Dodawanie podmiotów zabezpieczeń bazy danych dla usługi Azure Data Explorer

Azure Data Explorer to szybka i wysoce skalowalna usługa eksploracji danych na potrzeby danych dziennika i telemetrycznych. W tym artykule dowiesz się, jak dodawać podmioty zabezpieczeń bazy danych dla usługi Azure Data Explorer przy użyciu języka C#, Python lub szablonu usługi Azure Resource Manager (ARM).

Wymagania wstępne

Wymagania wstępne różnią się w zależności od metody użytej do dodania podmiotu zabezpieczeń. Wybierz odpowiednią kartę dla preferowanej metody.

C#

Poniższa lista przedstawia wymagania wstępne dotyczące dodawania podmiotu zabezpieczeń klastra przy użyciu języka C#.

• Konto Microsoft lub tożsamość użytkownika Microsoft Entra. Subskrypcja platformy Azure nie jest wymagana.
• Baza danych i klaster usługi Azure Data Explorer. Utwórz klaster i bazę danych.
• Visual Studio 2022 Community Edition. Włącz programowanie na platformie Azure podczas konfigurowania programu Visual Studio.
• Aplikacja Microsoft Entra i jednostka usługi, która może uzyskiwać dostęp do zasobów. Zapisz identyfikator katalogu (dzierżawy),identyfikator aplikacji i klucz tajny klienta.
• Zainstaluj plik Azure.ResourceManager.Kusto.
• Zainstaluj pakiet NuGet Azure.Identity na potrzeby uwierzytelniania.

Python

Poniższa lista przedstawia wymagania wstępne dotyczące dodawania podmiotu zabezpieczeń klastra przy użyciu języka Python.

• Konto Microsoft lub tożsamość użytkownika Microsoft Entra. Subskrypcja platformy Azure nie jest wymagana.
• Baza danych i klaster usługi Azure Data Explorer. Utwórz klaster i bazę danych.
• Aplikacja Microsoft Entra i jednostka usługi, która może uzyskiwać dostęp do zasobów. Zapisz identyfikator katalogu (dzierżawy),identyfikator aplikacji i klucz tajny klienta.
• Zainstaluj pakiety azure-common i azure-mgmt-kusto .

ARM

Poniższa lista zawiera wymagania wstępne dotyczące dodawania podmiotu zabezpieczeń klastra przy użyciu szablonu usługi ARM.

• Subskrypcja platformy Azure. Utwórz bezpłatne konto platformy Azure.
• Baza danych i klaster usługi Azure Data Explorer. Utwórz klaster i bazę danych.

Dodawanie podmiotu zabezpieczeń bazy danych

C#

Uruchom następujący kod, aby dodać jednostkę bazy danych:

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
//The cluster that is created as part of the Prerequisites
var clusterName = "mykustocluster";
var databaseName = "mykustodatabase";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var cluster = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value;
var database = (await cluster.GetKustoDatabaseAsync(databaseName)).Value;
var databasePrincipalAssignments = database.GetKustoDatabasePrincipalAssignments();
var databasePrincipalAssignmentName = "mykustodatabaseprincipalassignment";
var principalId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //User email, application ID, or security group name
var role = KustoDatabasePrincipalRole.Admin; //Admin, Ingestor, Monitor, User, UnrestrictedViewers, Viewer
var tenantIdForPrincipal = new Guid("xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx");
var principalType = KustoPrincipalAssignmentType.App; //User, App, or Group
var databasePrincipalAssignmentData = new KustoDatabasePrincipalAssignmentData
{
    DatabasePrincipalId = principalId, Role = role, PrincipalType = principalType, TenantId = tenantIdForPrincipal
};
await databasePrincipalAssignments.CreateOrUpdateAsync(
    WaitUntil.Completed, databasePrincipalAssignmentName, databasePrincipalAssignmentData
);

Ustawienie	Sugerowana wartość	Opis pola
tenantId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator dzierżawy. Znany również jako identyfikator katalogu.
subscriptionId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator subskrypcji używany do tworzenia zasobów.
clientId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator klienta aplikacji, która może uzyskiwać dostęp do zasobów w dzierżawie.
clientSecret	Symbol zastępczyClientSecret	Wpis tajny klienta aplikacji, która może uzyskiwać dostęp do zasobów w dzierżawie.
resourceGroupName	testrg	Nazwa grupy zasobów zawierającej klaster.
clusterName	mykustocluster	Nazwa klastra.
databaseName	mykustodatabase	Nazwa bazy danych.
databasePrincipalAssignmentName	mykustodatabaseprincipalassignment	Nazwa zasobu jednostki bazy danych.
principalId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator podmiotu zabezpieczeń, który może być adresem e-mail użytkownika, identyfikatorem aplikacji lub nazwą grupy zabezpieczeń.
role (rola)	Administracja	Rola podmiotu zabezpieczeń bazy danych, która może mieć wartość "Administracja", "Ingestor", "Monitor", "User", "UnrestrictedViewers", "Viewer".
tenantIdForPrincipal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator dzierżawy podmiotu zabezpieczeń.
principalType	Aplikacja	Typ podmiotu zabezpieczeń, który może mieć wartość "Użytkownik", "Aplikacja" lub "Grupa"

Python

W poniższym przykładzie pokazano, jak programowo dodać jednostkę bazy danych.

