Felügyelt identitások áttekintése

A Microsoft Entra-azonosítóból származó felügyelt identitás lehetővé teszi a fürt számára, hogy hozzáférjen más Microsoft Entra védett erőforrásokhoz, például az Azure Storage-hoz. Az identitás kezelését az Azure-platform végzi, és nem szükséges hozzá semmilyen titkos kulcs kiosztása vagy rotálása.

A felügyelt identitások típusai

Az Azure Data Explorer-fürt kétféle identitástípust kaphat:

• Rendszer által hozzárendelt identitás: A fürthöz van kötve, és az erőforrás törlésekor törlődik. Egy fürt csak egy rendszer által hozzárendelt identitással rendelkezhet.

• Felhasználó által hozzárendelt identitás: A fürthöz hozzárendelhető önálló Azure-erőforrás. Egy fürt több felhasználó által hozzárendelt identitással is rendelkezhet.

Hitelesítés felügyelt identitásokkal

Az egybérlős Microsoft Entra erőforrások csak felügyelt identitásokat használhatnak az azonos bérlőben lévő erőforrásokkal való kommunikációhoz. Ez a korlátozás korlátozza a felügyelt identitások használatát bizonyos hitelesítési forgatókönyvekben. Például nem használhat Azure Data Explorer felügyelt identitást egy másik bérlőn található eseményközpont eléréséhez. Ilyen esetekben használjon fiókkulcs-alapú hitelesítést.

Az Azure Data Explorer több-bérlős, ami azt jelenti, hogy hozzáférést adhat a különböző bérlők felügyelt identitásaihoz. Ehhez rendelje hozzá a megfelelő biztonsági szerepköröket. A szerepkörök hozzárendelésekor tekintse meg a felügyelt identitást a Rendszerbiztonsági tagok hivatkozása című cikkben leírtak szerint.

A felügyelt identitásokkal való hitelesítéshez kövesse az alábbi lépéseket:

1. Felügyelt identitás konfigurálása a fürthöz
2. A felügyelt identitás szabályzatának konfigurálása
3. Felügyelt identitás használata támogatott munkafolyamatokban

Felügyelt identitás konfigurálása a fürthöz

A fürtnek engedélyekre van szüksége ahhoz, hogy az adott felügyelt identitás nevében járjon el. Ez a hozzárendelés a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokhoz is adható. Útmutatásért lásd: Felügyelt identitások konfigurálása az Azure Data Explorer-fürthöz.

A felügyelt identitás szabályzatának konfigurálása

A felügyelt identitás használatához konfigurálnia kell a felügyelt identitás szabályzatát az identitás engedélyezéséhez. Útmutatásért lásd: Felügyelt identitás szabályzata.

A felügyelt identitásszabályzat-kezelési parancsok a következők:

• .alter policy managed_identity
• .alter-merge policy managed_identity
• .delete policy managed_identity
• .show policy managed_identity

Felügyelt identitás használata támogatott munkafolyamatokban

Miután hozzárendelte a felügyelt identitást a fürthöz, és konfigurálta a megfelelő felügyelt identitásszabályzat-használatot, a következő munkafolyamatokban megkezdheti a felügyelt identitás hitelesítésének használatát:

• Külső táblák: Hozzon létre egy külső táblát felügyelt identitáshitelesítéssel. A hitelesítés a kapcsolati karakterlánc részeként van feltüntetve. Példákért lásd a tárolási kapcsolati karakterlánc. A külső táblák felügyelt identitással történő hitelesítésével kapcsolatos utasításokért lásd: Külső táblák hitelesítése felügyelt identitásokkal.

• Folyamatos exportálás: Folyamatos exportálás futtatása felügyelt identitás nevében. Felügyelt identitásra akkor van szükség, ha a külső tábla megszemélyesítési hitelesítést használ, vagy ha az exportálási lekérdezés más adatbázisok tábláira hivatkozik. Felügyelt identitás használatához adja hozzá a felügyelt identitás azonosítóját a parancsban megadott opcionális paraméterekhez create-or-alter . Részletes útmutatóért lásd: Hitelesítés felügyelt identitással a folyamatos exportáláshoz.

• Event Hubs natív betöltése: Felügyelt identitás használata az eseményközpont natív betöltésével. További információ: Adatok betöltése az eseményközpontból az Azure Data Explorer.

• Python beépülő modul: Felügyelt identitással hitelesítheti magát a Python beépülő modulban használt külső összetevők tárfiókjaiban. Vegye figyelembe, hogy a használatot SandboxArtifacts a fürtszintű felügyelt identitásszabályzatban kell meghatározni. További információ: Python beépülő modul.

• SDK-alapú adatbetöltés: Ha blobokat vár a saját tárfiókjaiból történő betöltésre, a felügyelt identitásokat használhatja a közös hozzáférésű jogosultságkódok (SAS) jogkivonatai és a megosztott kulcsok hitelesítési módszerei helyett. További információ: Üzenetsorblobok a felügyelt identitás hitelesítésének használatával történő betöltéshez.

• Betöltés a tárolóból: A felhőbeli tárolókban található fájlok adatainak betöltése egy céltáblába felügyelt identitáshitelesítés használatával. További információ: Betöltés a tárolóból.

Kapcsolódó tartalom

• Felügyelt identitások konfigurálása a fürthöz
• Külső táblák hitelesítése felügyelt identitásokkal