Erzwingen der erforderlichen TLS-Mindestversion (Transport Layer Security) für ein Event Grid-Thema, eine Event Grid-Domäne oder ein Event Grid-Abonnement
Die Kommunikation zwischen einer Clientanwendung und einem Azure Grid-Thema, einer Event Grid-Domäne oder einem Event Grid-Abonnement wird mithilfe von Transport Layer Security (TLS) verschlüsselt. Weitere allgemeine Informationen zu TLS finden Sie unter Transport Layer Security.
Azure Event Grid unterstützt die Auswahl einer bestimmten TLS-Version für Themen, Domänen oder Abonnements (bei Verwendung eines Webhook-Ziels). Derzeit verwendet Azure Event Grid standardmäßig TLS 1.2 für öffentliche Endpunkte, aber TLS 1.0 und TLS 1.1 werden aus Gründen der Abwärtskompatibilität weiterhin unterstützt.
Azure Event Grid-Themen oder -Domänen ermöglichen es Clients, Daten mit TLS 1.0 und höher zu senden und zu empfangen. Um strengere Sicherheitsmaßnahmen durchzusetzen, können Sie Ihr Event Grid-Thema oder Ihre Event Grid-Domäne so konfigurieren, dass Clients Daten mit einer neueren Version von TLS senden und empfangen müssen. Wenn für ein Event Grid-Thema oder eine Event Grid-Domäne eine Mindestversion von TLS erforderlich ist, schlagen alle Anforderungen mit einer älteren Version fehl.
Wenn Sie ein Webhook-Ereignisabonnement erstellen, können Sie es so konfigurieren, dass es dieselbe TLS-Version wie das Thema verwendet oder explizit die minimale TLS-Version angeben. Wenn Sie so vorgehen, ist Event Grid nicht in der Lage, Ereignisse an einen Webhook, der die Mindestversion von TLS oder höher nicht unterstützt, zu übermitteln.
Wichtig
Wenn der Client ein Dienst ist, stellen Sie sicher, dass der Dienst die entsprechende Version von TLS zum Senden von Anforderungen an Event Grid verwendet, bevor Sie die erforderliche Mindestversion für ein Event Grid-Thema oder eine Event Grid-Domäne festlegen.
Erforderliche Berechtigungen zum Anfordern einer Mindestversion von TLS
Um die Eigenschaft MinimumTlsVersion für das Event Grid-Thema oder die Event Grid-Domäne festzulegen, muss ein*e Benutzer*in über Berechtigungen zum Erstellen und Verwalten von Event Grid-Themen oder -Domänen verfügen. Azure RBAC-Rollen (rollenbasierte Zugriffssteuerung in Azure), die diese Berechtigungen bereitstellen, umfassen die Aktion Microsoft.EventGrid/topics/write oder Microsoft.EventGrid/domains/write. In diese Aktion sind folgende Rollen integriert:
- Die Azure Resource Manager-Rolle Besitzer
- Die Azure Resource Manager-Rolle Mitwirkender
- Die Rolle Azure Event Grid-Mitwirkende*r
Rollenzuweisungen müssen auf die Ebene des Event Grid-Themas (oder der Event Grid-Domäne) oder höher beschränkt werden, damit ein*e Benutzer*in eine Mindestversion von TLS für das Event Grid-Thema oder die Event Grid-Domäne anfordern darf. Weitere Informationen zum Rollenbereich finden Sie unter Grundlegendes zum Bereich für Azure RBAC.
Achten Sie darauf, die Zuweisung dieser Rollen nur auf diejenigen Benutzer*innen, denen es möglich sein muss, Event Grid-Themen oder eine Event Grid-Domänen zu erstellen oder ihre Eigenschaften zu aktualisieren. Verwenden Sie das Prinzip der geringsten Rechte, um sicherzustellen, dass Benutzer die geringsten Berechtigungen haben, die sie zum Ausführen ihrer Aufgaben benötigen. Weitere Informationen zum Verwalten des Zugriffs mit Azure RBAC finden Sie unter Bewährte Methoden für Azure RBAC.
Hinweis
Die zu „Administrator für klassisches Abonnement“ gehörigen Rollen „Dienstadministrator“ und „Co-Administrator“ schließen die Entsprechung der Azure Resource Manager-Rolle Besitzer ein. Weil die Rolle Besitzer*in alle Aktionen einschließt, kann ein*e Benutzer*in mit einer dieser administrativen Rollen auch Event Grid-Themen oder -Domänen erstellen und verwalten. Weitere Informationen finden Sie unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.
Überlegungen zu Netzwerken
Wenn ein Client eine Anforderung an ein Event Grid-Thema oder eine Event Grid-Domäne sendet, stellt der Client zunächst eine Verbindung mit dem Endpunkt des Event Grid-Themas oder der Event Grid-Domäne her, ehe Anforderungen bearbeitet werden. Die Einstellung der TLS-Mindestversion wird nach dem Herstellen der TLS-Verbindung überprüft. Wenn für die Anforderung eine frühere Version von TLS als die durch die Einstellung angegebene verwendet wird, ist die Verbindung weiterhin erfolgreich, aber die Anforderung schlägt letztendlich fehl.
Einige wichtige zu berücksichtigende Punkte:
- Eine Netzwerkablaufverfolgung zeigt die erfolgreiche Einrichtung einer TCP-Verbindung und eine erfolgreiche TLS-Aushandlung, bevor der Fehlercode 401 zurückgegeben wird, wenn die verwendete TLS-Version niedriger als die konfigurierte TLS-Mindestversion ist.
- Eine Penetrations- oder Endpunktüberprüfung für
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.netgibt an, dass TLS 1.0, TLS 1.1 und TLS 1.2 unterstützt werden, da der Dienst alle diese Protokolle weiterhin unterstützt. Die TLS-Mindestversion, die auf Themen- oder Domänenebene erzwungen wird, gibt die niedrigste TLS-Version an, die das Thema oder die Domäne unterstützt.
Nächste Schritte
Weitere Informationen finden Sie im folgenden Artikel: Konfigurieren der TLS-Mindestversion für ein Event Grid-Thema oder eine Event Grid-Domäne