Konfigurowanie tożsamości zarządzanych dla klastra usługi Azure Data Explorer

Tożsamość zarządzana z identyfikatora Microsoft Entra umożliwia klastrowi dostęp do innych Microsoft Entra chronionych zasobów, takich jak azure Key Vault. Tożsamość jest zarządzana przez platformę Azure i nie wymaga inicjowana obsługi ani rotacji żadnych wpisów tajnych.

W tym artykule pokazano, jak dodawać i usuwać tożsamości zarządzane w klastrze. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Omówienie tożsamości zarządzanych.

Uwaga

Tożsamości zarządzane dla usługi Azure Data Explorer nie będą działać zgodnie z oczekiwaniami, jeśli klaster usługi Azure Data Explorer zostanie zmigrowany między subskrypcjami lub dzierżawami. Aplikacja będzie musiała uzyskać nową tożsamość, którą można wykonać przez usunięcie tożsamości przypisanej przez system , a następnie dodanie tożsamości przypisanej przez system. Należy również zaktualizować zasady dostępu do zasobów podrzędnych, aby korzystać z nowej tożsamości.

Przykłady kodu oparte na poprzednich wersjach zestawu SDK można znaleźć w zarchiwizowanym artykule.

Typy tożsamości zarządzanych

Klaster usługi Azure Data Explorer może mieć dwa typy tożsamości:

• Tożsamość przypisana przez system: powiązana z klastrem i usunięta, jeśli zasób zostanie usunięty. Klaster może mieć tylko jedną tożsamość przypisaną przez system.

• Tożsamość przypisana przez użytkownika: autonomiczny zasób platformy Azure, który można przypisać do klastra. Klaster może mieć wiele tożsamości przypisanych przez użytkownika.

Dodawanie tożsamości przypisanej przez system

Przypisz tożsamość przypisaną przez system, która jest powiązana z klastrem i zostanie usunięta, jeśli klaster zostanie usunięty. Klaster może mieć tylko jedną tożsamość przypisaną przez system. Utworzenie klastra z tożsamością przypisaną przez system wymaga ustawienia dodatkowej właściwości w klastrze. Dodaj tożsamość przypisaną przez system przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Dodawanie tożsamości przypisanej przez system przy użyciu Azure Portal

Zaloguj się w witrynie Azure Portal.

Nowy klaster usługi Azure Data Explorer

1. Tworzenie klastra usługi Azure Data Explorer

2. Na karcie >ZabezpieczeniaTożsamość przypisana przez system wybierz pozycję Włączone. Aby usunąć tożsamość przypisaną przez system, wybierz pozycję Wyłączone.

3. Wybierz pozycję Dalej: Tagi > lub Przejrzyj i utwórz , aby utworzyć klaster.

   

Istniejący klaster usługi Azure Data Explorer

1. Otwórz istniejący klaster usługi Azure Data Explorer.

2. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

3. Na karcie Przypisane przez system okienka > Tożsamość:

   1. Przesuń suwak Stan do pozycji Włączone.
   2. Wybierz pozycję Zapisz
   3. W oknie podręcznym wybierz pozycję Tak

   

4. Po kilku minutach zostanie wyświetlony ekran:

   • Identyfikator obiektu — używany w przypadku kluczy zarządzanych przez klienta
   • Uprawnienia — wybieranie odpowiednich przypisań ról

   

C#

Dodawanie tożsamości przypisanej przez system przy użyciu języka C#

Wymagania wstępne

Aby skonfigurować tożsamość zarządzaną przy użyciu klienta usługi Azure Data Explorer C#:

• Zainstaluj pakiet NuGet usługi Azure Data Explorer.
• Zainstaluj pakiet NuGet Azure.Identity na potrzeby uwierzytelniania.
• Utwórz aplikację Microsoft Entra i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Dodasz przypisanie roli w zakresie subskrypcji i uzyskasz wymagane wartości Directory (tenant) ID, Application IDi Client Secret.

