Configuración de identidades administradas para el clúster de Azure Data Explorer

Una identidad administrada del identificador de Microsoft Entra permite al clúster acceder a otros recursos protegidos Microsoft Entra, como Azure Key Vault. La plataforma Azure administra la identidad y no es necesario que lleve a cabo el aprovisionamiento ni la rotación de los secretos.

En este artículo se muestra cómo agregar y quitar identidades administradas en el clúster. Para más información sobre las identidades administradas, consulte Introducción a las identidades administradas.

Nota

Las identidades administradas de Azure Data Explorer no se comportarán según lo previsto si el clúster de Azure Data Explorer se migra entre suscripciones o inquilinos. La aplicación tendrá que obtener una nueva identidad, que se puede realizar mediante la eliminación de una identidad asignada por el sistema y, a continuación, la adición de una identidad asignada por el sistema. Las directivas de acceso y los recursos de nivel inferior también deberán actualizarse para utilizar la nueva identidad.

Para obtener ejemplos de código basados en versiones anteriores del SDK, consulte el artículo archivado.

Tipos de identidades administradas

Se pueden conceder dos tipos de identidades al clúster de Azure Data Explorer:

• Identidad asignada por el sistema: está asociada al clúster y se elimina si se elimina el recurso. Un clúster solo puede tener una identidad asignada por el sistema.

• Identidad asignada por el usuario: un recurso de Azure independiente que puede asignarse al clúster. Un clúster puede tener varias identidades asignadas por el usuario.

Adición de una identidad asignada por el sistema

Asigne una identidad asignada por el sistema que esté asociada al clúster y que se eliminará si se elimina el clúster. Un clúster solo puede tener una identidad asignada por el sistema. Para crear un clúster con una identidad asignada por el sistema se requiere la configuración de una propiedad adicional en el clúster. Agregue la identidad asignada por el sistema mediante Azure Portal, C# o una plantilla de Resource Manager, tal y como se detalla a continuación.

Azure Portal

Adición de una identidad asignada por el sistema mediante Azure Portal

Inicie sesión en Azure Portal.

Nuevo clúster de Azure Data Explorer

1. Creación de un clúster de Azure Data Explorer

2. En la pestaña Seguridad > >Identidad asignada por el sistema, seleccione Activado. Para quitar la identidad asignada por el sistema, seleccione Desactivado.

3. Seleccione Siguiente: Etiquetas > o Revisar y crear para crear el clúster.

   

Clúster de Azure Data Explorer existente

1. Abra un clúster de Azure Data Explorer existente.

2. Seleccione Configuración>Identidad en el panel izquierdo del portal.

3. En el panel Identidad pestaña >Asignado por el sistema:

   1. Mueva el control deslizante Estado a Activado.
   2. Seleccione Guardar.
   3. En la ventana emergente, seleccione Sí.

   

4. Después de unos minutos, la pantalla muestra:

   • Id. de objeto: se usa para las claves administradas por el cliente
   • Permisos: seleccionar las asignaciones de roles correspondientes

   

C#

Adición de una identidad asignada por el sistema mediante C#

Prerrequisitos

Para configurar una identidad administrada mediante el cliente de C# de Azure Data Explorer:

• Instale el paquete NuGet de Azure Data Explorer.
• Instale el paquete NuGet Azure.Identity para la autenticación.
• Cree una aplicación Microsoft Entra y una entidad de servicio que puedan acceder a los recursos. La asignación de roles se agrega en el ámbito de la suscripción y se obtienen los objetos Directory (tenant) ID, Application ID y Client Secretnecesarios.

Creación o actualización del clúster

1. Cree o actualice el clúster mediante la propiedad Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Ejecute el siguiente comando para comprobar si el clúster se creó o actualizó correctamente con una identidad:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, el clúster se creó o actualizó y debe tener las siguientes propiedades:

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId y TenantId se reemplazan por GUID. La TenantId propiedad identifica el inquilino Microsoft Entra al que pertenece la identidad. PrincipalId es un identificador único para la nueva identidad del clúster. En Microsoft Entra identificador, la entidad de servicio tiene el mismo nombre que asignó a la instancia de App Service o Azure Functions.

