Azure Data Explorer クラスターのマネージド ID の構成

Azure Active Directory のマネージド ID を使用すると、クラスターは Azure AD で保護された他のリソース (Azure Key Vault など) に簡単にアクセスできます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。 マネージド ID の構成は、現在、お使いのクラスターに対して、お客様が管理するキーを有効にする場合にのみサポートされています。

マネージド ID の概要については、Azure Data Explorer クラスターでのマネージド ID を使用した認証に関するページを参照してください。

Azure Data Explorer クラスターには、次の 2 種類の ID を付与できます。

• システム割り当て ID:クラスターに関連付けられ、リソースが削除された場合は削除されます。 クラスターは 1 つのシステム割り当て ID しか持つことはできません。
• ユーザー割り当て ID:クラスターに割り当てることができるスタンドアロン Azure リソース。 クラスターは複数のユーザー割り当て ID を持つことができます。

この記事では、Azure Data Explorer のシステム割り当ておよびユーザー割り当てのマネージド ID を追加および削除する方法について説明します。

注意

Azure Data Explorer クラスターがサブスクリプションやテナント間で移行された場合、Azure Data Explorer のマネージド ID は想定されたとおりに動作しません。 アプリは、機能を無効にしてから再度有効にすることで、新しい ID を取得する必要があります。 新しい ID を使用するには、ダウンストリーム リソースのアクセス ポリシーも更新する必要があります。

システム割り当て ID を追加する

クラスターに関連付けられており、クラスターが削除されると削除されるシステム割り当て ID を割り当てます。 クラスターは 1 つのシステム割り当て ID しか持つことはできません。 システム割り当て ID を持つクラスターを作成するには、クラスター上で追加のプロパティを設定する必要があります。 以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してシステム割り当て ID を追加します。

Azure Portal

Azure portal を使用してシステム割り当て ID を追加する

Azure portal にサインインします。

新しい Azure Data Explorer クラスター

1. Azure Data Explorer クラスターを作成します

2. [セキュリティ] タブ >[システム割り当て ID] で、[オン] を選択します。 システム割り当て ID を削除するには、 [オフ] を選択します。

3. [次へ: タグ] > または [確認と作成] を選択して、クラスターを作成します。

   

既存の Azure Data Explorer クラスター

1. 既存の Azure Data Explorer クラスターを開きます。

2. ポータルの左ペインで、[設定][ID] を選択します。

3. [ID] ペイン >[システム割り当て] タブで、次のようにします。

   1. [状態] スライダーを [オン] に移動します。
   2. [保存] を選びます。
   3. ポップアップ ウィンドウで、 [はい] を選択します。

   

4. 数分後、画面に以下が表示されます。

   • オブジェクト ID - カスタマー マネージド キーに使用されます
   • アクセス許可 - 関連するロールの割り当てを選択します

   

C#

C# を使用してシステム割り当て ID を追加する

前提条件

Azure Data Explorer C# クライアントを使用してマネージド ID を設定するには、次のようにします。

• Azure Data Explorer NuGet パッケージをインストールします。
• 認証用の Microsoft.Identity.Client NuGet パッケージ をインストールします。
• 認証用に Microsoft.Rest.ClientRuntime NuGet パッケージ をインストールします。
• リソースにアクセスできる Azure AD アプリケーションとサービス プリンシパルを作成します。 サブスクリプションのスコープでロールの割り当てを追加し、必要な Directory (tenant) ID、Application ID、および Client Secret を取得します。

クラスターを作成または更新します

1. Identity プロパティを使用してクラスターを作成または更新します。

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. 次のコマンドを実行して、クラスターが ID とともに正常に作成または更新されたかどうかを確認します。

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   結果の ProvisioningState の値が Succeeded であれば、クラスターが作成または更新されたので、次のプロパティを持つはずです。

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId と TenantId は GUID で置き換えられます。 TenantId プロパティは、ID が属している Azure AD テナントを特定します。 PrincipalId は、クラスターの新しい ID の一意識別子です。 Azure AD のサービス プリンシパル名は、お使いの App Service または Azure Functions のインスタンスに指定したものと同じです。

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、システム割り当て ID を追加する

Azure Resource Manager テンプレートを使って、Azure リソースのデプロイを自動化できます。 Azure Data Explorer へのデプロイの詳細については、「Azure Resource Manager テンプレートを使用して Azure Data Explorer クラスターとデータベースを作成する」を参照してください。

システム割り当てタイプを追加することで、Azure に対してクラスターの ID を作成して管理するように指示します。 種類が Microsoft.Kusto/clusters であるすべてのリソースは、リソース定義に次のプロパティを含めることにより、ID を使って作成できます。

{
   "identity": {
      "type": "SystemAssigned"
   }
}

次に例を示します。

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

注意

クラスターは、システム割り当て ID とユーザー割り当て ID の両方を同時に持つことができます。 type プロパティは SystemAssigned,UserAssigned になります。

クラスターが作成されると、次の追加プロパティを持ちます。

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> と <PRINCIPALID> は GUID で置き換えられます。 TenantId プロパティは、ID が属している Azure AD テナントを特定します。 PrincipalId は、クラスターの新しい ID の一意識別子です。 Azure AD のサービス プリンシパル名は、お使いの App Service または Azure Functions のインスタンスに指定したものと同じです。

システム割り当て ID を削除する

システム割り当て ID を削除すると、Azure AD からも削除されます。 クラスター リソースが削除されると、システム割り当て ID も Azure AD から自動的に削除されます。 システム割り当て ID を削除するには、機能を無効にします。 以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してシステム割り当て ID を削除します。