Tworzenie lub aktualizowanie klastra

1. Utwórz lub zaktualizuj klaster przy użyciu Identity właściwości :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Uruchom następujące polecenie, aby sprawdzić, czy klaster został pomyślnie utworzony lub zaktualizowany przy użyciu tożsamości:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Jeśli wynik zawiera ProvisioningStateSucceeded wartość , klaster został utworzony lub zaktualizowany i powinien mieć następujące właściwości:

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId i TenantId są zastępowane identyfikatorami GUID. Właściwość TenantId identyfikuje dzierżawę Microsoft Entra, do której należy tożsamość. Jest PrincipalId to unikatowy identyfikator nowej tożsamości klastra. W Microsoft Entra identyfikatorze jednostka usługi ma taką samą nazwę, jaką nadaliśmy wystąpieniu App Service lub Azure Functions.

Szablon usługi Resource Manager

Dodawanie tożsamości przypisanej przez system przy użyciu szablonu usługi Azure Resource Manager

Szablon usługi Azure Resource Manager może służyć do automatyzowania wdrażania zasobów platformy Azure. Aby dowiedzieć się więcej na temat wdrażania w usłudze Azure Data Explorer, zobacz Tworzenie klastra i bazy danych usługi Azure Data Explorer przy użyciu szablonu usługi Azure Resource Manager.

Dodanie typu przypisanego przez system informuje platformę Azure o utworzeniu tożsamości klastra i zarządzaniu nią. Dowolny zasób typu Microsoft.Kusto/clusters można utworzyć przy użyciu tożsamości, uwzględniając następującą właściwość w definicji zasobu:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Na przykład:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

Uwaga

Klaster może mieć jednocześnie tożsamości przypisane przez system i użytkownika. Właściwość będzie następująca type : SystemAssigned,UserAssigned

Po utworzeniu klastra ma następujące dodatkowe właściwości:

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> i <PRINCIPALID> są zastępowane identyfikatorami GUID. Właściwość TenantId identyfikuje dzierżawę Microsoft Entra, do której należy tożsamość. Jest PrincipalId to unikatowy identyfikator nowej tożsamości klastra. W Microsoft Entra identyfikatorze jednostka usługi ma taką samą nazwę, jaką nadaliśmy wystąpieniu App Service lub Azure Functions.

Usuwanie tożsamości przypisanej przez system

Usunięcie tożsamości przypisanej przez system spowoduje również usunięcie jej z identyfikatora Microsoft Entra. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Microsoft Entra po usunięciu zasobu klastra. Tożsamość przypisana przez system można usunąć, wyłączając tę funkcję. Usuń tożsamość przypisaną przez system przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Usuwanie tożsamości przypisanej przez system przy użyciu Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

3. Na karcie Przypisane przez system okienka > Tożsamość:

   1. Przesuń suwak Stan do pozycji Wyłączone.
   2. Wybierz pozycję Zapisz
   3. W oknie podręcznym wybierz pozycję Tak , aby wyłączyć tożsamość przypisaną przez system. Okienko Tożsamość powraca do tego samego warunku co przed dodaniu tożsamości przypisanej przez system.

   

C#

Usuwanie tożsamości przypisanej przez system przy użyciu języka C#

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez system:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

Szablon usługi Resource Manager

Usuwanie tożsamości przypisanej przez system przy użyciu szablonu usługi Azure Resource Manager

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez system:

{
   "identity": {
      "type": "None"
   }
}

Uwaga

Jeśli klaster miał jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika, po usunięciu type tożsamości przypisanej przez system, właściwość będzie miała wartość UserAssigned

Dodawanie tożsamości przypisanej przez użytkownika

Przypisz tożsamość zarządzaną przypisaną przez użytkownika do klastra. Klaster może mieć więcej niż jedną tożsamość przypisaną przez użytkownika. Utworzenie klastra z tożsamością przypisaną przez użytkownika wymaga ustawienia dodatkowej właściwości w klastrze. Dodaj tożsamość przypisaną przez użytkownika przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Dodawanie tożsamości przypisanej przez użytkownika przy użyciu Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Utwórz zasób tożsamości zarządzanej przypisanej przez użytkownika.

3. Otwórz istniejący klaster usługi Azure Data Explorer.

4. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

5. Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.

6. Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz pozycję Dodaj.

