Várólista-blobok a felügyelt identitáshitelesítéssel történő betöltéshez

  • Cikk

Ha blobokat vár a saját tárfiókjaiból történő betöltéshez, a felügyelt identitásokat használhatja a közös hozzáférésű jogosultságkódok (SAS) jogkivonatai és a megosztott kulcsok hitelesítési módszerei helyett. A felügyelt identitások biztonságosabb módot jelentenek az adatok betöltésére, mivel nem követelik meg, hogy megossza az ügyfél SAS-jogkivonatait vagy megosztott kulcsait a szolgáltatással. Ehelyett egy felügyelt identitás van hozzárendelve a fürthöz, és olvasási engedélyeket kap az adatok betöltéséhez használt tárfiókhoz. Ezeket az engedélyeket bármikor visszavonhatja.

Megjegyzés

  • Ez a hitelesítési módszer csak az ügyfél tulajdonában lévő tárfiókokban található Azure-blobokra és Azure Data Lake-fájlokra vonatkozik. Ez nem vonatkozik a Kusto SDK-val feltöltött helyi fájlokra.
  • Csak a várólistán lévő betöltési műveletek támogatottak. A beágyazott betöltés Kusto lekérdezésnyelv és közvetlen betöltés SDK API-k használatával nem támogatott.

Felügyelt identitás hozzárendelése a fürthöz

A Felügyelt identitások áttekintése elemet követve adjon hozzá egy rendszer- vagy felhasználó által hozzárendelt felügyelt identitást a fürthöz. Ha a fürthöz már hozzá van rendelve a kívánt felügyelt identitás, másolja ki az objektumazonosítóját az alábbi lépésekkel:

  1. Jelentkezzen be a Azure Portal a fürtöt tartalmazó Azure-előfizetéshez társított fiókkal.

  2. Lépjen a fürtre, és válassza az Identitás lehetőséget.

  3. Válassza ki a megfelelő identitástípust, rendszert vagy felhasználót, majd másolja ki a szükséges identitás objektumazonosítóját.

Képernyőkép az áttekintési oldalról, amelyen a rendszer által felügyelt identitásobjektum I D

Engedélyek megadása a felügyelt identitáshoz

  1. A Azure Portal keresse meg a betöltendő adatokat tartalmazó tárfiókot.

  2. Válassza a Access Control, majd a + Szerepkör-hozzárendelés hozzáadása> lehetőséget.

  3. Ha a DeleteSourceOnSuccess forrásbeállítást szeretné használni, engedélyezze a felügyelt identitás storage-blobadatok olvasójának vagy a Storage-blobadatok közreműködőjének a tárfiókra vonatkozó engedélyeket.

Fontos

A tulajdonosi vagy közreműködői engedélyek megadása nem elegendő, és a betöltés sikertelen lesz.

Képernyőkép a szerepkör-hozzárendelés hozzáadása oldalról, amelyen a rendszer által hozzárendelt szerepkör látható a felügyelt identitások használatával történő betöltéshez

A felügyelt identitásszabályzat beállítása az Azure Data Explorer

Ahhoz, hogy a felügyelt identitással adatokat lehessen betöltésre a fürtbe, engedélyezze a NativeIngestion kiválasztott felügyelt identitás használati lehetőségét. A natív betöltés azt jelenti, hogy egy SDK-t használhat külső forrásból történő betöltéshez. Az elérhető SDK-kkal kapcsolatos további információkért lásd: Ügyfélkódtárak.

A használati felügyelt identitás házirendje a célfürt fürt- vagy adatbázisszintjén határozható meg.

A szabályzat adatbázisszintű alkalmazásához futtassa a következő parancsot:

.alter-merge database <database name> policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

A szabályzat fürtszintű alkalmazásához futtassa a következő parancsot:

.alter-merge cluster policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

Cserélje le a elemet <managed_identity_id> a szükséges felügyelt identitás objektumazonosítójára.

Megjegyzés

A fürtön engedéllyel kell rendelkeznie All Database Admin a felügyelt identitásszabályzat szerkesztéséhez.

Várólista-blobok felügyelt identitással való betöltéséhez a Kusto SDK használatával

Amikor kusto SDK-val betölti az adatokat, a blob URI-ját felügyelt identitás-hitelesítéssel hozza létre a jogosulatlan blob URI-hoz való hozzáfűzésével ;managed_identity={objectId} . Ha a fürt rendszer által hozzárendelt felügyelt identitásával betölt adatokat, hozzáfűzheti ;managed_identity=system a blob URI-ját.

Fontos

Várólista-betöltési ügyfelet kell használnia. A felügyelt identitások használata közvetlen betöltéssel vagy beágyazott betöltéssel a Kusto lekérdezésnyelv nem támogatott.

Az alábbiakban példákat láthat a blob URI-jaira a rendszer és a felhasználó által hozzárendelt felügyelt identitások esetében.

  • Rendszer hozzárendelve: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=system
  • Felhasználó hozzárendelve: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=6a5820b9-fdf6-4cc4-81b9-b416b444fd6d

Fontos

  • Ha felügyelt identitásokat használ az adatok C# SDK-val való betöltéséhez, meg kell adnia egy blobméretet a fájlban BlobSourceOptions. Ha a méret nincs beállítva, az SDK megpróbálja kitölteni a blobméretet a tárfiók elérésével, ami hibát eredményez.
  • A méretparaméternek nyers (tömörítetlen) adatméretnek kell lennie, és nem feltétlenül a blobméretnek.
  • Ha a betöltéskor nem tudja a méretet, nulla (0) értéket adhat meg. A szolgáltatás megpróbálja felderíteni a méretet a hitelesítéshez használt felügyelt identitással.

Kapcsolódó tartalom