Plantilla de Resource Manager

Adición de identidad asignada por el sistema mediante una plantilla de Azure Resource Manager

Se puede utilizar una plantilla de Azure Resource Manager para automatizar la implementación de los recursos de Azure. Para obtener información sobre la implementación en Azure Data Explorer, consulte Creación de un clúster y una base de datos de Azure Data Explorer mediante una plantilla de Azure Resource Manager.

Al agregar el tipo asignado por el sistema se indica a Azure que debe crear y administrar la identidad del clúster. Se puede crear cualquier recurso de tipo Microsoft.Kusto/clusters con una identidad mediante la inclusión de la siguiente propiedad en la definición de recursos:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Por ejemplo:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

Nota

Un clúster puede tener identidades asignadas por el sistema y asignadas por el usuario al mismo tiempo. La propiedad type tendría el valor SystemAssigned,UserAssigned.

Cuando se crea el clúster, tiene las siguientes propiedades adicionales:

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> y <PRINCIPALID> se reemplazan por GUID. La TenantId propiedad identifica el inquilino Microsoft Entra al que pertenece la identidad. PrincipalId es un identificador único para la nueva identidad del clúster. En Microsoft Entra identificador, la entidad de servicio tiene el mismo nombre que asignó a la instancia de App Service o Azure Functions.

Eliminación de una identidad asignada por el sistema

Al quitar una identidad asignada por el sistema, también se eliminará del identificador de Microsoft Entra. Las identidades asignadas por el sistema también se quitan automáticamente del identificador de Microsoft Entra cuando se elimina el recurso de clúster. Para quitar una identidad asignada por el sistema se puede deshabilitar la característica. Elimine la identidad asignada por el sistema mediante Azure Portal, C# o una plantilla de Resource Manager, tal y como se detalla a continuación.

Azure Portal

Eliminación de una identidad asignada por el sistema mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. Seleccione Configuración>Identidad en el panel izquierdo del portal.

3. En el panel Identidad pestaña >Asignado por el sistema:

   1. Mueva el control deslizante Estado a Desactivado.
   2. Seleccione Guardar.
   3. En la ventana emergente, seleccione Sí para deshabilitar la identidad asignada por el sistema. El panel Identidad se revierte a la misma condición que antes de la adición de la identidad asignada por el sistema.

   

C#

Eliminación de una identidad asignada por el sistema mediante C#

Ejecute el comando siguiente para quitar la identidad asignada por el sistema:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

Plantilla de Resource Manager

Eliminación de una identidad asignada por el sistema mediante una plantilla de Azure Resource Manager

Ejecute el comando siguiente para quitar la identidad asignada por el sistema:

{
   "identity": {
      "type": "None"
   }
}

Nota

Si el clúster tenía identidades asignadas por el sistema y asignadas por el usuario al mismo tiempo, después de la eliminación de la identidad asignada por el sistema, la propiedad type tendrá el valor UserAssigned.

Adición de una identidad asignada por el usuario

Asigne una identidad administrada asignada por el usuario al clúster. Un clúster puede tener más de una identidad asignada por el usuario. Para crear un clúster con una identidad asignada por el usuario se requiere la configuración de una propiedad adicional en el clúster. Agregue la identidad asignada por el usuario mediante Azure Portal, C# o una plantilla de Resource Manager, tal y como se detalla a continuación.

Azure Portal

Adición de una identidad asignada por el usuario mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. Cree un recurso de identidad administrada asignada por el usuario.

