Použití spravovaných identit pro přístup ke službě Event Hubs z úlohy Azure Stream Analytics

  • Článek

Azure Stream Analytics podporuje ověřování spravovaných identit pro vstup i výstup služby Azure Event Hubs. Spravované identity eliminují omezení metod ověřování na základě uživatelů, jako je potřeba znovu ověřit kvůli změnám hesla nebo vypršení platnosti tokenů uživatele, ke kterým dochází každých 90 dnů. Když odeberete nutnost ručního ověření, nasazení Stream Analytics je možné plně automatizovat. 

Spravovaná identita je spravovaná aplikace zaregistrovaná v Microsoft Entra ID, která představuje danou úlohu Stream Analytics. Spravovaná aplikace se používá k ověření v cílovém prostředku, včetně center událostí, které se nacházejí za bránou firewall nebo virtuální sítí. Další informace o obejití bran firewall najdete v tématu Povolení přístupu k oborům názvů služby Azure Event Hubs prostřednictvím privátních koncových bodů.

V tomto článku se dozvíte, jak povolit spravovanou identitu pro vstup centra událostí nebo výstup úlohy Stream Analytics prostřednictvím webu Azure Portal. Před povolením spravované identity musíte nejprve mít úlohu Stream Analytics a prostředek Služby Event Hubs.

Vytvoření spravované identity

Nejprve vytvoříte spravovanou identitu pro úlohu Azure Stream Analytics. 

  1. Na webu Azure Portal otevřete úlohu Azure Stream Analytics. 

  2. V levé navigační nabídce vyberte spravovanou identitu umístěnou v části Konfigurovat. Potom zaškrtněte políčko vedle možnosti Použít spravovanou identitu přiřazenou systémem a vyberte Uložit.

    System assigned managed identity

  3. Instanční objekt pro identitu úlohy Stream Analytics se vytvoří v Microsoft Entra ID. Životní cyklus nově vytvořené identity spravuje Azure. Když se úloha Stream Analytics odstraní, azure automaticky odstraní přidruženou identitu (tj. instanční objekt). 

    Při uložení konfigurace se ID objektu (OID) instančního objektu zobrazí jako ID objektu zabezpečení, jak je znázorněno níže:

    Principal ID

    Instanční objekt má stejný název jako úloha Stream Analytics. Pokud je MyASAJobnapříklad název vaší úlohy , název instančního objektu je také MyASAJob. 

Udělení oprávnění úlohy Stream Analytics pro přístup ke službě Event Hubs

Aby úloha Stream Analytics měla přístup k centru událostí pomocí spravované identity, musí mít vytvořený instanční objekt speciální oprávnění k centru událostí.

  1. Vyberte Řízení přístupu (IAM) .

  2. Výběrem možnosti Přidat>přiřazení role otevřete stránku Přidat přiřazení role.

  3. Přiřaďte následující roli. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

Poznámka:

Při udělování přístupu k libovolnému prostředku byste měli udělit nejméně potřebný přístup. V závislosti na tom, jestli službu Event Hubs konfigurujete jako vstup nebo výstup, možná nebudete muset přiřadit roli Vlastník dat služby Azure Event Hubs, která by udělila více než potřebný přístup k vašemu prostředku EventHubu. Další informace najdete v tématu Ověřování aplikace pomocí ID Microsoft Entra pro přístup k prostředkům služby Event Hubs.

Nastavení Hodnota
Role Vlastník dat služby Azure Event Hubs
Přiřadit přístup k Uživatel, skupina nebo instanční objekt
Členové <Název úlohy Stream Analytics>

Screenshot that shows Add role assignment page in Azure portal.

Tuto roli můžete udělit také na úrovni oboru názvů služby Event Hubs, která přirozeně rozšíří oprávnění do všech center událostí vytvořených v ní. To znamená, že všechna centra událostí v oboru názvů se dají použít jako prostředek pro ověřování spravované identity v úloze Stream Analytics.

Poznámka:

Kvůli globální replikaci nebo latenci ukládání do mezipaměti může dojít ke zpoždění při odvolání nebo udělení oprávnění. Změny by se měly projevit do 8 minut.

Vytvoření vstupu nebo výstupu služby Event Hubs

Teď, když je vaše spravovaná identita nakonfigurovaná, jste připraveni přidat prostředek centra událostí jako vstup nebo výstup do úlohy Stream Analytics. 

Přidání služby Event Hubs jako vstupu

  1. Přejděte do úlohy Stream Analytics a přejděte na stránku Vstupy v části Topologie úlohy.

  2. Vyberte Přidat vstupní > centrum událostí streamu. V okně vlastností vstupu vyhledejte a vyberte centrum událostí a z rozevírací nabídky Režim ověřování vyberte Spravovanou identitu.

  3. Vyplňte zbývající vlastnosti a vyberte Uložit.

Přidání služby Event Hubs jako výstupu

  1. Přejděte do úlohy Stream Analytics a přejděte na stránku Výstupy v části Topologie úlohy.

  2. Vyberte Přidat > centrum událostí. V okně vlastností výstupu vyhledejte a vyberte centrum událostí a z rozevírací nabídky Režim ověřování vyberte Spravovanou identitu.

  3. Vyplňte zbývající vlastnosti a vyberte Uložit.

Další kroky