Přehled spravovaných identit

  • Článek

Spravovaná identita z ID Microsoft Entra umožňuje clusteru přistupovat k dalším Microsoft Entra chráněným prostředkům, jako je Azure Storage. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy.

Typy spravovaných identit

Clusteru Azure Data Explorer můžete udělit dva typy identit:

  • Identita přiřazená systémem: Je svázaná s vaším clusterem a odstraněná, pokud se prostředek odstraní. Cluster může mít pouze jednu identitu přiřazenou systémem.

  • Identita přiřazená uživatelem: Samostatný prostředek Azure, který je možné přiřadit ke clusteru. Cluster může mít více identit přiřazených uživatelem.

Ověřování pomocí spravovaných identit

Prostředky Microsoft Entra s jedním tenantem můžou ke komunikaci s prostředky ve stejném tenantovi používat pouze spravované identity. Toto omezení omezuje použití spravovaných identit v určitých scénářích ověřování. Nemůžete například použít spravovanou identitu Azure Data Explorer pro přístup k centru událostí umístěnému v jiném tenantovi. V takových případech použijte ověřování založené na klíči účtu.

Azure Data Explorer podporuje více tenantů, což znamená, že můžete udělit přístup ke spravovaným identitám z různých tenantů. Za tímto účelem přiřaďte příslušné role zabezpečení. Při přiřazování rolí se podívejte na spravovanou identitu, jak je popsáno v tématu Odkazování na objekty zabezpečení.

Při ověřování pomocí spravovaných identit postupujte takto:

  1. Konfigurace spravované identity pro cluster
  2. Konfigurace zásad spravované identity
  3. Použití spravované identity v podporovaných pracovních postupech

Konfigurace spravované identity pro cluster

Váš cluster potřebuje oprávnění k jednání jménem dané spravované identity. Toto přiřazení je možné zadat pro spravované identity přiřazené systémem i uživatelem. Pokyny najdete v tématu Konfigurace spravovaných identit pro cluster Azure Data Explorer.

Konfigurace zásad spravované identity

Pokud chcete použít spravovanou identitu, musíte nakonfigurovat zásady spravované identity, které tuto identitu povolí. Pokyny najdete v tématu Zásady spravované identity.

Příkazy pro správu zásad spravovaných identit jsou:

Použití spravované identity v podporovaných pracovních postupech

Po přiřazení spravované identity ke clusteru a konfiguraci příslušného použití zásad spravované identity můžete začít používat ověřování spravované identity v následujících pracovních postupech:

  • Externí tabulky: Vytvořte externí tabulku s ověřováním spravované identity. Ověřování se uvádí jako součást připojovací řetězec. Příklady najdete v tématu připojovací řetězec úložiště. Pokyny k používání externích tabulek s ověřováním spravované identity najdete v tématu Ověřování externích tabulek pomocí spravovaných identit.

  • Průběžný export: Spustí průběžný export jménem spravované identity. Spravovaná identita se vyžaduje, pokud externí tabulka používá ověřování zosobnění nebo pokud exportní dotaz odkazuje na tabulky v jiných databázích. Pokud chcete použít spravovanou identitu, přidejte identifikátor spravované identity do volitelných parametrů zadaných create-or-alter v příkazu . Podrobné pokyny najdete v tématu Ověřování pomocí spravované identity pro průběžný export.

  • Nativní příjem dat služby Event Hubs: Použijte spravovanou identitu s nativním příjmem dat centra událostí. Další informace najdete v tématu Ingestování dat z centra událostí do Azure Data Explorer.

  • Modul plug-in Pythonu: Pomocí spravované identity ověřte v účtech úložiště externích artefaktů, které se používají v modulu plug-in Python. Mějte na paměti, že SandboxArtifacts využití je potřeba definovat v zásadách spravované identity na úrovni clusteru. Další informace najdete v tématu Modul plug-in Python.

  • Příjem dat na základě sady SDK: Při řazení objektů blob do fronty pro příjem dat z vlastních účtů úložiště můžete jako alternativu k tokenům sdíleného přístupového podpisu (SAS) a metodám ověřování sdílených klíčů použít spravované identity. Další informace najdete v tématu Fronta objektů blob pro příjem dat pomocí ověřování spravované identity.

  • Ingestování z úložiště: Ingestuje data ze souborů umístěných v cloudových úložištích do cílové tabulky pomocí ověřování spravované identity. Další informace najdete v tématu Ingestování z úložiště.

Související obsah