Adición de entidades de seguridad de base de datos para Azure Data Explorer

El Explorador de datos de Azure es un servicio de exploración de datos altamente escalable y rápido para datos de telemetría y registro. En este artículo, aprenderá a agregar entidades de seguridad de base de datos para Azure Data Explorer mediante C#, Python o una plantilla de Azure Resource Manager (ARM).

Requisitos previos

Los requisitos previos varían en función del método usado para agregar la entidad de seguridad. Elija la pestaña correspondiente para su método preferido.

C#

En la lista siguiente se describen los requisitos previos para agregar una entidad de seguridad de clúster con C#.

• Una cuenta de Microsoft o una identidad de usuario Microsoft Entra. No se necesita una suscripción a Azure.
• Un clúster y la base de datos de Azure Data Explorer. Cree un clúster y una base de datos.
• Visual Studio 2022 Community Edition. Active el desarrollo de Azure durante la instalación de Visual Studio.
• Una Microsoft Entra aplicación y entidad de servicio que puede acceder a los recursos. Guarde el identificador de directorio (inquilino), el identificador de aplicación y el secreto de cliente.
• Instale Azure.ResourceManager.Kusto.
• Instale el paquete NuGet Azure.Identity para la autenticación.

Python

En la lista siguiente se describen los requisitos previos para agregar una entidad de seguridad de clúster con Python.

• Una cuenta de Microsoft o una identidad de usuario Microsoft Entra. No se necesita una suscripción a Azure.
• Un clúster y la base de datos de Azure Data Explorer. Cree un clúster y una base de datos.
• Una Microsoft Entra aplicación y entidad de servicio que puede acceder a los recursos. Guarde el identificador de directorio (inquilino), el identificador de aplicación y el secreto de cliente.
• Instale los paquetes azure-common y azure-mgmt-kusto .

ARM

En la lista siguiente se describen los requisitos previos para agregar una entidad de seguridad de clúster con una plantilla de ARM.

• Suscripción a Azure. Cree una cuenta de Azure gratuita.
• Un clúster y una base de datos de Azure Data Explorer. Cree un clúster y una base de datos.

Incorporación de una entidad de seguridad de base de datos

C#

Ejecute el código siguiente para agregar una entidad de seguridad de base de datos:

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
//The cluster that is created as part of the Prerequisites
var clusterName = "mykustocluster";
var databaseName = "mykustodatabase";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var cluster = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value;
var database = (await cluster.GetKustoDatabaseAsync(databaseName)).Value;
var databasePrincipalAssignments = database.GetKustoDatabasePrincipalAssignments();
var databasePrincipalAssignmentName = "mykustodatabaseprincipalassignment";
var principalId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //User email, application ID, or security group name
var role = KustoDatabasePrincipalRole.Admin; //Admin, Ingestor, Monitor, User, UnrestrictedViewers, Viewer
var tenantIdForPrincipal = new Guid("xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx");
var principalType = KustoPrincipalAssignmentType.App; //User, App, or Group
var databasePrincipalAssignmentData = new KustoDatabasePrincipalAssignmentData
{
    DatabasePrincipalId = principalId, Role = role, PrincipalType = principalType, TenantId = tenantIdForPrincipal
};
await databasePrincipalAssignments.CreateOrUpdateAsync(
    WaitUntil.Completed, databasePrincipalAssignmentName, databasePrincipalAssignmentData
);

Configuración	Valor sugerido	Descripción del campo
tenantId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino. También conocido como identificador de directorio.
subscriptionId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador de suscripción que se usa para la creación de recursos.
clientId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador del cliente de la aplicación que puede acceder a los recursos del inquilino.
clientSecret	PlaceholderClientSecret	Secreto del cliente de la aplicación que puede acceder a los recursos del inquilino.
resourceGroupName	testrg	Nombre del grupo de recursos que contiene el clúster.
clusterName	mykustocluster	Nombre del clúster.
databaseName	mykustodatabase	Nombre de la base de datos.
databasePrincipalAssignmentName	mykustodatabaseprincipalassignment	Nombre del recurso principal de base de datos.
principalId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de la entidad de seguridad, que puede ser el correo electrónico del usuario, el identificador de la aplicación o el nombre del grupo de seguridad.
rol	Administrador	El rol de la entidad de seguridad de base de datos, que puede ser "Admin" (Administrador), "Ingestor" (Agente de ingesta), "Monitor" (Monitor), "User" (Usuario), "UnrestrictedViewers" (Visores no restringidos) o "Viewer" (Visor).
tenantIdForPrincipal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino de la entidad de seguridad.
principalType	Aplicación	El tipo de la entidad de seguridad, que puede ser "User" (Usuario), "App" (Aplicación) o "Group" (Grupo)

Python

En el ejemplo siguiente, se explica cómo se agrega una entidad de seguridad de base de datos mediante programación.

from azure.mgmt.kusto import KustoManagementClient
from azure.mgmt.kusto.models import DatabasePrincipalAssignment
from azure.common.credentials import ServicePrincipalCredentials