Azure portal

Azure portal を使用してシステム割り当て ID を削除する

1. Azure portal にサインインします。

2. ポータルの左ペインで、 [設定]>[ID] を選択します。

3. [ID] ペイン >[システム割り当て] タブで、次のようにします。

   1. [状態] スライダーを [オフ] に移動します。
   2. [保存] を選びます。
   3. ポップアップ ウィンドウで [はい] を選択して、システム割り当て ID を無効にします。 [ID] ペインは、システム割り当て ID が追加される前と同じ状態に戻ります。

   

C#

C# を使用してシステム割り当て ID を削除する

システム割り当て ID を削除するには、次を実行します。

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、システム割り当て ID を削除する

システム割り当て ID を削除するには、次を実行します。

{
   "identity": {
      "type": "None"
   }
}

注意

クラスターにシステム割り当てとユーザー割り当て ID の両方が同時にある場合、システム割り当て ID の削除後、type プロパティは UserAssigned になります。

ユーザー割り当て ID を追加する

クラスターにユーザー割り当てマネージド ID を割り当てます。 クラスターは複数のユーザー割り当て ID を持つことができます。 ユーザー割り当て ID を持つクラスターを作成するには、クラスター上で追加のプロパティを設定する必要があります。 以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してユーザー割り当て ID を追加します。

Azure portal

Azure portal を使用してユーザー割り当て ID を追加する

1. Azure portal にサインインします。

2. ユーザー割り当てマネージド ID リソースを作成します。

3. 既存の Azure Data Explorer クラスターを開きます。

4. ポータルの左ペインで、[設定][ID] を選択します。

5. [ユーザー割り当て済み] タブで、 [追加] を選択します。

6. 先ほど作成した ID を検索して選択します。 [追加] を選択します。

   

C#

C# を使用してユーザー割り当て ID を追加する

前提条件

Azure Data Explorer C# クライアントを使用してマネージド ID を設定するには、次のようにします。

• Azure Data Explorer NuGet パッケージをインストールします。
• 認証用の Microsoft.Identity.Client NuGet パッケージ をインストールします。
• 認証用に Microsoft.Rest.ClientRuntime NuGet パッケージ をインストールします。
• リソースにアクセスできる Azure AD アプリケーションとサービス プリンシパルを作成します。 サブスクリプションのスコープでロールの割り当てを追加し、必要な Directory (tenant) ID、Application ID、および Client Secret を取得します。

クラスターを作成または更新します

1. Identity プロパティを使用してクラスターを作成または更新します。

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. 次のコマンドを実行して、クラスターが ID とともに正常に作成または更新されたかどうかを確認します。

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   結果の ProvisioningState の値が Succeeded であれば、クラスターが作成または更新されたので、次のプロパティを持つはずです。

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId は、Azure AD の管理に使用される ID の一意識別子です。 ClientId は、ランタイム呼び出し中に使用される ID を指定するために使用される、アプリケーションの新しい ID の一意識別子です。

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、ユーザー割り当て ID を追加する

Azure Resource Manager テンプレートを使って、Azure リソースのデプロイを自動化できます。 Azure Data Explorer へのデプロイの詳細については、「Azure Resource Manager テンプレートを使用して Azure Data Explorer クラスターとデータベースを作成する」を参照してください。

種類が Microsoft.Kusto/clusters であるリソースは、リソース定義に次のプロパティを含めて、<RESOURCEID> を目的の ID のリソース ID と置き換えることで、ユーザー割り当て ID を使って作成できます。

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

次に例を示します。

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

クラスターが作成されると、次の追加プロパティを持ちます。

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId は、Azure AD の管理に使用される ID の一意識別子です。 ClientId は、ランタイム呼び出し中に使用される ID を指定するために使用される、アプリケーションの新しい ID の一意識別子です。

注意

クラスターは、システム割り当て ID とユーザー割り当て ID の両方を同時に持つことができます。 この場合、type プロパティは SystemAssigned,UserAssigned になります。

クラスターからユーザー割り当てマネージド ID を削除する

以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してユーザー割り当て ID を削除します。

Azure portal

Azure portal を使用して、ユーザー割り当てマネージド ID を削除する

1. Azure portal にサインインします。

2. ポータルの左ペインで、 [設定]>[ID] を選択します。

3. [ユーザー割り当て済み] タブを選択します。

4. 先ほど作成した ID を検索して選択します。 [削除] を選択します。

   

5. ポップアップ ウィンドウで [はい] を選択して、ユーザー割り当て ID を削除します。 [ID] ペインは、ユーザー割り当て ID が追加される前と同じ状態に戻ります。

C#

C# を使用してユーザー割り当て ID を削除する

ユーザー割り当て ID を削除するには、次を実行します。

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、ユーザー割り当て ID を削除する

ユーザー割り当て ID を削除するには、次を実行します。

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

注意

• ID を削除するには、値を null 値に設定します。 その他のすべての既存の ID は影響を受けません。
• すべてのユーザー割り当て ID を削除するには、type プロパティを None にします。
• クラスターにシステム割り当てとユーザー割り当ての両方の ID が同時にある場合、type プロパティは削除する ID により SystemAssigned,UserAssigned となるか、またはすべてのユーザー割り当て ID を削除する場合は SystemAssigned となります。

次のステップ

• Azure で Azure Data Explorer クラスターをセキュリティで保護する
• 保存時の暗号化を有効にすることで、ディスク暗号化を使用してをクラスターをセキュリティで保護する。
• C# を使用してカスタマー マネージド キーを構成する
• Azure Resource Manager テンプレートを使用してカスタマー マネージド キーを構成する