Configurer des identités managées pour votre cluster Azure Data Explorer

Une identité managée à partir de Microsoft Entra ID permet à votre cluster d’accéder à d’autres ressources protégées Microsoft Entra telles que Azure Key Vault. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets.

Cet article vous explique comment ajouter et supprimer des identités managées sur votre cluster. Pour plus d’informations sur les identités managées, consultez Vue d’ensemble des identités managées.

Notes

Les identités managées pour Azure Data Explorer ne se comportent pas comme prévu si votre cluster Azure Data Explorer est migré entre des abonnements ou des locataires. L’application doit obtenir une nouvelle identité, ce qui peut être effectué en supprimant une identité affectée par le système, puis en ajoutant une identité affectée par le système. Les stratégies d’accès des ressources en aval devront également être mises à jour pour utiliser la nouvelle identité.

Pour obtenir des exemples de code basés sur les versions précédentes du KIT de développement logiciel (SDK), consultez l’article archivé.

Types d'identités managées

Deux types d’identités peuvent être accordées à votre cluster Azure Data Explorer :

• Identité affectée par le système : Liée à votre cluster et supprimée si votre ressource est supprimée. Un cluster ne peut avoir qu’une seule identité attribuée par le système.

• Identité attribuée par l’utilisateur : ressource Azure autonome qui peut être assignée à votre cluster. Un cluster peut avoir plusieurs identités affectées par l’utilisateur.

Ajouter une identité affectée par le système

Attribuez une identité affectée par le système liée à votre cluster, qui sera supprimée en cas de suppression du cluster. Un cluster ne peut avoir qu’une seule identité attribuée par le système. Créer un cluster avec une identité attribuée par le système requiert la définition d’une propriété supplémentaire sur le cluster. Ajoutez l’identité affectée par le système en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Azure portal

Ajout d’une identité affectée par le système à l’aide du Portail Azure

Connectez-vous au portail Azure.

Nouveau cluster Azure Data Explorer

1. Créez un cluster Azure Data Explorer.

2. Sous l’onglet Sécurité>Identité affectée par le système, sélectionnez Activée. Pour supprimer l’identité affectée par le système, sélectionnez Désactivée.

3. Sélectionnez Suivant : Balises > ou Examiner + Créer pour créer le cluster.

   

Cluster Azure Data Explorer existant

1. Ouvrez un cluster Azure Data Explorer existant.

2. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

3. Dans le volet Identité>onglet Affectée par le système :

   1. Déplacez le curseur État sur Activé.
   2. Sélectionnez Enregistrer.
   3. Dans la fenêtre indépendante qui s’affiche, sélectionnez Oui.

   

4. Après quelques minutes, l’écran indique :

   • ID d’objet : utilisé pour les clés gérées par le client.
   • Autorisations : sélectionnez les affectations de rôles appropriées

   

C#

Ajouter une identité affectée par le système à l’aide du langage C#

Prérequis

Pour configurer une identité managée à l’aide du client C# Azure Data Explorer :

• Installez le package NuGet Azure Data Explorer.
• Installez le package NuGet Azure.Identity pour l’authentification.
• Créez un Microsoft Entra application et un principal de service qui peuvent accéder aux ressources. Ajoutez l’attribution de rôle à l’étendue de l’abonnement et récupérez les Directory (tenant) ID, Application ID et Client Secret requis.

Créer ou mettre à jour votre cluster

1. Créez ou mettez à jour votre cluster à l’aide de la propriété Identity :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Exécutez la commande suivante pour vérifier si votre cluster a été correctement créé ou mis à jour avec une identité :

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Si le résultat contient ProvisioningState avec la valeur Succeeded, le cluster a été créé ou mis à jour et doit avoir les propriétés suivantes :

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId et TenantId sont remplacés par des GUID. La TenantId propriété identifie le locataire Microsoft Entra auquel l’identité appartient. Le PrincipalId est un identificateur unique pour la nouvelle identité du cluster. Dans Microsoft Entra ID, le principal de service a le même nom que celui que vous avez donné à votre App Service ou Azure Functions instance.

modèle Azure Resource Manager

Ajouter une identité affectée par le système à l’aide d’un modèle Azure Resource Manager

Vous pouvez utiliser un modèle Azure Resource Manager pour automatiser le déploiement de vos ressources Azure. Pour en savoir plus sur le déploiement sur Azure Data Explorer, consultez Créer un cluster Azure Data Explorer et une base de données à l’aide d’un modèle Azure Resource Manager.

