Bagikan melalui


Gambaran identitas terkelola

Identitas terkelola dari ID Microsoft Entra memungkinkan kluster Anda mengakses sumber daya yang dilindungi Microsoft Entra lainnya seperti Azure Storage. Identitas dikelola oleh platform Azure dan tidak mengharuskan Anda untuk menyediakan atau memutar rahasia.

Jenis identitas terkelola

Kluster Azure Data Explorer Anda dapat diberikan dua jenis identitas:

  • Identitas yang ditetapkan sistem: Terikat ke kluster Anda dan dihapus jika sumber daya Anda dihapus. Kluster hanya dapat memiliki satu identitas yang ditetapkan sistem.

  • Identitas yang ditetapkan pengguna: Sumber daya Azure mandiri yang dapat ditetapkan ke kluster Anda. Kluster dapat memiliki beberapa identitas yang ditetapkan pengguna.

Melakukan autentikasi dengan identitas terkelola

Sumber daya Microsoft Entra penyewa tunggal hanya dapat menggunakan identitas terkelola untuk berkomunikasi dengan sumber daya di penyewa yang sama. Batasan ini membatasi penggunaan identitas terkelola dalam skenario autentikasi tertentu. Misalnya, Anda tidak dapat menggunakan identitas terkelola Azure Data Explorer untuk mengakses pusat aktivitas yang terletak di penyewa yang berbeda. Dalam kasus seperti itu, gunakan autentikasi berbasis kunci akun.

Azure Data Explorer mampu multi-penyewa, yang berarti Anda dapat memberikan akses ke identitas terkelola dari penyewa yang berbeda. Untuk mencapai hal ini, tetapkan peran keamanan yang relevan. Saat menetapkan peran, lihat identitas terkelola seperti yang dijelaskan dalam Mereferensikan prinsip keamanan.

Untuk mengautentikasi dengan identitas terkelola, ikuti langkah-langkah berikut:

  1. Mengonfigurasi identitas terkelola untuk kluster Anda
  2. Mengonfigurasi kebijakan identitas terkelola
  3. Menggunakan identitas terkelola dalam alur kerja yang didukung

Mengonfigurasi identitas terkelola untuk kluster Anda

Kluster Anda memerlukan izin untuk bertindak atas nama identitas terkelola yang diberikan. Penugasan ini dapat diberikan untuk identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna. Untuk petunjuknya, lihat Mengonfigurasi identitas terkelola untuk kluster Azure Data Explorer Anda.

Mengonfigurasi kebijakan identitas terkelola

Untuk menggunakan identitas terkelola, Anda perlu mengonfigurasi kebijakan identitas terkelola untuk mengizinkan identitas ini. Untuk petunjuknya, lihat Kebijakan Identitas Terkelola.

Perintah manajemen kebijakan identitas terkelola adalah:

Menggunakan identitas terkelola dalam alur kerja yang didukung

Setelah menetapkan identitas terkelola ke kluster Anda dan mengonfigurasi penggunaan kebijakan identitas terkelola yang relevan, Anda dapat mulai menggunakan autentikasi identitas terkelola dalam alur kerja berikut:

  • Tabel Eksternal: Buat tabel eksternal dengan autentikasi identitas terkelola. Autentikasi dinyatakan sebagai bagian dari string koneksi. Misalnya, lihat string koneksi penyimpanan. Untuk instruksi penggunaan tabel eksternal dengan autentikasi identitas terkelola, lihat Mengautentikasi tabel eksternal dengan identitas terkelola.

  • Ekspor Berkelanjutan: Jalankan ekspor berkelanjutan atas nama identitas terkelola. Identitas terkelola diperlukan jika tabel eksternal menggunakan autentikasi peniruan identitas atau jika kueri ekspor mereferensikan tabel di database lain. Untuk menggunakan identitas terkelola, tambahkan pengidentifikasi identitas terkelola dalam parameter opsional yang diberikan dalam create-or-alter perintah . Untuk panduan langkah demi langkah, lihat Mengautentikasi dengan identitas terkelola untuk ekspor berkelanjutan.

  • Penyerapan Asli Azure Event Hubs: Gunakan identitas terkelola dengan penyerapan asli hub peristiwa. Untuk informasi selengkapnya, lihat Menyerap data dari pusat aktivitas ke Azure Data Explorer.

  • Plugin Python: Gunakan identitas terkelola untuk mengautentikasi ke akun penyimpanan artefak eksternal yang digunakan dalam plugin python. Harap dicatat bahwa SandboxArtifacts penggunaan perlu didefinisikan pada kebijakan identitas terkelola tingkat kluster. Untuk informasi selengkapnya, lihat plugin Python.

  • Penyerapan berbasis SDK: Saat mengantre blob untuk penyerapan dari akun penyimpanan Anda sendiri, Anda dapat menggunakan identitas terkelola sebagai alternatif untuk token tanda tangan akses bersama (SAS) dan metode autentikasi Kunci Bersama. Untuk informasi selengkapnya, lihat Blob antrean untuk penyerapan menggunakan autentikasi identitas terkelola.

  • Menyerap dari penyimpanan: Menyerap data dari file yang terletak di penyimpanan cloud ke dalam tabel target menggunakan autentikasi identitas terkelola. Untuk informasi selengkapnya, lihat Menyerap dari penyimpanan.

  • Plugin permintaan Sql: Gunakan identitas terkelola untuk mengautentikasi ke database eksternal saat menggunakan plugin sql_request atau cosmosdb_request .