Использование управляемых удостоверений для доступа к центрам событий из задания Azure Stream Analytics
Azure Stream Analytics поддерживает проверку подлинности управляемого удостоверения для входных и выходных данных Центров событий Azure. Управляемые удостоверения устраняют ограничения методов проверки подлинности на основе пользователя, например необходимость повторной аутентификации в связи с изменением пароля или истечением срока действия пользовательского токена, которое наступает каждые 90 дней. При устранении необходимости в ручной проверке подлинности ваши развертывания Stream Analytics можно полностью автоматизировать.
Управляемое удостоверение — это управляемое приложение, зарегистрированное в идентификаторе Microsoft Entra, представляющее заданное задание Stream Analytics. Управляемое приложение используется для проверки подлинности в целевом ресурсе, включая центры событий, которые находятся за брандмауэром или виртуальной сетью (виртуальная сеть). Дополнительные сведения об обходе брандмауэров см. в разделе Разрешение доступа к пространствам имен Центров событий Azure через частные конечные точки.
В этой статье показано, как включить управляемое удостоверение для входных или выходных данных задания Stream Analytics через портал Azure. Прежде чем включить управляемое удостоверение, необходимо сначала иметь задание Stream Analytics и ресурс Центров событий.
Создание управляемого удостоверения
Сначала вы создадите управляемое удостоверение для задания Azure Stream Analytics.
На портале Azure откройте задание Stream Analytics.
В меню навигации слева в разделе Настройка щелкните Управляемое удостоверение. Затем установите флажок Использовать управляемое удостоверение, назначаемое системой и нажмите кнопку Сохранить.
Субъект-служба для удостоверения задания Stream Analytics создается в идентификаторе Microsoft Entra. Жизненным циклом нового удостоверения будет управлять Azure. При удалении задания Stream Analytics Azure автоматически удаляет связанное удостоверение (то есть субъект-службу).
При сохранении конфигурации идентификатор объекта (OID) субъекта-службы указан в качестве идентификатора субъекта-службы, как показано ниже:
Субъект-служба имеет то же имя, что и задание Stream Analytics. Например, если имя задания —
MyASAJob, имя созданного субъекта-службы будет такжеMyASAJob.
Предоставление разрешений на задание Stream Analytics для доступа к Центрам событий
Для доступа к концентратору событий с помощью управляемого удостоверения задание Stream Analytics должно иметь специальные разрешения для концентратора событий.
Выберите Управление доступом (IAM) .
Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу Добавление назначения ролей.
Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Примечание.
При предоставлении доступа к любому ресурсу необходимо предоставить наименее необходимый доступ. В зависимости от того, настраиваете ли центры событий в качестве входных или выходных данных, вам может не потребоваться назначить роль владельца данных Центры событий Azure, которая предоставит более чем необходимый доступ к ресурсу Eventhub. Дополнительные сведения см. в статье Аутентификация приложения с помощью идентификатора Microsoft Entra для доступа к ресурсам Центров событий
| Параметр | Значение |
|---|---|
| Роль | Владелец данных Центров событий Azure |
| Назначить доступ для | Пользователь, группа или субъект-служба |
| Участники | <Имя задания Stream Analytics> |
Вы также можете предоставить эту роль на уровне пространства имен Центров событий, что, естественно, распространяет разрешения на все центры событий, созданные под ним. То есть все центры событий в пространстве имен можно использовать в качестве ресурса с проверкой подлинности управляемого удостоверения в задании Stream Analytics.
Примечание.
Из-за задержки глобальной репликации или кэширования может возникнуть задержка при отмене или предоставлении разрешений. Изменения должны отобразиться в течение 8 минут.
Создание входных или выходных данных Центров событий
Теперь, когда настроено управляемое удостоверение, вы можете добавить ресурс концентратора событий в качестве входных или выходных данных в задание Stream Analytics.
Добавление центров событий в качестве входных данных
Вернитесь к заданию Stream Analytics и перейдите на страницу Входные данные в разделе Топология задания.
Выберите Добавить потоковый вход > Концентратор событий. В окне входных свойств выполните поиск и выберите концентратор событий и выберите управляемое удостоверение в раскрывающемся меню режима проверки подлинности.
Укажите остальные свойства и нажмите кнопку Сохранить.
Добавление центров событий в качестве выходных данных
Перейдите к заданию Stream Analytics и откройте страницу Выходные данные в разделе Топология задания.
Выберите Добавить > Концентратор событий. В окне выходных свойств выполните поиск и выберите концентратор событий и выберите управляемое удостоверение в раскрывающемся меню режима проверки подлинности.
Укажите остальные свойства и нажмите кнопку Сохранить.