Adición de entidades de seguridad de clúster para Azure Data Explorer

Artículo
05/04/2023

El Explorador de datos de Azure es un servicio de exploración de datos altamente escalable y rápido para datos de telemetría y registro. En este artículo, aprenderá a agregar entidades de seguridad de clúster para Azure Data Explorer mediante C#, Python o una plantilla de Azure Resource Manager (ARM).

Requisitos previos

Los requisitos previos varían en función del método usado para agregar la entidad de seguridad. Elija la pestaña correspondiente para su método preferido.

En la lista siguiente se describen los requisitos previos para agregar una entidad de seguridad de clúster con C#.

Una cuenta Microsoft o una identidad de usuario de Azure Active Directory. No se necesita una suscripción a Azure.
Un clúster y la base de datos de Azure Data Explorer. Cree un clúster y una base de datos.
Visual Studio 2022 Community Edition. Active el desarrollo de Azure durante la instalación de Visual Studio.
Una aplicación de Azure AD y una entidad de servicio con acceso a los recursos. Guarde el identificador de directorio (inquilino), el identificador de aplicación y el secreto de cliente.
Instale Microsoft.Azure.Management.kusto y Microsoft.Rest.ClientRuntime.Azure.Authentication.

Incorporación de una entidad de seguridad de clúster

Ejecute el código siguiente para agregar una entidad de seguridad de clúster:

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = await ApplicationTokenProvider.LoginSilentAsync(tenantId, clientId, clientSecret);
var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
var resourceGroupName = "testrg";
//The cluster that is created as part of the Prerequisites
var clusterName = "mykustocluster";
var clusterPrincipalAssignmentName = "mykustoclusterprincipalassignment";
var principalId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //User email, application ID, or security group name
var role = "AllDatabasesAdmin"; //AllDatabasesAdmin or AllDatabasesViewer
var tenantIdForPrincipal = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var principalType = "App"; //User, App, or Group
var clusterPrincipalAssignmentData = new ClusterPrincipalAssignment(
    principalId: principalId, role: role, principalType: principalType, tenantId: tenantIdForPrincipal
);
await kustoManagementClient.ClusterPrincipalAssignments.CreateOrUpdateAsync(
    resourceGroupName, clusterName, clusterPrincipalAssignmentName, clusterPrincipalAssignmentData
);

Configuración	Valor sugerido	Descripción del campo
tenantId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino. También conocido como identificador de directorio.
subscriptionId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador de suscripción que se usa para la creación de recursos.
clientId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador del cliente de la aplicación que puede acceder a los recursos del inquilino.
clientSecret	PlaceholderClientSecret	Secreto del cliente de la aplicación que puede acceder a los recursos del inquilino.
resourceGroupName	testrg	Nombre del grupo de recursos que contiene el clúster.
clusterName	mykustocluster	Nombre del clúster.
principalAssignmentName	clusterPrincipalAssignment1	Nombre del recurso principal de clúster.
principalId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de la entidad de seguridad, que puede ser el correo electrónico del usuario, el identificador de la aplicación o el nombre del grupo de seguridad.
rol	AllDatabasesAdmin	El rol de la entidad de seguridad del clúster, que puede ser "AllDatabasesAdmin", "AllDatabasesMonitor" o "AllDatabasesViewer".
tenantIdForPrincipal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino de la entidad de seguridad.
principalType	Aplicación	El tipo de la entidad de seguridad, que puede ser "User" (Usuario), "App" (Aplicación) o "Group" (Grupo)

Ejecute el código siguiente para agregar una entidad de seguridad de clúster:

from azure.mgmt.kusto import KustoManagementClient
from azure.mgmt.kusto.models import ClusterPrincipalAssignment
from azure.common.credentials import ServicePrincipalCredentials

#Directory (tenant) ID
tenant_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Application ID
client_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Client Secret
client_secret = "xxxxxxxxxxxxxx"
subscription_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
credentials = ServicePrincipalCredentials(
        client_id=client_id,
        secret=client_secret,
        tenant=tenant_id
    )
kusto_management_client = KustoManagementClient(credentials, subscription_id)

resource_group_name = "testrg"
#The cluster that is created as part of the Prerequisites
cluster_name = "mykustocluster"
principal_assignment_name = "clusterPrincipalAssignment1"
#User email, application ID, or security group name
principal_id = "xxxxxxxx"
#AllDatabasesAdmin, AllDatabasesMonitor or AllDatabasesViewer
role = "AllDatabasesAdmin"
tenant_id_for_principal = tenantId
#User, App, or Group
principal_type = "App"

