Permitir comandos y consultas entre inquilinos

Artículo
12/08/2023

Las entidades de seguridad de varios inquilinos pueden ejecutar consultas y comandos en un único clúster de Azure Data Explorer. En este artículo, obtendrá información sobre cómo conceder acceso al clúster a las entidades de seguridad de otro inquilino.

Para establecer en trustedExternalTenants el clúster, use plantillas de ARM, CLI de AZ, PowerShell, Azure Resource Explorer o envíe una solicitud de API.

En los ejemplos siguientes se muestra cómo definir inquilinos de confianza en el portal y con una solicitud de API.

Nota

La entidad de seguridad que ejecutará las consultas o los comandos también debe tener el rol de base de datos pertinente. Consulte también control de acceso basado en rol. La validación de los roles correctos tiene lugar después de la validación de los inquilinos externos de confianza.

Portal
API

En Azure Portal, vaya a la página del clúster de Azure Data Explorer.
En el menú de la izquierda, en Configuración, seleccione Seguridad.
Defina los permisos de inquilinos que desee.

Sintaxis

Permitir inquilinos específicos

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Permitir todos los inquilinos

La matriz trustedExternalTenants admite también la notación para todos los inquilinos ("*"), que permite las consultas y los comandos desde todos los inquilinos.

trustedExternalTenants: [ { "value": "*" }]

Nota

El valor predeterminado para trustedExternalTenants es todos los inquilinos: [ { "value": "*" }]. Si la matriz de inquilinos externos no se definió en la creación del clúster, se puede invalidar con una operación de actualización del clúster. Una matriz vacía significa que las identidades del inquilino de clústeres son las únicas que pueden autenticarse en este clúster.

Más información sobre las convenciones de sintaxis.

Ejemplos

En el ejemplo siguiente se permite que algunos inquilinos concretos ejecuten consultas en el clúster:

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

En el ejemplo siguiente se permite que todos los inquilinos ejecuten consultas en el clúster:

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Actualización del clúster

Actualice el clúster con la siguiente operación:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Incorporación de entidades de seguridad

Después de actualizar la trustedExternalTenants propiedad, puede conceder acceso a las entidades de seguridad de los inquilinos aprobados. Use el Azure Portal para conceder permisos de nivel de clúster principal o permisos de base de datos. Como alternativa, para conceder acceso a una base de datos, una tabla, una función o un nivel de vista materializado, use comandos de administración.

Limitaciones

La configuración de esta característica se aplica únicamente a Microsoft Entra identidades (usuarios, aplicaciones, grupos) que intentan conectarse a Azure Data Explorer. No tiene ningún impacto en la ingesta de Microsoft Entra cruzada.