Felügyelt identitások használata az Event Hubs eléréséhez egy Azure Stream Analytics-feladatból

  • Cikk

Az Azure Stream Analytics támogatja a felügyelt identitás hitelesítését mind az Azure Event Hubs bemenete, mind a kimenet esetében. A felügyelt identitások kiküszöbölik a felhasználóalapú hitelesítési módszerek korlátait, például a jelszómódosítások vagy a felhasználói jogkivonatok 90 naponta történő lejárata miatt történő újrahitelesítés szükségességét. Ha eltávolítja a manuális hitelesítés szükségességét, a Stream Analytics üzembe helyezései teljesen automatizálhatók. 

A felügyelt identitás egy Microsoft Entra-azonosítóban regisztrált felügyelt alkalmazás, amely egy adott Stream Analytics-feladatot jelöl. A felügyelt alkalmazás egy célzott erőforrás hitelesítésére szolgál, beleértve a tűzfal vagy virtuális hálózat (VNet) mögött található eseményközpontokat is. A tűzfalak megkerüléséről további információt az Azure Event Hubs-névterek privát végpontokon keresztüli elérésének engedélyezése című témakörben talál.

Ez a cikk bemutatja, hogyan engedélyezheti a felügyelt identitást egy Stream Analytics-feladat eseményközpont-bemenetéhez vagy kimenetéhez az Azure Portalon keresztül. A felügyelt identitás engedélyezése előtt rendelkeznie kell egy Stream Analytics-feladatsal és egy Event Hubs-erőforrással.

Felügyelt identitás létrehozása

Először létrehoz egy felügyelt identitást az Azure Stream Analytics-feladathoz. 

  1. Az Azure Portalon nyissa meg az Azure Stream Analytics-feladatot. 

  2. A bal oldali navigációs menüben válassza a Konfigurálás területen található Felügyelt identitás lehetőséget. Ezután jelölje be a Rendszer által hozzárendelt felügyelt identitás használata melletti jelölőnégyzetet, és válassza a Mentés lehetőséget.

    System assigned managed identity

  3. A Stream Analytics-feladat identitásához tartozó szolgáltatásnév a Microsoft Entra-azonosítóban jön létre. Az újonnan létrehozott identitás életciklusát az Azure kezeli. A Stream Analytics-feladat törlésekor a társított identitást (azaz a szolgáltatásnevet) az Azure automatikusan törli. 

    A konfiguráció mentésekor a szolgáltatásnév objektumazonosítója (OID) az alábbiak szerint egyszerű azonosítóként jelenik meg:

    Principal ID

    A szolgáltatásnév neve megegyezik a Stream Analytics-feladat nevével. Ha például a feladat neve, MyASAJobakkor a szolgáltatásnév neve is MyASAJob. 

A Stream Analytics-feladat engedélyeinek megadása az Event Hubs eléréséhez

Ahhoz, hogy a Stream Analytics-feladat felügyelt identitással férhessen hozzá az eseményközponthoz, a létrehozott szolgáltatásnévnek speciális engedélyekkel kell rendelkeznie az eseményközponthoz.

  1. Select Access control (IAM).

  2. Válassza a Szerepkör-hozzárendelés hozzáadása>lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.

  3. Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

Megjegyzés:

Ha bármilyen erőforráshoz hozzáférést ad, a legkevésbé szükséges hozzáférést kell megadnia. Attól függően, hogy bemenetként vagy kimenetként konfigurálja-e az Event Hubsot, előfordulhat, hogy nem kell hozzárendelnie az Azure Event Hubs-adattulajdonosi szerepkört, amely a szükségesnél több hozzáférést biztosít az EventHub-erőforráshoz. További információ: Alkalmazás hitelesítése Microsoft Entra-azonosítóval az Event Hubs-erőforrások eléréséhez

Beállítás Value
Role Azure Event Hubs-adattulajdonos
Hozzáférés hozzárendelése a következőhöz: Felhasználó, csoport vagy szolgáltatásnév
Tagok <A Stream Analytics-feladat neve>

Screenshot that shows Add role assignment page in Azure portal.

Ezt a szerepkört az Event Hubs névtér szintjén is megadhatja, amely természetesen propagálja az engedélyeket az alatta létrehozott összes eseményközpontra. Ez azt jelzi, hogy a Névtérben lévő összes eseményközpont használható felügyelt identitás-hitelesítő erőforrásként a Stream Analytics-feladatban.

Megjegyzés:

A globális replikáció vagy a gyorsítótárazás késése miatt előfordulhat, hogy az engedélyek visszavonása vagy megadása késhet. A módosításoknak 8 percen belül meg kell jelenniük.

Event Hubs-bemenet vagy -kimenet létrehozása

Most, hogy konfigurálta a felügyelt identitást, készen áll arra, hogy bemenetként vagy kimenetként adja hozzá az eseményközpont-erőforrást a Stream Analytics-feladathoz. 

Event Hubs hozzáadása bemenetként

  1. Lépjen a Stream Analytics-feladatra, és lépjen a Feladattopológia alatti Bemenetek lapra.

  2. Válassza a Streambemeneti > eseményközpont hozzáadása lehetőséget. A bemeneti tulajdonságok ablakban keresse meg és válassza ki az eseményközpontot, és válassza a Felügyelt identitás lehetőséget a Hitelesítési mód legördülő menüből.

  3. Töltse ki a többi tulajdonságot, és válassza a Mentés lehetőséget.

Event Hubs hozzáadása kimenetként

  1. Nyissa meg a Stream Analytics-feladatot, és lépjen a Feladatok topológiája alatti Kimenetek lapra.

  2. Válassza az Eseményközpont hozzáadása > lehetőséget. A kimeneti tulajdonságok ablakban keresse meg és válassza ki az eseményközpontot, és válassza a Felügyelt identitás lehetőséget a Hitelesítési mód legördülő menüben.

  3. Töltse ki a többi tulajdonságot, és válassza a Mentés lehetőséget.

Következő lépések