#Returns an instance of LROPoller, check https://learn.microsoft.com/python/api/msrest/msrest.polling.lropoller?view=azure-python
poller = kusto_management_client.cluster_principal_assignments.create_or_update(resource_group_name=resource_group_name, cluster_name=cluster_name, principal_assignment_name= principal_assignment_name, parameters=ClusterPrincipalAssignment(principal_id=principal_id, role=role, tenant_id=tenant_id_for_principal, principal_type=principal_type))

Configuración	Valor sugerido	Descripción del campo
tenant_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino. También conocido como identificador de directorio.
subscription_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador de suscripción que se usa para la creación de recursos.
client_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador del cliente de la aplicación que puede acceder a los recursos del inquilino.
client_secret	xxxxxxxxxxxxxx	Secreto del cliente de la aplicación que puede acceder a los recursos del inquilino.
resource_group_name	testrg	Nombre del grupo de recursos que contiene el clúster.
cluster_name	mykustocluster	Nombre del clúster.
principal_assignment_name	clusterPrincipalAssignment1	Nombre del recurso principal de clúster.
principal_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de la entidad de seguridad, que puede ser el correo electrónico del usuario, el identificador de la aplicación o el nombre del grupo de seguridad.
rol	AllDatabasesAdmin	El rol de la entidad de seguridad del clúster, que puede ser "AllDatabasesAdmin", "AllDatabasesMonitor" o "AllDatabasesViewer".
tenant_id_for_principal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino de la entidad de seguridad.
principal_type	Aplicación	El tipo de la entidad de seguridad, que puede ser "User" (Usuario), "App" (Aplicación) o "Group" (Grupo)

En el ejemplo siguiente se muestra una plantilla de Azure Resource Manager para agregar una entidad de seguridad de clúster. Puede editar e implementar la plantilla en Azure Portal mediante el formulario.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
		"clusterPrincipalAssignmentName": {
            "type": "string",
            "defaultValue": "principalAssignment1",
            "metadata": {
                "description": "Specifies the name of the principal assignment"
            }
        },
        "clusterName": {
            "type": "string",
            "defaultValue": "mykustocluster",
            "metadata": {
                "description": "Specifies the name of the cluster"
            }
        },
		"principalIdForCluster": {
            "type": "string",
            "metadata": {
                "description": "Specifies the principal id. It can be user email, application (client) ID, security group name"
            }
        },
		"roleForClusterPrincipal": {
            "type": "string",
			"defaultValue": "AllDatabasesViewer",
            "metadata": {
                "description": "Specifies the cluster principal role. It can be 'AllDatabasesAdmin', 'AllDatabasesMonitor' or 'AllDatabasesViewer'"
            }
        },
		"tenantIdForClusterPrincipal": {
            "type": "string",
            "metadata": {
                "description": "Specifies the tenantId of the principal"
            }
        },
		"principalTypeForCluster": {
            "type": "string",
			"defaultValue": "User",
            "metadata": {
                "description": "Specifies the principal type. It can be 'User', 'App', 'Group'"
            }
        }
    },
    "variables": {
    },
    "resources": [{
            "type": "Microsoft.Kusto/Clusters/principalAssignments",
            "apiVersion": "2019-11-09",
            "name": "[concat(parameters('clusterName'), '/', parameters('clusterPrincipalAssignmentName'))]",
            "properties": {
                "principalId": "[parameters('principalIdForCluster')]",
                "role": "[parameters('roleForClusterPrincipal')]",
				"tenantId": "[parameters('tenantIdForClusterPrincipal')]",
				"principalType": "[parameters('principalTypeForCluster')]"
            }
        }
    ]
}

Pasos siguientes

Incorporación de las entidades de seguridad de base de datos

Compartir a través de

Adición de entidades de seguridad de clúster para Azure Data Explorer

Requisitos previos

Incorporación de una entidad de seguridad de clúster

Pasos siguientes

Recursos adicionales