3. Abra un clúster de Azure Data Explorer existente.

4. Seleccione Configuración>Identidad en el panel izquierdo del portal.

5. En la pestaña Usuario asignado, seleccione Agregar.

6. Busque la identidad que creó anteriormente y selecciónela. Seleccione Agregar.

   

C#

Adición de una identidad asignada por el usuario con C#

Prerrequisitos

Para configurar una identidad administrada mediante el cliente de C# de Azure Data Explorer:

• Instale el paquete NuGet de Azure Data Explorer.
• Instale el paquete NuGet Azure.Identity para la autenticación.
• Cree una aplicación Microsoft Entra y una entidad de servicio que puedan acceder a los recursos. La asignación de roles se agrega en el ámbito de la suscripción y se obtienen los objetos Directory (tenant) ID, Application ID y Client Secretnecesarios.

Creación o actualización del clúster

1. Cree o actualice el clúster mediante la propiedad Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Ejecute el siguiente comando para comprobar si el clúster se creó o actualizó correctamente con una identidad:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, el clúster se creó o actualizó y debe tener las siguientes propiedades:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   PrincipalId es un identificador único para la identidad que se usa para Microsoft Entra administración. ClientId es un identificador único de la nueva identidad de la aplicación que se usa para especificar qué identidad utilizar durante las llamadas en tiempo de ejecución.

Plantilla de Resource Manager

Adición de una identidad asignada por el usuario mediante una plantilla de Azure Resource Manager

Se puede utilizar una plantilla de Azure Resource Manager para automatizar la implementación de los recursos de Azure. Para obtener información sobre la implementación en Azure Data Explorer, consulte Creación de un clúster y una base de datos de Azure Data Explorer mediante una plantilla de Azure Resource Manager.

Se puede crear cualquier recurso de tipo Microsoft.Kusto/clusters con una identidad asignada por el usuario; para ello, incluya la siguiente propiedad en la definición del recurso y reemplace <RESOURCEID> por el identificador de recurso de la identidad deseada:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Por ejemplo:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Cuando se crea el clúster, tiene las siguientes propiedades adicionales:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId es un identificador único para la identidad que se usa para Microsoft Entra administración. ClientId es un identificador único de la nueva identidad de la aplicación que se usa para especificar qué identidad utilizar durante las llamadas en tiempo de ejecución.

Nota

Un clúster puede tener identidades asignadas por el sistema y asignadas por el usuario al mismo tiempo. En este caso, la propiedad type sería SystemAssigned,UserAssigned.

Eliminación de una identidad administrada asignada por el usuario de un clúster

Elimine la identidad asignada por el usuario mediante Azure Portal, C# o una plantilla de Resource Manager, tal y como se detalla a continuación.

Azure Portal

Eliminación de una identidad administrada asignada por el usuario mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. Seleccione Configuración>Identidad en el panel izquierdo del portal.

3. Seleccione la pestaña Usuario asignado.

4. Busque la identidad que creó anteriormente y selecciónela. Seleccione Quitar.

   

5. En la ventana emergente, seleccione Sí para eliminar la identidad asignada por el usuario. El panel Identidad se revierte a la misma condición que antes de la adición de la identidad asignada por el usuario.

C#

Eliminación de una identidad asignada por el usuario con C#

Ejecute el código siguiente para eliminar la identidad asignada por el usuario:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

Plantilla de Resource Manager

Eliminación de una identidad asignada por el usuario mediante una plantilla de Azure Resource Manager

Ejecute el código siguiente para eliminar la identidad asignada por el usuario:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Nota

• Para eliminar identidades, establezca sus valores en NULL. Todas las demás identidades existentes no se verán afectadas.
• Para eliminar todas las identidades asignadas por el usuario, el valor de la propiedad type sería None.
• Si el clúster tenía identidades asignadas por el sistema y asignadas por el usuario al mismo tiempo, la propiedad type sería SystemAssigned,UserAssigned con las identidades que se van a eliminar o SystemAssigned para eliminar todas las identidades asignadas por el usuario.

Contenido relacionado

• Protección de clústeres de Azure Data Explorer en Azure
• Para proteger el clúster mediante el cifrado de disco, habilite el cifrado en reposo.
• Configuración de claves administradas por el cliente mediante C#
• Configuración de claves administradas por el cliente mediante la plantilla de Azure Resource Manager