L’ajout du type attribué par le système indique à Azure de créer et de manager l’identité de votre cluster. Vous pouvez créer n’importe quelle ressource de type Microsoft.Kusto/clusters avec une identité en incluant la propriété suivante dans la définition de la ressource :

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Par exemple :

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

Notes

Un cluster peut avoir en même temps une identité affectée par le système et une identité affectée par l’utilisateur. La propriété type a alors la valeur SystemAssigned,UserAssigned.

Quand le cluster est créé, il a les propriétés supplémentaires suivantes :

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> et <PRINCIPALID> sont remplacés par des GUID. La TenantId propriété identifie le locataire Microsoft Entra auquel l’identité appartient. Le PrincipalId est un identificateur unique pour la nouvelle identité du cluster. Dans Microsoft Entra ID, le principal de service a le même nom que celui que vous avez donné à votre App Service ou Azure Functions instance.

Suppression d’une identité affectée par le système

La suppression d’une identité affectée par le système la supprime également de Microsoft Entra ID. Les identités attribuées par le système sont également automatiquement supprimées de Microsoft Entra ID lorsque la ressource de cluster est supprimée. Une identité affectée par le système peut être supprimée en désactivant la fonctionnalité, Supprimez l’identité affectée par le système en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Portail Azure

Suppression d’une identité affectée par le système à l’aide du Portail Azure

1. Connectez-vous au portail Azure.

2. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

3. Dans le volet Identité>onglet Affectée par le système :

   1. Déplacez le curseur État sur Désactivé.
   2. Sélectionnez Enregistrer.
   3. Dans la fenêtre indépendante, sélectionnez Oui pour désactiver l’identité affectée par le système. Le volet Identité revient à la situation antérieure à l’ajout de l’identité affectée par le système.

   

C#

Suppression d’une identité affectée par le système en C#

Exécutez le code suivant pour supprimer l’identité affectée par le système :

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

modèle Azure Resource Manager

Suppression d’une identité affectée par le système à l’aide d’un modèle Azure Resource Manager

Exécutez le code suivant pour supprimer l’identité affectée par le système :

{
   "identity": {
      "type": "None"
   }
}

Notes

Si le cluster avait à la fois des identités affectées par le système et par l’utilisateur, après la suppression de l’identité affectée par le système, la propriété type a la valeur UserAssigned.

Ajouter une identité attribuée par l’utilisateur

Affectez une identité managée affectée par l’utilisateur à votre cluster. Un cluster peut avoir plusieurs identités affectées par l’utilisateur. La création d’un cluster avec une identité affectée par l’utilisateur nécessite la définition d’une propriété supplémentaire sur le cluster. Ajoutez l’identité affectée par l’utilisateur en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Portail Azure

Ajouter une identité affectée par l’utilisateur en utilisant le portail Azure

1. Connectez-vous au portail Azure.

2. Créez une identité managée affectée par l’utilisateur dans Azure.

3. Ouvrez un cluster Azure Data Explorer existant.

4. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

5. Sous l’onglet Affecté(e) par l’utilisateur, sélectionnez Ajouter.

6. Recherchez l’identité que vous avez créée précédemment et sélectionnez-la. Sélectionnez Ajouter.

   

C#

Ajouter une identité affectée par l’utilisateur en utilisant C#

Prérequis

Pour configurer une identité managée à l’aide du client C# Azure Data Explorer :

• Installez le package NuGet Azure Data Explorer.
• Installez le package NuGet Azure.Identity pour l’authentification.
• Créez un Microsoft Entra application et un principal de service qui peuvent accéder aux ressources. Ajoutez l’attribution de rôle à l’étendue de l’abonnement et récupérez les Directory (tenant) ID, Application ID et Client Secret requis.

