Event Hubs 名前空間への要求に必要な最小バージョンのトランスポート層セキュリティ (TLS) の適用
クライアント アプリケーションと Azure Event Hubs 名前空間の間の通信は、トランスポート層セキュリティ (TLS) を使用して暗号化されます。 TLS は、インターネットを介してクライアントとサービスの間のプライバシーおよびデータ整合性を確保する標準の暗号化プロトコルです。 TLS の詳細については、「Transport Layer Security」を参照してください。
Azure Event Hubs は、名前空間に対する特定の TLS バージョンの選択をサポートします。 現在、Azure Event Hubs では、パブリック エンドポイントに既定で TLS 1.2 が使用されますが、下位互換性を確保するために、TLS 1.0 と TLS 1.1 も引き続きサポートされます。
Azure Event Hubs 名前空間では、クライアントが TLS 1.0 以降を使用してデータを送受信できます。 より厳密なセキュリティ対策を実施するために、クライアントで新しいバージョンの TLS を使用してデータを送受信することを要求するように、Event Hubs 名前空間を構成することができます。 Event Hubs 名前空間で最小バージョンの TLS が要求されている場合、それより古いバージョンで行われた要求はすべて失敗します。
警告
2025 年 2 月 28 日の時点で、TLS 1.0 と TLS 1.1 は Azure Event Hubs でサポートされなくなります。 TLS の最小バージョンは、すべての Event Hubs デプロイについて 1.2 になります。
重要
2024 年 10 月 31 日に、AMQP トラフィックに対して TLS 1.3 が有効になります。 Kafka および HTTPS トラフィックに対しては TLS 1.3 が既に有効になっています。 以前のバージョンの Proton-J に依存しているため、Java クライアントで TLS 1.3 に問題が発生する可能性があります。 詳細については、Azure Service Bus と Azure Event Hubs で TLS 1.3 をサポートするための Java クライアントの変更に関する記事を参照してください。
重要
Azure Event Hubs に接続するサービスを使用している場合は、Event Hubs 名前空間に必要な最低バージョンを設定する前に、そのサービスが適切なバージョンの TLS を使用して Azure Event Hubs に要求を送信していることを確認してください。
最低バージョンの TLS を要求するために必要なアクセス許可
Event Hubs 名前空間の MinimumTlsVersion
プロパティを設定するには、Event Hubs 名前空間を作成および管理するためのアクセス許可がユーザーに必要です。 これらのアクセス許可を提供する Azure RBAC (Azure ロールベースのアクセス制御) ロールには、Microsoft.EventHub/namespaces/write または Microsoft.EventHub/namespaces/* アクションが含まれます。 このアクションの組み込みロールには、次のようなロールがあります。
- Azure Resource Manager の所有者ロール
- Azure Resource Manager の共同作成者ロール
- Azure Event Hubs データ所有者ロール
ユーザーが Event Hubs 名前空間に対する最低バージョンの TLS を要求できるようにするには、ロール割り当てのスコープを Event Hubs 名前空間以上のレベルにする必要があります。 ロール スコープの詳細については、「Azure RBAC のスコープについて」を参照してください。
これらのロールを割り当てる際には、Event Hubs 名前空間を作成したり、そのプロパティを更新したりする機能を必要とするユーザーにのみ割り当てるように、注意してください。 最小限の特権の原則を使用して、ユーザーに、それぞれのタスクを実行するのに必要な最小限のアクセス許可を割り当てるようにします。 Azure RBAC でアクセスを管理する方法の詳細については、「Azure RBAC のベスト プラクティス」を参照してください。
Note
従来のサブスクリプション管理者ロールであるサービス管理者と共同管理者には、Azure Resource Manager の所有者ロールと同等のものが含まれています。 所有者ロールにはすべてのアクションが含まれているため、これらの管理者ロールのいずれかを持つユーザーも、Event Hubs 名前空間を作成および管理できます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。
ネットワークに関する考慮事項
クライアントが Event Hubs 名前空間に要求を送信すると、クライアントは、最初に Event Hubs 名前空間エンドポイントとの接続を確立してから、要求を処理します。 TLS の最小バージョンの設定は、TLS 接続が確立された後にチェックされます。 設定で指定されたものよりも前のバージョンの TLS が要求で使用されている場合、接続は引き続き成功しますが、要求は最終的に失敗します。
Note
Kafka プロトコルで接続する際は、confluent ライブラリの制限上、無効な TLS バージョンに起因するエラーは表面化しません。 代わりに、一般的な例外が表示されます。
考慮すべき重要な点をいくつか示します。
- 使用されている TLS バージョンが、構成されている最小 TLS バージョン未満の場合に、401 が返される前に、TCP 接続の正常な確立と正常な TLS ネゴシエーションがネットワーク トレースに示されます。
yournamespace.servicebus.windows.net
での侵入またはエンドポイントのスキャンに、TLS 1.0、TLS 1.1、TLS 1.2 のサポートが示されます。サービスは引き続きこれらのプロトコルをすべてサポートするためです。 名前空間レベルで適用される TLS の最小バージョンは、名前空間でサポートされる最も低い TLS バージョンを示します。
次のステップ
詳細については、次のドキュメントを参照してください。