Introducción Identidades administradas

Una identidad administrada de Microsoft Entra ID permite al clúster acceder a otros recursos protegidos de Microsoft Entra, como Azure Storage. La plataforma Azure administra la identidad y no es necesario que lleve a cabo el aprovisionamiento ni la rotación de los secretos.

Tipos de identidades administradas

Se pueden conceder dos tipos de identidades al clúster de Azure Data Explorer:

• Identidad asignada por el sistema: vinculada al clúster y eliminada si se elimina el recurso. Un clúster solo puede tener una identidad asignada por el sistema.

• Identidad asignada por el usuario: un recurso de Azure independiente que puede asignarse al clúster. Un clúster puede tener varias identidades asignadas por el usuario.

Autenticación con identidades administradas

Los recursos de Microsoft Entra de un solo inquilino solo pueden usar identidades administradas para comunicarse con los recursos del mismo inquilino. Esta limitación restringe el uso de identidades administradas en determinados escenarios de autenticación. Por ejemplo, no puede usar una identidad administrada de Azure Data Explorer para acceder a un centro de eventos ubicado en un inquilino diferente. En tales casos, use la autenticación basada en clave de cuenta.

Azure Data Explorer es compatible con varios inquilinos, lo que significa que puede conceder acceso a identidades administradas de distintos inquilinos. Para ello, asigne los roles de seguridad pertinentes. Al asignar los roles, consulte la identidad administrada como se describe en Referencia a entidades de seguridad.

Para autenticarse con identidades administradas, siga estos pasos:

1. Configure una identidad administrada para el clúster
2. Configure la directiva de identidad administrada
3. Use una identidad administrada en los flujos de trabajo admitidos

Configuración de una identidad administrada para el clúster

El clúster necesita permisos para actuar en nombre de la identidad administrada dada. Esta asignación se puede dar para identidades administradas asignadas por el sistema y asignadas por el usuario. Para obtener instrucciones, consulte Configuración de identidades administradas para el clúster de Azure Data Explorer.

Configuración de la directiva de identidad administrada

Para usar la identidad administrada, debe configurar la directiva de identidad administrada para permitir esta identidad. Para obtener instrucciones, consulte Directiva de identidad administrada.

Los comandos de administración de directivas de identidad administrada son:

• .alter policy managed_identity
• .alter-merge policy managed_identity
• .delete policy managed_identity
• .show policy managed_identity

Uso de la identidad administrada en flujos de trabajo admitidos

Después de asignar la identidad administrada al clúster y configurar el uso de la directiva de identidad administrada pertinente, puede empezar a usar la autenticación de identidad administrada en los siguientes flujos de trabajo:

• Tablas externas: cree una tabla externa con autenticación con identidad administrada. La autenticación se indica como parte de la cadena de conexión. Para obtener ejemplos, consulte cadena de conexión de almacenamiento. Para obtener instrucciones sobre el uso de tablas externas con la autenticación con identidad administrada, consulte Autenticación de tablas externas con identidades administradas.

• Exportación continua: ejecute una exportación continua en nombre de una identidad administrada. Se requiere una identidad administrada si la tabla externa usa la autenticación de suplantación o si la consulta de exportación hace referencia a tablas en otras bases de datos. Para usar una identidad administrada, agregue el identificador de identidad administrada en los parámetros opcionales proporcionados en el comando create-or-alter. Para obtener una guía paso a paso, consulte Autenticación con una identidad administrada para la exportación continua.

• Ingesta nativa de Event Hubs: use una identidad administrada con la ingesta nativa de Event Hubs. Para más información, consulte Ingesta de datos desde el centro de eventos en Azure Data Explorer.

• Complemento de Python: use una identidad administrada para autenticarse en cuentas de almacenamiento de artefactos externos que se usan en el complemento de Python. Tenga en cuenta que el uso de SandboxArtifacts debe definirse en la directiva de identidad administrada de nivel de clúster. Para más información, consulte Complemento de Python.

• Ingesta basada en SDK: al poner en cola blobs para la ingesta desde sus propias cuentas de almacenamiento, puede usar identidades administradas como alternativa a los tokens de firma de acceso compartido (SAS) y los métodos de autenticación de claves compartidas. Para obtener más información, consulte Cómo poner en cola blobs para la ingesta mediante la autenticación de identidad administrada.

• Ingesta desde el almacenamiento: ingiere datos de archivos ubicados en almacenamientos en la nube en una tabla de destino mediante la autenticación de identidad administrada. Para obtener más información, consulte Ingesta desde el almacenamiento.

• Complementos de solicitud SQL: use una identidad administrada para autenticarse en una base de datos externa al usar los complementos sql_request o cosmosdb_request.

Contenido relacionado

• Configuración de las identidades administradas del clúster
• Autenticación de tablas externas con identidades administradas
• Ejemplos de uso de la cadena de conexión de almacenamiento para la identidad administrada