Créer ou mettre à jour votre cluster

1. Créez ou mettez à jour votre cluster à l’aide de la propriété Identity :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Exécutez la commande suivante pour vérifier si votre cluster a été correctement créé ou mis à jour avec une identité :

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Si le résultat contient ProvisioningState avec la valeur Succeeded, le cluster a été créé ou mis à jour et doit avoir les propriétés suivantes :

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   PrincipalId est un identificateur unique pour l’identité utilisée pour Microsoft Entra administration. ClientId est un identificateur unique pour la nouvelle identité de l’application qui est utilisé pour spécifier l’identité à utiliser lors des appels à l’exécution.

modèle Azure Resource Manager

Ajouter une identité affectée par l’utilisateur en utilisant un modèle Azure Resource Manager

Vous pouvez utiliser un modèle Azure Resource Manager pour automatiser le déploiement de vos ressources Azure. Pour en savoir plus sur le déploiement sur Azure Data Explorer, consultez Créer un cluster Azure Data Explorer et une base de données à l’aide d’un modèle Azure Resource Manager.

Vous pouvez créer n’importe quelle ressource de type Microsoft.Kusto/clusters avec une identité affectée par l’utilisateur en incluant la propriété suivante dans la définition de la ressource, en remplaçant <RESOURCEID> par l’ID de ressource de l’identité souhaitée :

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Par exemple :

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Quand le cluster est créé, il a les propriétés supplémentaires suivantes :

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId est un identificateur unique pour l’identité utilisée pour Microsoft Entra administration. ClientId est un identificateur unique pour la nouvelle identité de l’application qui est utilisé pour spécifier l’identité à utiliser lors des appels à l’exécution.

Notes

Un cluster peut avoir en même temps une identité affectée par le système et une identité affectée par l’utilisateur. Dans ce cas, la propriété type est SystemAssigned,UserAssigned.

Supprimer d’un cluster une identité managée affectée par l’utilisateur

Supprimez l’identité affectée par l’utilisateur en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Portail Azure

Supprimer une identité managée affectée par l’utilisateur en utilisant le portail Azure

1. Connectez-vous au portail Azure.

2. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

3. Sélectionnez l’onglet Affecté(e) par l’utilisateur.

4. Recherchez l’identité que vous avez créée précédemment et sélectionnez-la. Sélectionnez Supprimer.

   

5. Dans la fenêtre contextuelle, sélectionnez Oui pour supprimer l’identité affectée par l’utilisateur. Le volet Identité revient à la situation antérieure à l’ajout de l’identité affectée par l’utilisateur.

C#

Supprimer une identité affectée par l’utilisateur en utilisant C#

Exécutez le code suivant pour supprimer l’identité affectée par l’utilisateur :

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

modèle Azure Resource Manager

Supprimer une identité affectée par l’utilisateur en utilisant un modèle Azure Resource Manager

Exécutez le code suivant pour supprimer l’identité affectée par l’utilisateur :

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Notes

• Pour supprimer des identités, définissez leurs valeurs sur Null. Aucune des autres identités existantes ne sera affectée.
• Pour supprimer toutes les identités affectées par l’utilisateur, la propriété type doit avoir la valeur None.
• Si le cluster avait à la fois des identités affectées par le système et des identités affectées par l’utilisateur, la propriété type doit avoir la valeur SystemAssigned,UserAssigned avec les identités à supprimer ou SystemAssigned pour supprimer toutes les identités affectées par l’utilisateur.

Contenu connexe

• Sécuriser les clusters Azure Data Explorer dans Azure
• Sécuriser votre cluster en utilisant le chiffrement de disque en activant le chiffrement au repos.
• Configurer des clés gérées par le client à l’aide de C#
• Configurer des clés gérées par le client à l’aide du modèle Azure Resource Manager