#Directory (tenant) ID
tenant_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Application ID
client_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Client Secret
client_secret = "xxxxxxxxxxxxxx"
subscription_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
credentials = ServicePrincipalCredentials(
        client_id=client_id,
        secret=client_secret,
        tenant=tenant_id
    )
kusto_management_client = KustoManagementClient(credentials, subscription_id)

resource_group_name = "testrg"
#The cluster and database that is created as part of the Prerequisites
cluster_name = "mykustocluster"
database_name = "mykustodatabase"
principal_assignment_name = "clusterPrincipalAssignment1"
#User email, application ID, or security group name
principal_id = "xxxxxxxx"
#AllDatabasesAdmin, AllDatabasesMonitor or AllDatabasesViewer
role = "AllDatabasesAdmin"
tenant_id_for_principal = tenantId
#User, App, or Group
principal_type = "App"

#Returns an instance of LROPoller, check https://learn.microsoft.com/python/api/msrest/msrest.polling.lropoller?view=azure-python
poller = kusto_management_client.database_principal_assignments.create_or_update(resource_group_name=resource_group_name, cluster_name=cluster_name, database_name=database_name, principal_assignment_name= principal_assignment_name, parameters=DatabasePrincipalAssignment(principal_id=principal_id, role=role, tenant_id=tenant_id_for_principal, principal_type=principal_type))

Configuración	Valor sugerido	Descripción del campo
tenant_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino. También conocido como identificador de directorio.
subscription_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador de suscripción que se usa para la creación de recursos.
client_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identificador del cliente de la aplicación que puede acceder a los recursos del inquilino.
client_secret	xxxxxxxxxxxxxx	Secreto del cliente de la aplicación que puede acceder a los recursos del inquilino.
resource_group_name	testrg	Nombre del grupo de recursos que contiene el clúster.
cluster_name	mykustocluster	Nombre del clúster.
database_name	mykustodatabase	Nombre de la base de datos.
principal_assignment_name	databasePrincipalAssignment1	Nombre del recurso principal de base de datos.
principal_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de la entidad de seguridad, que puede ser el correo electrónico del usuario, el identificador de la aplicación o el nombre del grupo de seguridad.
rol	Administrador	El rol de la entidad de seguridad de base de datos, que puede ser "Admin" (Administrador), "Ingestor" (Agente de ingesta), "Monitor" (Monitor), "User" (Usuario), "UnrestrictedViewers" (Visores no restringidos) o "Viewer" (Visor).
tenant_id_for_principal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	El identificador de inquilino de la entidad de seguridad.
principal_type	Aplicación	El tipo de la entidad de seguridad, que puede ser "User" (Usuario), "App" (Aplicación) o "Group" (Grupo)

Plantilla ARM

En el ejemplo siguiente se muestra una plantilla de Azure Resource Manager para agregar una entidad de seguridad de base de datos. Puede editar e implementar la plantilla en Azure Portal mediante el formulario.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
		"principalAssignmentName": {
            "type": "string",
            "defaultValue": "principalAssignment1",
            "metadata": {
                "description": "Specifies the name of the principal assignment"
            }
        },
        "clusterName": {
            "type": "string",
            "defaultValue": "mykustocluster",
            "metadata": {
                "description": "Specifies the name of the cluster"
            }
        },
		"databaseName": {
            "type": "string",
            "defaultValue": "mykustodatabase",
            "metadata": {
                "description": "Specifies the name of the database"
            }
        },
		"principalIdForDatabase": {
            "type": "string",
            "metadata": {
                "description": "Specifies the principal id. It can be user email, application (client) ID, security group name"
            }
        },
		"roleForDatabasePrincipal": {
            "type": "string",
			"defaultValue": "Admin",
            "metadata": {
                "description": "Specifies the database principal role. It can be 'Admin', 'Ingestor', 'Monitor', 'User', 'UnrestrictedViewers', 'Viewer'"
            }
        },
		"tenantIdForDatabasePrincipal": {
            "type": "string",
            "metadata": {
                "description": "Specifies the tenantId of the database principal"
            }
        },
		"principalTypeForDatabase": {
            "type": "string",
			"defaultValue": "App",
            "metadata": {
                "description": "Specifies the principal type. It can be 'User', 'App', 'Group'"
            }
        }
    },
    "variables": {
    },
    "resources": [{
            "type": "Microsoft.Kusto/Clusters/Databases/principalAssignments",
            "apiVersion": "2019-11-09",
            "name": "[concat(parameters('clusterName'), '/', parameters('databaseName'), '/', parameters('principalAssignmentName'))]",
            "properties": {
                "principalId": "[parameters('principalIdForDatabase')]",
                "role": "[parameters('roleForDatabasePrincipal')]",
				"tenantId": "[parameters('tenantIdForDatabasePrincipal')]",
				"principalType": "[parameters('principalTypeForDatabase')]"
            }
        }
    ]
}

Contenido relacionado

• Adición de entidades de seguridad de clúster