테넌트 간 쿼리 및 명령 허용

여러 테넌트에서 보안 주체는 단일 Azure Data Explorer 클러스터에서 쿼리 및 명령을 실행할 수 있습니다. 이 문서에서는 클러스터 액세스 권한을 다른 테넌트의 보안 주체에 부여하는 방법을 알아볼 수 있습니다.

클러스터에서 를 trustedExternalTenants 설정하려면 ARM 템플릿, AZ CLI, PowerShell, Azure 리소스 Explorer 사용하거나 API 요청을 보냅니다.

다음 예제에서는 포털 및 API 요청을 사용하여 신뢰할 수 있는 테넌트를 정의하는 방법을 보여 줍니다.

참고

쿼리 또는 명령을 실행하는 보안 주체에도 관련 데이터베이스 역할이 있어야 합니다. 역할 기반 액세스 제어도 참조하세요. 올바른 역할의 유효성 검사는 신뢰할 수 있는 외부 테넌트의 유효성 검사 후에 이루어집니다.

포털

1. Azure Portal에서 Azure Data Explorer 클러스터 페이지로 이동합니다.

2. 왼쪽 메뉴의 설정 아래에서 보안을 선택합니다.

3. 원하는 테넌트 사용 권한을 정의합니다.

API

구문

특정 테넌트 허용

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

모든 테넌트 허용

trustedExternalTenants 배열에서는 모든 테넌트의 쿼리와 명령을 허용하는 모든 테넌트 별('*') 표기법도 지원합니다.

trustedExternalTenants: [ { "value": "*" }]

참고

trustedExternalTenants의 기본값은 모든 테넌트([ { "value": "*" }])입니다. 외부 테넌트 배열이 클러스터 생성 시 정의되지 않은 경우 클러스터 업데이트 작업을 통해 재정의할 수 있습니다. 빈 배열은 클러스터 테넌트 ID만 이 클러스터에 인증할 수 있음을 의미합니다.

구문 규칙에 대해 자세히 알아봅니다.

예

다음 예제에서는 특정 테넌트가 클러스터에서 쿼리를 실행할 수 있도록 허용합니다.

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

다음 예제에서는 모든 테넌트가 클러스터에서 쿼리를 실행할 수 있도록 허용합니다.

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

클러스터 업데이트

다음 작업을 사용하여 클러스터를 업데이트합니다.

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

보안 주체 추가

속성을 업데이트한 trustedExternalTenants 후 승인된 테넌트에서 보안 주체에 대한 액세스 권한을 부여할 수 있습니다. Azure Portal 사용하여 주 클러스터 수준 권한 또는 데이터베이스 권한을 부여합니다. 또는 데이터베이스, 테이블, 함수 또는 구체화된 뷰 수준에 대한 액세스 권한을 부여하려면 관리 명령을 사용합니다.

제한 사항

이 기능의 구성은 Azure Data Explorer 연결을 시도하는 Microsoft Entra ID(사용자, 애플리케이션, 그룹)에만 적용됩니다. 교차 Microsoft Entra 수집에는 영향을 주지 않습니다.