from azure.mgmt.kusto import KustoManagementClient
from azure.mgmt.kusto.models import DatabasePrincipalAssignment
from azure.common.credentials import ServicePrincipalCredentials

#Directory (tenant) ID
tenant_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Application ID
client_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Client Secret
client_secret = "xxxxxxxxxxxxxx"
subscription_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
credentials = ServicePrincipalCredentials(
        client_id=client_id,
        secret=client_secret,
        tenant=tenant_id
    )
kusto_management_client = KustoManagementClient(credentials, subscription_id)

resource_group_name = "testrg"
#The cluster and database that is created as part of the Prerequisites
cluster_name = "mykustocluster"
database_name = "mykustodatabase"
principal_assignment_name = "clusterPrincipalAssignment1"
#User email, application ID, or security group name
principal_id = "xxxxxxxx"
#AllDatabasesAdmin, AllDatabasesMonitor or AllDatabasesViewer
role = "AllDatabasesAdmin"
tenant_id_for_principal = tenantId
#User, App, or Group
principal_type = "App"

#Returns an instance of LROPoller, check https://learn.microsoft.com/python/api/msrest/msrest.polling.lropoller?view=azure-python
poller = kusto_management_client.database_principal_assignments.create_or_update(resource_group_name=resource_group_name, cluster_name=cluster_name, database_name=database_name, principal_assignment_name= principal_assignment_name, parameters=DatabasePrincipalAssignment(principal_id=principal_id, role=role, tenant_id=tenant_id_for_principal, principal_type=principal_type))

Ustawienie	Sugerowana wartość	Opis pola
tenant_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator dzierżawy. Znany również jako identyfikator katalogu.
subscription_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator subskrypcji używany do tworzenia zasobów.
client_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator klienta aplikacji, która może uzyskiwać dostęp do zasobów w dzierżawie.
client_secret	xxxxxxxxxxxxxxxx	Wpis tajny klienta aplikacji, która może uzyskiwać dostęp do zasobów w dzierżawie.
resource_group_name	testrg	Nazwa grupy zasobów zawierającej klaster.
cluster_name	mykustocluster	Nazwa klastra.
Nazwa_bazy_danych	mykustodatabase	Nazwa bazy danych.
principal_assignment_name	databasePrincipalAssignment1	Nazwa zasobu jednostki bazy danych.
Principal_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator podmiotu zabezpieczeń, który może być adresem e-mail użytkownika, identyfikatorem aplikacji lub nazwą grupy zabezpieczeń.
role (rola)	Administracja	Rola podmiotu zabezpieczeń bazy danych, która może mieć wartość "Administracja", "Ingestor", "Monitor", "User", "UnrestrictedViewers", "Viewer".
tenant_id_for_principal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	Identyfikator dzierżawy podmiotu zabezpieczeń.
principal_type	Aplikacja	Typ podmiotu zabezpieczeń, który może mieć wartość "Użytkownik", "Aplikacja" lub "Grupa"

Szablon usługi ARM

Poniższy przykład przedstawia szablon usługi Azure Resource Manager do dodawania podmiotu zabezpieczeń bazy danych. Szablon można edytować i wdrażać w Azure Portal przy użyciu formularza.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
		"principalAssignmentName": {
            "type": "string",
            "defaultValue": "principalAssignment1",
            "metadata": {
                "description": "Specifies the name of the principal assignment"
            }
        },
        "clusterName": {
            "type": "string",
            "defaultValue": "mykustocluster",
            "metadata": {
                "description": "Specifies the name of the cluster"
            }
        },
		"databaseName": {
            "type": "string",
            "defaultValue": "mykustodatabase",
            "metadata": {
                "description": "Specifies the name of the database"
            }
        },
		"principalIdForDatabase": {
            "type": "string",
            "metadata": {
                "description": "Specifies the principal id. It can be user email, application (client) ID, security group name"
            }
        },
		"roleForDatabasePrincipal": {
            "type": "string",
			"defaultValue": "Admin",
            "metadata": {
                "description": "Specifies the database principal role. It can be 'Admin', 'Ingestor', 'Monitor', 'User', 'UnrestrictedViewers', 'Viewer'"
            }
        },
		"tenantIdForDatabasePrincipal": {
            "type": "string",
            "metadata": {
                "description": "Specifies the tenantId of the database principal"
            }
        },
		"principalTypeForDatabase": {
            "type": "string",
			"defaultValue": "App",
            "metadata": {
                "description": "Specifies the principal type. It can be 'User', 'App', 'Group'"
            }
        }
    },
    "variables": {
    },
    "resources": [{
            "type": "Microsoft.Kusto/Clusters/Databases/principalAssignments",
            "apiVersion": "2019-11-09",
            "name": "[concat(parameters('clusterName'), '/', parameters('databaseName'), '/', parameters('principalAssignmentName'))]",
            "properties": {
                "principalId": "[parameters('principalIdForDatabase')]",
                "role": "[parameters('roleForDatabasePrincipal')]",
				"tenantId": "[parameters('tenantIdForDatabasePrincipal')]",
				"principalType": "[parameters('principalTypeForDatabase')]"
            }
        }
    ]
}

Zawartość pokrewna

• Dodawanie podmiotów zabezpieczeń klastra