queue
queueid="$storageid/queueservices/default/queues/<QUEUE NAME>"
sa_esname = "<SPECIFY EVENT SUBSCRIPTION NAME>"
Criar uma assinatura de evento usando uma identidade gerenciada para entrega
az eventgrid event-subscription create
--source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
--delivery-identity-endpoint-type storagequeue
--delivery-identity systemassigned
--delivery-identity-endpoint $queueid
-n $sa_esname
Criar uma assinatura de evento usando uma identidade gerenciada para entrega + mensagens mortas
storageid=$(az storage account show --name demoStorage --resource-group gridResourceGroup --query id --output tsv)
deadletterendpoint="$storageid/blobServices/default/containers/<BLOB CONTAINER NAME>"
az eventgrid event-subscription create
--source-resource-id /subscriptions/$subid/resourceGroups/$rg/providers/Microsoft.EventGrid/topics/$topicname
--delivery-identity-endpoint-type storagequeue
--delivery-identity systemassigned
--delivery-identity-endpoint $queueid
--deadletter-identity-endpoint $deadletterendpoint
--deadletter-identity systemassigned
-n $sa_esname
Pontos de extremidade privados
Atualmente, não é possível entregar eventos usando pontos de extremidade privados. Ou seja, não haverá suporte se você tiver requisitos de isolamento de rede estritos em que o tráfego de eventos entregues não deve deixar o espaço IP privado.
No entanto, se seus requisitos exigem uma maneira segura de enviar eventos usando um canal criptografado e uma identidade conhecida do remetente (nesse caso, Grade de Eventos) usando o espaço IP público, você poderá fornecer eventos para Hubs de Eventos, Barramento de Serviço ou serviço de Armazenamento do Azure usando um tópico personalizado da Grade de Eventos do Azure ou um domínio com uma identidade gerenciada, conforme mostrado neste artigo. Em seguida, você pode usar um link privado configurado no Azure Functions ou em um webhook implantado em sua rede virtual para efetuar pull de eventos. Confira o tutorial: Conectar a endpoints privados usando Azure Functions.
Nessa configuração, o tráfego passa pelo IP público/internet da Grade de Eventos (Event Grid) para hubs de eventos, barramento de serviço ou armazenamento do Azure, mas o canal pode ser criptografado e uma identidade gerenciada da Grade de Eventos é usada. Se você configurar o Azure Functions ou um webhook implantado em sua rede virtual para usar Hubs de Eventos, Barramento de Serviço ou Armazenamento do Azure por meio de link privado, essa seção do tráfego permanecerá no Azure.
Próximas etapas
Para saber mais sobre identidades gerenciadas, confira quais são as identidades gerenciadas para recursos do Azure.