Я знаю, что могу получить доступ ко всему в служебной шине Azure с помощью аутентификации с помощью токена SAS, и кажется, что доступ через RBAC теперь становится предпочтительным методом аутентификации для таких вещей, как концентраторы событий. То, что я не могу найти в различных веб-статьях или примерах на GitHub, является веским доказательством того, что доступ к гибридным подключениям Azure Relay может быть предоставлен через RBAC. По разным причинам RBAC предпочтительнее IMHO, но если он не поддерживается, мне придется пойти по маршруту SAS, что может привести к некоторым непреодолимым проблемам для меня. TIA.
Могу ли я получить доступ к ретранслятору служебной шины Azure с помощью RBAC?
Ответы (1)
Насколько я знаю, гибридное соединение не поддерживает RBAC.
По сути, мы предпочитаем использовать RBAC, потому что мы можем использовать аутентификацию Azure AD после предоставления ролей RBAC ресурсам Azure, это более безопасный способ.
Итак, в вашем сценарии, если вы хотите избежать проблемы с безопасностью, лучшим вариантом является использование Azure Keyvault, просто сохранить SASKey в качестве секрета в keyvault, а затем только клиента, который добавлен в политика доступа (или имеет _ 2_, если вы выбрали Azure role-based access control в Access policies клинке хранилища ключей) имеет разрешение на доступ к секрету.
Тогда в вашем коде вам не нужно раскрывать SASKey, просто используйте SDK, чтобы сначала получить секрет, а затем продолжить его использование в зависимости от ваших требований.
person
Joy Wang
schedule
24.02.2021