   

C#

Dodawanie tożsamości przypisanej przez użytkownika przy użyciu języka C#

Wymagania wstępne

Aby skonfigurować tożsamość zarządzaną przy użyciu klienta usługi Azure Data Explorer C#:

• Zainstaluj pakiet NuGet usługi Azure Data Explorer.
• Zainstaluj pakiet NuGet Azure.Identity na potrzeby uwierzytelniania.
• Utwórz aplikację Microsoft Entra i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Dodasz przypisanie roli w zakresie subskrypcji i uzyskasz wymagane Directory (tenant) IDwartości , Application IDi Client Secret.

Tworzenie lub aktualizowanie klastra

1. Utwórz lub zaktualizuj klaster przy użyciu Identity właściwości :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Uruchom następujące polecenie, aby sprawdzić, czy klaster został pomyślnie utworzony lub zaktualizowany przy użyciu tożsamości:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Jeśli wynik zawiera ProvisioningStateSucceeded wartość, klaster został utworzony lub zaktualizowany i powinien mieć następujące właściwości:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   Jest PrincipalId to unikatowy identyfikator tożsamości używanej do administrowania Microsoft Entra. Jest ClientId to unikatowy identyfikator nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Szablon usługi Resource Manager

Dodawanie tożsamości przypisanej przez użytkownika przy użyciu szablonu usługi Azure Resource Manager

Szablon usługi Azure Resource Manager może służyć do automatyzowania wdrażania zasobów platformy Azure. Aby dowiedzieć się więcej na temat wdrażania w usłudze Azure Data Explorer, zobacz Tworzenie klastra i bazy danych usługi Azure Data Explorer przy użyciu szablonu usługi Azure Resource Manager.

Dowolny zasób typu Microsoft.Kusto/clusters można utworzyć przy użyciu tożsamości przypisanej przez użytkownika, uwzględniając następującą właściwość w definicji zasobu, zastępując ciąg <RESOURCEID> identyfikatorem zasobu żądanej tożsamości:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Na przykład:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Po utworzeniu klastra ma następujące dodatkowe właściwości:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

Jest PrincipalId to unikatowy identyfikator tożsamości używanej do administrowania Microsoft Entra. Jest ClientId to unikatowy identyfikator nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Uwaga

Klaster może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku type właściwość to SystemAssigned,UserAssigned.

Usuwanie tożsamości zarządzanej przypisanej przez użytkownika z klastra

Usuń tożsamość przypisaną przez użytkownika przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Usuwanie tożsamości zarządzanej przypisanej przez użytkownika przy użyciu Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

3. Wybierz kartę Przypisane przez użytkownika .

4. Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz pozycję Usuń.

   

5. W oknie podręcznym wybierz pozycję Tak , aby usunąć tożsamość przypisaną przez użytkownika. Okienko Tożsamość przywraca ten sam warunek co przed dodaniu tożsamości przypisanej przez użytkownika.

C#

Usuwanie tożsamości przypisanej przez użytkownika przy użyciu języka C#

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez użytkownika:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

Szablon usługi Resource Manager

Usuwanie tożsamości przypisanej przez użytkownika przy użyciu szablonu usługi Azure Resource Manager

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez użytkownika:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Uwaga

• Aby usunąć tożsamości, ustaw ich wartości na null. Nie będzie to miało wpływu na wszystkie inne istniejące tożsamości.
• Aby usunąć wszystkie tożsamości przypisane przez użytkownika, type właściwość to None,
• Jeśli klaster miał jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika, type właściwość będzie SystemAssigned,UserAssigned miała tożsamości do usunięcia lub SystemAssigned usunięcia wszystkich tożsamości przypisanych przez użytkownika.

Zawartość pokrewna

• Zabezpieczanie klastrów usługi Azure Data Explorer na platformie Azure
• Zabezpiecz klaster przy użyciu szyfrowania dysków, włączając szyfrowanie magazynowane.
• Konfigurowanie kluczy zarządzanych przez klienta przy użyciu języka C#
• Konfigurowanie kluczy zarządzanych przez klienta przy użyciu szablonu usługi Azure Resource Manager