Event Grid トピック、ドメイン、またはサブスクリプションに必要なトランスポート層セキュリティ (TLS) の最小バージョンを適用する
クライアント アプリケーションと Azure Grid トピック、ドメイン、またはサブスクリプション間の通信は、トランスポート層セキュリティ (TLS) を使用して暗号化されます。 TLS 全般についての詳細は、「Transport Layer Security」を参照してください。
Azure Event Grid では、トピック、ドメイン、またはサブスクリプションの特定の TLS バージョンの選択がサポートされています (Web Hook 宛先を使用する場合)。 現在、Azure Event Grid では、パブリック エンドポイントに対して既定で TLS 1.2 が使用されますが、下位互換性を確保するために、TLS 1.0 と TLS 1.1 も引き続きサポートされます。
Azure Event Grid トピックまたはドメインでは、クライアントが TLS 1.0 以降を使用してデータを送受信できます。 より厳密なセキュリティ対策を実施するために、クライアントで新しいバージョンの TLS を使用してデータを送受信することを要求するように、Event Grid トピックまたはドメインを構成することができます。 Event Grid トピックまたはドメインで最小バージョンの TLS が要求されている場合、それより古いバージョンで行われた要求はすべて失敗します。
Web hook イベント サブスクリプションを作成するときは、トピックと同じ TLS バージョンを使用するように構成することも、最小 TLS バージョンを明示的に指定することもできます。 これを行うと、Event Grid が、TLS の最小バージョン以上をサポートしていない Web hook にイベントを配信できなくなります。
重要
クライアントがサービスである場合は、Event Grid トピックまたはドメインに必要な最小バージョンを設定する前に、そのサービスが適切なバージョンの TLS を使用して Event Grid に要求を送信していることを確認してください。
最低バージョンの TLS を要求するために必要なアクセス許可
Event Grid トピックまたはドメインの MinimumTlsVersion プロパティを設定するには、Event Grid トピックまたはドメインを作成および管理するためのアクセス許可がユーザーに必要です。 これらのアクセス許可を提供する Azure RBAC (Azure ロールベースのアクセス制御) ロールには、Microsoft.EventGrid/topics/write アクションまたは Microsoft.EventGrid/domains/write アクションが含まれます。 このアクションの組み込みロールには、次のようなロールがあります。
- Azure Resource Manager の所有者ロール
- Azure Resource Manager の共同作成者ロール
- Azure Event Grid の共同作成者ロール
ユーザーが Event Grid トピックまたはドメインに対する最小バージョンの TLS を要求できるようにするには、ロール割り当てのスコープを Event Grid トピック (またはドメイン) のレベルか、それ以上のレベルにする必要があります。 ロール スコープの詳細については、「Azure RBAC のスコープについて」を参照してください。
これらのロールを割り当てる際には、Event Grid トピックまたはドメインを作成したり、そのプロパティを更新したりする権限を必要とするユーザーにのみ割り当てるように、注意してください。 最小限の特権の原則を使用して、ユーザーに、それぞれのタスクを実行するのに必要な最小限のアクセス許可を割り当てるようにします。 Azure RBAC でアクセスを管理する方法の詳細については、「Azure RBAC のベスト プラクティス」を参照してください。
Note
従来のサブスクリプション管理者ロールであるサービス管理者と共同管理者には、Azure Resource Manager の所有者ロールと同等のものが含まれています。 所有者ロールにはすべてのアクションが含まれているため、これらの管理者ロールのいずれかを持つユーザーも、Event Grid トピックまたはドメインを作成および管理できます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。
ネットワークに関する考慮事項
クライアントが Event Grid トピックまたはドメインに要求を送信すると、クライアントは、最初に Event Grid トピックまたはドメイン エンドポイントとの接続を確立してから、要求を処理します。 TLS の最小バージョンの設定は、TLS 接続が確立された後にチェックされます。 設定で指定されたものよりも前のバージョンの TLS が要求で使用されている場合、接続は引き続き成功しますが、要求は最終的に失敗します。
考慮すべき重要な点をいくつか示します。
- 使用されている TLS バージョンが、構成されている最小 TLS バージョン未満の場合に、401 が返される前に、TCP 接続の正常な確立と正常な TLS ネゴシエーションがネットワーク トレースに示されます。
<TOPICorDOMAIN>.<REGION>.eventgrid.azure.netでの侵入またはエンドポイントのスキャンに、TLS 1.0、TLS 1.1、TLS 1.2 のサポートが示されます。サービスは引き続きこれらのプロトコルをすべてサポートするためです。 トピックまたはドメイン レベルで適用される TLS の最小バージョンは、トピックまたはドメインでサポートされる最も低い TLS バージョンを示します。
次のステップ
詳細については、次の記事を参照してください: 「Event Grid トピックまたはドメインの TLS の最小バージョンを構成する」