複数のテナントのプリンシパルは、1 つの Azure Data Explorer クラスターでクエリとコマンドを実行できます。 この記事では、別のテナントのプリンシパルにクラスターのアクセス権を付与する方法について説明します。
Overview
テナントのプリンシパルが他のテナントのプリンシパルを使用するには、
- プリンシパルには、クラスターへのアクセスを許可するロールの割り当てが必要です
- 外部テナントへのアクセスを許可するようにクラスターを構成する必要があります
Note
- 信頼された外部テナントの検証 が優先され、ロールの 割り当ての検証は保証されません。
- 許可されるテナントと許可されたプリンシパルは、実際には管理されません。
- クラスターで許可されていないテナントのプリンシパルにロールの割り当てが存在する場合があります。
- 信頼された外部テナントを削除しても、このテナントからプリンシパルのロールの割り当てが暗黙的に削除されることはありません。
外部の信頼されたテナントの構成
クラスターで trustedExternalTenants を設定するには、ARM テンプレート、AZ CLI、PowerShell、Azure Resource Explorer を使用するか、API 要求を送信します。
次の例は、ポータルで、または API 要求を使って、信頼できるテナントを定義する方法を示しています。
Azure portal で、Azure Data Explorer クラスターのページに移動します。
左側のメニューの [設定] の下にある [セキュリティ] をクリックします。
目的のテナントのアクセス許可を定義します。
![[セキュリティ] ブレードのスクリーンショット。](media/define-trusted-external-tenants/trusted-external-tenants.png#lightbox)
プリンシパルの追加
trustedExternalTenants プロパティを更新した後、承認されたテナントからプリンシパルへのアクセス権を付与します。 ARM を使用して、すべてのデータベース レベルのアクセス許可を付与します。 または、データベース、テーブル、関数、または具体化されたビュー レベルへのアクセス権を付与するには、管理コマンドを使用します。