Utiliser une identité managée pour exécuter un travail d’exportation continue
Un travail d’exportation continue exporte des données vers une table externe avec une requête exécutée régulièrement.
Le travail d’exportation continue doit être configuré avec une identité managée dans les scénarios suivants :
- Lorsque la table externe utilise l’authentification par emprunt d’identité.
- Quand la requête référence des tables dans d’autres bases de données.
- Lorsque la requête référence des tables avec une stratégie de sécurité au niveau des lignes activée.
Un travail d’exportation continue configuré avec une identité managée est effectué pour le compte de l’identité managée.
Dans cet article, vous allez apprendre à configurer une identité managée affectée par le système ou par l’utilisateur et à créer un travail d’exportation continue à l’aide de cette identité.
Prérequis
- Un cluster et une base de données. Créez un cluster et une base de données.
- Toutes les bases de données Administration autorisations sur la base de données.
Configurer une identité managée
Il existe deux types d’identités administrées :
Affectée par le système : une identité affectée par le système est connectée à votre cluster et est supprimée lorsque le cluster est supprimé. Une seule identité affectée par le système est autorisée par cluster.
Affectée par l’utilisateur : une identité managée affectée par l’utilisateur est une ressource Azure autonome. Plusieurs identités affectées par l’utilisateur peuvent être affectées à votre cluster.
Sélectionnez l’un des onglets suivants pour configurer votre type d’identité managée préféré.
Suivez les étapes pour Ajouter une identité affectée par l’utilisateur.
Dans le Portail Azure, dans le menu de gauche de votre ressource d’identité managée, sélectionnez Propriétés. Copiez et enregistrez l’ID de locataire et l’ID de principal à utiliser dans les étapes suivantes.
Exécutez la commande .alter-merge policy managed_identity suivante, en
<objectId>
remplaçant par l’ID d’objet d’identité managée de l’étape précédente. Cette commande définit une stratégie d’identité managée sur le cluster qui permet d’utiliser l’identité managée avec l’exportation continue..alter-merge cluster policy managed_identity ```[ { "ObjectId": "<objectId>", "AllowedUsages": "AutomatedFlows" } ]```
Notes
Pour définir la stratégie sur une base de données spécifique, utilisez
database <DatabaseName>
au lieu decluster
.Exécutez la commande suivante pour accorder à l’identité managée des autorisations Visionneuse de base de données sur toutes les bases de données utilisées pour l’exportation continue, telles que la base de données qui contient la table externe.
.add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
Remplacez par
<DatabaseName>
la base de données appropriée,<objectId>
par l’ID de principal d’identité managée de l’étape 2, et<tenantId>
par l’ID de Microsoft Entra Id de locataire de l’étape 2.
Configurer une table externe
Les tables externes font référence à des données situées dans stockage Azure, telles que Stockage Blob Azure, Azure Data Lake Gen1 et Azure Data Lake Gen2, ou SQL Server.
Sélectionnez l’un des onglets suivants pour configurer un stockage Azure ou SQL Server table externe.
Créez un chaîne de connexion basé sur les modèles de chaîne de connexion de stockage. Cette chaîne indique la ressource à accéder et ses informations d’authentification. Pour les flux d’exportation continue, nous recommandons l’authentification par emprunt d’identité.
Exécutez la table externe .create ou .alter pour créer la table. Utilisez la chaîne de connexion de l’étape précédente comme argument storageConnectionString.
Par exemple, la commande suivante crée
MyExternalTable
qui fait référence aux données au format CSV dansmycontainer
demystorageaccount
dans Stockage Blob Azure. La table comporte deux colonnes, l’une pour un entierx
et l’autre pour une chaînes
. Le chaîne de connexion se termine par;impersonate
, qui indique d’utiliser l’authentification d’emprunt d’identité pour accéder au magasin de données..create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv ( h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' )
Accordez à l’identité managée des autorisations d’écriture sur le magasin de données externe approprié. L’identité managée a besoin d’autorisations d’écriture, car le travail d’exportation continue exporte les données vers le magasin de données pour le compte de l’identité managée.
Magasin de données externe Autorisations requises Accorder les autorisations Stockage Blob Azure Contributeur aux données Blob du stockage Affecter un rôle Azure Data Lake Storage Gen2 Contributeur aux données Blob du stockage Affecter un rôle Azure Data Lake Storage Gen 1 Contributeur Affecter un rôle Azure
Créer un travail d’exportation continue
Sélectionnez l’un des onglets suivants pour créer un travail d’exportation continue qui s’exécutera pour le compte d’une identité managée affectée par l’utilisateur ou affectée par le système.
Exécutez la commande .create-or-alter continuous-export avec la managedIdentity
propriété définie sur l’ID d’objet d’identité managée.
Par exemple, la commande suivante crée un travail d’exportation continue nommé MyExport
pour exporter les données dans MyTable
pour MyExternalTable
le compte d’une identité managée affectée par l’utilisateur. <objectId>
doit être un ID d’objet d’identité managée.
.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable
Contenu connexe
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour