Použití spravované identity ke spuštění úlohy průběžného exportu

Úloha průběžného exportu exportuje data do externí tabulky s pravidelně spouštěným dotazem.

Úloha průběžného exportu by měla být nakonfigurovaná se spravovanou identitou v následujících scénářích:

• Když externí tabulka používá ověřování zosobnění.
• Když dotaz odkazuje na tabulky v jiných databázích.
• Když dotaz odkazuje na tabulky s povolenými zásadami zabezpečení na úrovni řádků.

Úloha průběžného exportu nakonfigurovaná se spravovanou identitou se provádí jménem spravované identity.

V tomto článku se dozvíte, jak nakonfigurovat spravovanou identitu přiřazenou systémem nebo uživatelem a jak pomocí této identity vytvořit úlohu průběžného exportu.

Požadavky

• Cluster a databáze. Vytvořte cluster a databázi.
• Všechny databáze Správa oprávnění k databázi.

Konfigurace spravované identity

Existují dva typy spravovaných identit:

• Přiřazený systémem: Identita přiřazená systémem je připojená ke clusteru a při odebrání clusteru se odebere. Na cluster je povolená pouze jedna identita přiřazená systémem.

• Přiřazené uživatelem: Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure. Ke clusteru je možné přiřadit více identit přiřazených uživatelem.

Vyberte jednu z následujících karet a nastavte upřednostňovaný typ spravované identity.

Přiřazeno uživatelem

1. Postupujte podle pokynů k přidání identity přiřazené uživatelem.

2. V Azure Portal v levé nabídce prostředku spravované identity vyberte Vlastnosti. Zkopírujte a uložte ID tenanta a ID objektu zabezpečení pro použití v následujících krocích.

   

3. Spusťte následující příkaz zásady .alter-merge managed_identity a nahraďte <objectId> id objektu spravované identity z předchozího kroku. Tento příkaz nastaví v clusteru zásadu spravované identity , která umožňuje použití spravované identity s průběžným exportem.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "<objectId>",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Poznámka

   Pokud chcete nastavit zásadu pro konkrétní databázi, použijte database <DatabaseName> místo .cluster

4. Spuštěním následujícího příkazu udělte spravované identitě oprávnění prohlížeče databáze ke všem databázím používaným k průběžnému exportu, například databázi, která obsahuje externí tabulku.

   .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
   

   Nahraďte <DatabaseName> příslušnou databází, <objectId>ID objektu zabezpečení spravované identity z kroku 2 a <tenantId>ID tenanta Microsoft Entra z kroku 2.

Přiřazeno systémem

1. Postupujte podle pokynů k přidání identity přiřazené systémem.

2. Zkopírujte a uložte ID objektu (objektu zabezpečení) pro použití v pozdějším kroku.

3. Spusťte následující příkaz .alter-merge policy managed_identity . Tento příkaz nastaví v clusteru zásadu spravované identity , která umožňuje použití spravované identity s průběžným exportem.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "system",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Poznámka

   Pokud chcete nastavit zásadu pro konkrétní databázi, použijte database <DatabaseName> místo .cluster

4. Spuštěním následujícího příkazu udělte spravované identitě oprávnění prohlížeče databáze ke všem databázím používaným k průběžnému exportu, například databázi, která obsahuje externí tabulku.

   .add database <DatabaseName> viewers ('aadapp=<objectId>')
   

   Nahraďte <DatabaseName> příslušnou databází a <objectId>ID objektu (objektu zabezpečení) spravované identity z kroku 2.

Nastavení externí tabulky

Externí tabulky odkazují na data umístěná ve službě Azure Storage, jako jsou Azure Blob Storage, Azure Data Lake Gen1 a Azure Data Lake Gen2 nebo SQL Server.

Vyberte jednu z následujících karet a nastavte Azure Storage nebo SQL Server externí tabulku.

Azure Storage

1. Vytvořte připojovací řetězec na základě šablon připojovací řetězec úložiště. Tento řetězec označuje prostředek pro přístup a jeho ověřovací informace. Pro toky průběžného exportu doporučujeme ověřování zosobnění.

2. Spusťte externí tabulku .create nebo .alter a vytvořte ji. Jako argument storageConnectionString použijte připojovací řetězec z předchozího kroku.

   Například následující příkaz vytvoříMyExternalTable, který odkazuje na data ve formátu CSV v mycontainer Azure Blob Storagemystorageaccount. Tabulka má dva sloupce, jeden pro celé číslo x a druhý pro řetězec s. Připojovací řetězec končí na ;impersonate, který označuje, že pro přístup k úložišti dat se používá ověřování zosobnění.

   .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
   ( 
       h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
   )
   

3. Udělte spravované identitě oprávnění k zápisu do příslušného externího úložiště dat. Spravovaná identita potřebuje oprávnění k zápisu, protože úloha průběžného exportu exportuje data do úložiště dat jménem spravované identity.

   Externí úložiště dat	Požadovaná oprávnění	Udělení oprávnění
   Azure Blob Storage	Přispěvatel dat v objektech blob služby Storage	Přiřazení role Azure
   Data Lake Storage Gen2	Přispěvatel dat v objektech blob služby Storage	Přiřazení role Azure
   Data Lake Storage Gen1	Přispěvatel	Přiřazení role Azure

SQL Server

1. Vytvořte SQL Server připojovací řetězec. Tento řetězec označuje prostředek pro přístup a jeho ověřovací informace. Pro toky průběžného exportu doporučujeme Microsoft Entra integrované ověřování, což je ověřování zosobnění.

2. Spusťte externí tabulku .create nebo .alter a vytvořte ji. Jako argument sqlServerConnectionString použijte připojovací řetězec z předchozího kroku.

   Například následující příkaz vytvoří MySqlExternalTable odkazující na MySqlTable tabulku v MyDatabase SQL Server. Tabulka má dva sloupce, jeden pro celé číslo x a druhý pro řetězec s. Připojovací řetězec obsahuje ;Authentication=Active Directory Integrated, který označuje použití ověřování zosobnění pro přístup k tabulce.

   .create external table MySqlExternalTable (x:int, s:string) kind=sql table=MySqlTable
   ( 
      h@'Server=tcp:myserver.database.windows.net,1433;Authentication=Active Directory Integrated;Initial Catalog=MyDatabase;'
   )
   

3. Udělte spravované identitě oprávnění CREATE, UPDATE a INSERT pro databázi SQL Server. Spravovaná identita potřebuje oprávnění k zápisu, protože úloha průběžného exportu exportuje data do databáze jménem spravované identity. Další informace najdete v tématu Oprávnění.

Vytvoření úlohy průběžného exportu

Vyberte jednu z následujících karet a vytvořte úlohu průběžného exportu, která se spustí jménem spravované identity přiřazené uživatelem nebo systémem.

Přiřazeno uživatelem

Spusťte příkaz .create-or-alter continuous-export s vlastností nastavenou managedIdentity na ID objektu spravované identity.

Následující příkaz například vytvoří úlohu průběžného exportu s názvem MyExport pro export dat do MyTableMyExternalTable jménem spravované identity přiřazené uživatelem. <objectId> by mělo být ID objektu spravované identity.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

Přiřazeno systémem

Spusťte příkaz .create-or-alter continuous-export s vlastností nastavenou managedIdentity na system.

Následující příkaz například vytvoří úlohu průběžného exportu s názvem MyExport pro export dat MyTable do MyExternalTable za vaši spravovanou identitu přiřazenou systémem.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity="system", intervalBetweenRuns=5m) <| MyTable

Související obsah

• .show continuous-export
• Přehled průběžného exportu
• Spravované identity