Partager via

Utiliser les identités managées pour accéder à Azure Data Explorer à partir d’une tâche Azure Stream Analytics

Azure Stream Analytics prend en charge l’authentification des identités managées pour la sortie Azure Data Explorer. L’Identité managée pour les ressources Azure est une fonctionnalité partagée dans l’entièreté d’Azure qui vous permet de créer une identité sécurisée associée au déploiement sous lequel s’exécute le code de votre application. Vous pouvez ensuite associer cette identité à des rôles de contrôle d’accès qui accordent des autorisations personnalisées pour l’accès aux ressources Azure nécessaires à votre application.

Avec les identités managées, la plateforme Azure gère cette identité d’exécution. Il n'est pas nécessaire de stocker et de protéger des clés d'accès dans le code ou la configuration de votre application, que ce soit pour l'identité elle-même ou pour les ressources auxquelles vous devez accéder. Pour plus d’informations sur les identités managées pour Azure Stream Analytics, consultez Identités managées pour Azure Stream Analytics.

Cet article montre comment activer une identité managée affectée par le système pour la sortie Azure Data Explorer d’un travail Stream Analytics dans le portail Azure. Pour pouvoir activer l’identité managée affectée par le système, vous devez d’abord avoir un travail Stream Analytics et une ressource Azure Data Explorer.

Notes

Azure Data Explorer prend uniquement en charge les identités managées. Vous ne pourrez pas vous authentifier auprès de vos clusters Azure Data Explorer avec la chaîne de connexion.

Créer une identité managée

Commencez par créer une identité managée pour votre tâche Azure Stream Analytics. 

  1. Dans le portail Azure, ouvrez votre tâche Azure Stream Analytics. 

  2. Dans le menu de navigation gauche, sélectionnez Identité managée sous Configurer. Activez ensuite la case à cocher située en regard de Utiliser l'identité managée affectée par le système, puis sélectionnez Enregistrer.

    Capture d’écran du portail Azure montrant où sélectionner l’identité managée dans votre travail Stream Analytics.

  3. Un principal de service pour l’identité associée à la tâche Stream Analytics est créé dans Azure Active Directory. Le cycle de vie de la nouvelle identité est géré par Azure. Quand le travail Stream Analytics est supprimé, l’identité associée (autrement dit, le principal de service) est également automatiquement supprimée par Azure. 

    Lorsque vous enregistrez la configuration, l’ID objet (l’OID) du principal de service s’affiche en tant qu’ID de principal, comme ci-dessous :

    Capture d’écran du portail Azure montrant où sélectionner l’ID de principal dans votre travail Stream Analytics.

    Le principal de service a le même nom que le travail Stream Analytics. Par exemple, si le nom de votre travail est MyASAJob, le nom du principal de service est également MyASAJob. 

Accorder au travail Stream Analytics l’autorisation d’accéder à Azure Data Explorer

Pour que le travail Stream Analytics puisse accéder à votre cluster Azure Data Explorer en utilisant une identité managée, le principal de service que vous avez créé doit avoir des autorisations spéciales sur votre ressource Azure Data Explorer. Dans cette étape, vous pouvez attribuer un rôle à l’identité managée affectée par le système définie pour votre travail Stream Analytics. Azure fournit les rôles intégrés Azure ci-dessous pour autoriser l’accès à un espace de noms Azure Data Explorer. Pour Azure Stream Analytics, vous avez besoin des rôles suivants :

Role autorisations
Ingestion Peut ingérer des données dans toutes les tables existantes de la base de données, mais ne peut pas les interroger.
Monitor Peut exécuter des commandes .show dans le contexte de la base de données et de ses entités enfants.

Pour plus d’informations sur les rôles pris en charge par Azure Data Explorer, consultez Contrôle d’accès en fonction du rôle dans Azure Data Explorer.

  1. Sélectionnez Contrôle d’accès (IAM) .

  2. Sélectionnez Ajouter>Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.

  3. Attribuez le rôle suivant. Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

    Paramètre Valeur
    Rôle Ingestion et surveillance
    Attribuer l’accès à Utilisateur, groupe ou principal de service
    Membres <Nom de votre travail Stream Analytics>

    Capture d’écran affichant la page Ajouter une attribution de rôle dans le Portail Azure.

Notes

En raison de la latence de la réplication globale ou de la mise en cache, il peut y avoir un délai lors de la révocation ou de l’octroi des autorisations. Les changements devraient prendre effet en 8 minutes.

Ajouter Azure Data Explorer en tant que sortie

Maintenant que votre identité managée est configurée, vous pouvez ajouter la ressource Azure Data Explorer comme sortie de votre travail Stream Analytics. 

  1. Accédez à votre travail Stream Analytics, puis à la page Sorties sous Topologie des travaux.

  2. Sélectionnez Ajouter > Azure Data Explorer. Dans la fenêtre des propriétés de sortie, recherchez et sélectionnez votre cluster Azure Data Explorer ou tapez l’URL de votre cluster, puis sélectionnez Identité managée : affectée par le système dans le menu déroulant Mode d’authentification.

  3. Renseignez le reste des propriétés, puis sélectionnez Enregistrer.

Étapes suivantes