Utiliser des identités managées pour accéder à Event Hubs à partir d’une tâche Azure Stream Analytics
Azure Stream Analytics prend en charge l’authentification avec une identité managée pour l’entrée et la sortie Azure Event Hubs. Les identités managées permettent d’éviter les limitations des méthodes d’authentification basée sur l’utilisateur, par exemple, le besoin de se réauthentifier après le changement du mot de passe ou l’expiration du jeton utilisateur tous les 90 jours. En l'absence d'authentification manuelle, vos déploiements Stream Analytics peuvent être entièrement automatisés.
Une identité managée est une application managée inscrite auprès de Microsoft Entra ID qui représente un travail Stream Analytics donné. L’application gérée est utilisée pour l’authentification auprès d’une ressource ciblée, y compris les ressources Event Hubs qui se trouvent derrière un pare-feu ou un réseau virtuel. Pour savoir comment contourner les pare-feu, consultez Autorisation de l’accès aux espaces de noms Azure Event Hubs via des points de terminaison privés.
Cet article montre comment activer une identité managée pour l’entrée ou la sortie Event Hubs d’un travail Stream Analytics par le biais du portail Azure. Pour pouvoir activer l’identité managée, vous devez disposer d’un travail Stream Analytics et d’une ressource Event Hubs.
Créer une identité managée
Commencez par créer une identité managée pour votre tâche Azure Stream Analytics.
Dans le portail Azure, ouvrez votre tâche Azure Stream Analytics.
Dans le menu de navigation gauche, sélectionnez Identité managée sous Configurer. Activez ensuite la case à cocher située en regard de Utiliser l'identité managée affectée par le système, puis sélectionnez Enregistrer.
Un principal de service est créé pour l’identité du travail Stream Analytics dans Microsoft Entra ID. Le cycle de vie de la nouvelle identité est géré par Azure. Quand le travail Stream Analytics est supprimé, l’identité associée (autrement dit, le principal de service) est également automatiquement supprimée par Azure.
Lorsque vous enregistrez la configuration, l’ID objet (l’OID) du principal de service s’affiche en tant qu’ID de principal, comme ci-dessous :
Le principal de service a le même nom que le travail Stream Analytics. Par exemple, si le nom de votre travail est
MyASAJob, le nom du principal de service est égalementMyASAJob.
Octroyer l’autorisation d’accéder à Event Hubs pour le travail Stream Analytics
Pour que le travail Stream Analytics puisse accéder à votre ressource Event Hubs à l’aide de l’identité managée, le principal de service que vous avez créé doit disposer d’autorisations spéciales sur la ressource Event Hubs.
Sélectionnez Contrôle d’accès (IAM) .
Sélectionnez Ajouter>Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.
Attribuez le rôle suivant. Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.
Notes
Quand vous accordez l’accès à une ressource, vous devez accorder l’accès le moins nécessaire. Selon que vous configurez Event Hubs en tant qu’entrée ou sortie, vous n’aurez peut-être pas besoin d’attribuer le rôle Propriétaire de données Azure Event Hubs qui accorderait un accès plus que nécessaire à votre ressource Event Hubs. Pour plus d’informations, consultez Authentifier une application avec Microsoft Entra ID pour accéder aux ressources Event Hubs
| Paramètre | Valeur |
|---|---|
| Role | Propriétaire de données Azure Event Hubs |
| Attribuer l’accès à | Utilisateur, groupe ou principal de service |
| Membres | <Nom de votre travail Stream Analytics> |
Vous pouvez également accorder ce rôle au niveau de l’espace de noms Event Hubs, qui propagera naturellement les autorisations à toutes les ressources Event Hubs créées dessous. Autrement dit, toutes les ressources Event Hubs qui se trouvent sous un espace de noms peuvent être utilisées comme ressources d’authentification d’identité managée dans un travail Stream Analytics.
Notes
En raison de la latence de la réplication globale ou de la mise en cache, il peut y avoir un délai lors de la révocation ou de l’octroi des autorisations. Les changements devraient prendre effet en 8 minutes.
Créer une entrée ou une sortie Event Hubs
Maintenant que votre identité managée est configurée, vous pouvez ajouter la ressource Event Hubs comme entrée ou sortie de votre travail Stream Analytics.
Ajouter Event Hubs comme entrée
Accédez à votre travail Stream Analytics, puis à la page Entrées sous Topologie des travaux.
Cliquez sur Ajouter une entrée de flux > Event Hub. Dans la fenêtre Propriétés de l’entrée, recherchez et sélectionnez votre ressource Event Hubs, puis sélectionnez Identité managée dans le menu déroulant Mode d’authentification.
Renseignez le reste des propriétés, puis sélectionnez Enregistrer.
Ajouter Event Hubs comme sortie
Accédez à votre travail Stream Analytics, puis à la page Sorties sous Topologie des travaux.
Sélectionnez Ajouter > Event Hub. Dans la fenêtre Propriétés de la sortie, recherchez et sélectionnez votre ressource Event Hubs, puis sélectionnez Identité managée dans le menu déroulant Mode d’authentification.
Renseignez le reste des propriétés, puis sélectionnez Enregistrer.