Vue d’ensemble des identités managées
Une identité managée à partir de Microsoft Entra ID permet à votre cluster d’accéder à d’autres ressources Microsoft Entra protégées telles que stockage Azure. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets.
Types d'identités managées
Deux types d’identités peuvent être accordées à votre cluster Azure Data Explorer :
Identité affectée par le système : Liée à votre cluster et supprimée si votre ressource est supprimée. Un cluster ne peut avoir qu’une seule identité attribuée par le système.
Identité attribuée par l’utilisateur : ressource Azure autonome qui peut être assignée à votre cluster. Un cluster peut avoir plusieurs identités affectées par l’utilisateur.
Authentifier avec des identités gérées
Les ressources de Microsoft Entra monolocataire peuvent uniquement utiliser des identités managées pour communiquer avec les ressources du même locataire. Cette limitation limite l’utilisation d’identités managées dans certains scénarios d’authentification. Par exemple, vous ne pouvez pas utiliser une identité managée Azure Data Explorer pour accéder à un hub d’événements situé dans un autre locataire. Dans ce cas, utilisez l’authentification basée sur la clé de compte.
Azure Data Explorer est multilocataire, ce qui signifie que vous pouvez accorder l’accès à des identités managées à partir de différents locataires. Pour ce faire, attribuez les rôles de sécurité appropriés. Lorsque vous attribuez les rôles, reportez-vous à l’identité managée comme décrit dans Référencement des principaux de sécurité.
Pour vous authentifier avec des identités managées, procédez comme suit :
- Configurer une identité managée pour votre cluster
- Configurer la stratégie d’identité managée
- Utiliser l’identité managée dans les workflows pris en charge
Configurer une identité managée pour votre cluster
Votre cluster a besoin d’autorisations afin d’agir pour le compte de l’identité managée donnée. Cette attribution peut être accordée pour les identités managées attribuées par le système et par l’utilisateur. Pour obtenir des instructions, consultez Configurer des identités managées pour votre cluster Azure Data Explorer.
Configurer la stratégie d’identité managée
Pour utiliser l’identité managée, vous devez configurer la stratégie d’identité managée afin d’autoriser cette identité. Pour obtenir des instructions, consultez Stratégie d’identité managée.
Les commandes de gestion des stratégies d’identité managée sont les suivantes :
- managed_identity de stratégie .alter
- managed_identity de stratégie .alter-merge
- managed_identity de stratégie .delete
- managed_identity de stratégie .show
Utiliser l’identité managée dans les workflows pris en charge
Après avoir attribué l’identité managée à votre cluster et configuré l’utilisation appropriée de la stratégie d’identité managée, vous pouvez commencer à utiliser l’authentification par identité managée dans les workflows suivants :
Tables externes : créez une table externe avec l’authentification par identité managée. L’authentification est indiquée dans le cadre de la chaîne de connexion. Pour obtenir des exemples, consultez chaîne de connexion de stockage. Pour obtenir des instructions sur l’utilisation de tables externes avec l’authentification d’identité managée, consultez Authentifier des tables externes avec des identités managées.
Exportation continue : exécutez une exportation continue pour le compte d’une identité managée. Une identité managée est requise si la table externe utilise l’authentification d’emprunt d’identité ou si la requête d’exportation fait référence à des tables dans d’autres bases de données. Pour utiliser une identité managée, ajoutez l’identificateur d’identité managée dans les paramètres facultatifs donnés dans la
create-or-altercommande. Pour obtenir un guide pas à pas, consultez Authentification avec une identité managée pour l’exportation continue.Ingestion native d’Event Hubs : utilisez une identité managée avec l’ingestion native du hub d’événements. Pour plus d’informations, consultez Ingérer des données de hub d’événements dans Azure Data Explorer.
Plug-in Python : utilisez une identité managée pour vous authentifier sur des comptes de stockage d’artefacts externes utilisés dans le plug-in Python. Notez que l’utilisation
SandboxArtifactsdoit être définie sur la stratégie d’identité managée au niveau du cluster. Pour plus d’informations, consultez Plug-in Python.Ingestion basée sur le KIT de développement logiciel (SDK) : lors de la mise en file d’attente d’objets blob à partir de vos propres comptes de stockage, vous pouvez utiliser des identités managées comme alternative aux jetons de signature d’accès partagé (SAP) et aux méthodes d’authentification de clés partagées. Pour plus d’informations, consultez Mettre en file d’attente des objets blob pour ingestion en utilisant l’authentification d’identité managée.
Ingérer à partir du stockage : Ingérer des données de fichiers situés dans des stockages cloud dans une table cible à l’aide de l’authentification d’identité managée. Pour plus d’informations, consultez Ingérer à partir du stockage.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour