Uruchamianie zadania eksportu ciągłego przy użyciu tożsamości zarządzanej

Zadanie eksportu ciągłego eksportuje dane do tabeli zewnętrznej z okresowo uruchamianym zapytaniem.

Zadanie eksportu ciągłego należy skonfigurować przy użyciu tożsamości zarządzanej w następujących scenariuszach:

• Gdy tabela zewnętrzna używa uwierzytelniania personifikacji.
• Gdy zapytanie odwołuje się do tabel w innych bazach danych.
• Gdy zapytanie odwołuje się do tabel z włączonymi zasadami zabezpieczeń na poziomie wiersza.

Zadanie ciągłego eksportowania skonfigurowane z tożsamością zarządzaną jest wykonywane w imieniu tożsamości zarządzanej.

W tym artykule dowiesz się, jak skonfigurować tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika i utworzyć zadanie eksportu ciągłego przy użyciu tej tożsamości.

Wymagania wstępne

• Klaster i baza danych. Utwórz klaster i bazę danych.
• Wszystkie bazy danych Administracja uprawnienia do bazy danych.

Konfigurowanie tożsamości zarządzanej

Istnieją dwa typy tożsamości zarządzanych:

• Przypisane przez system: tożsamość przypisana przez system jest połączona z klastrem i jest usuwana po usunięciu klastra. Na klaster jest dozwolona tylko jedna tożsamość przypisana przez system.

• Przypisana przez użytkownika: tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Do klastra można przypisać wiele tożsamości przypisanych przez użytkownika.

Wybierz jedną z poniższych kart, aby skonfigurować preferowany typ tożsamości zarządzanej.

Przypisane przez użytkownika

1. Wykonaj kroki, aby dodać tożsamość przypisaną przez użytkownika.

2. W Azure Portal w menu po lewej stronie zasobu tożsamości zarządzanej wybierz pozycję Właściwości. Skopiuj i zapisz identyfikator dzierżawy i identyfikator podmiotu zabezpieczeń do użycia w poniższych krokach.

   

3. Uruchom następujące polecenie managed_identity zasad alter-merge , zastępując <objectId> ciąg identyfikatorem obiektu tożsamości zarządzanej z poprzedniego kroku. To polecenie ustawia zasady tożsamości zarządzanej w klastrze, które umożliwiają używanie tożsamości zarządzanej z eksportem ciągłym.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "<objectId>",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Uwaga

   Aby ustawić zasady dla określonej bazy danych, użyj polecenia database <DatabaseName> zamiast cluster.

4. Uruchom następujące polecenie, aby udzielić uprawnień programu Database Viewer tożsamości zarządzanej dla wszystkich baz danych używanych do eksportu ciągłego, takiego jak baza danych zawierająca tabelę zewnętrzną.

   .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
   

   Zastąp <DatabaseName> element odpowiednią bazą danych <objectId> identyfikatorem jednostki tożsamości zarządzanej z kroku 2 i <tenantId> identyfikatorem dzierżawy identyfikatora Microsoft Entra z kroku 2.

Przypisane przez system

1. Postępuj zgodnie z instrukcjami, aby dodać tożsamość przypisaną przez system.

2. Skopiuj i zapisz identyfikator obiektu (podmiotu zabezpieczeń) do użycia w późniejszym kroku.

3. Uruchom następujące polecenie managed_identity zasad alter-merge . To polecenie ustawia zasady tożsamości zarządzanej w klastrze, które umożliwiają używanie tożsamości zarządzanej z eksportem ciągłym.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "system",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Uwaga

   Aby ustawić zasady dla określonej bazy danych, użyj polecenia database <DatabaseName> zamiast cluster.

4. Uruchom następujące polecenie, aby udzielić uprawnień programu Database Viewer tożsamości zarządzanej dla wszystkich baz danych używanych do eksportu ciągłego, takiego jak baza danych zawierająca tabelę zewnętrzną.

   .add database <DatabaseName> viewers ('aadapp=<objectId>')
   

   Zastąp <DatabaseName> element odpowiednią bazą danych i <objectId> identyfikatorem obiektu tożsamości zarządzanej (podmiotu zabezpieczeń) z kroku 2.

Konfigurowanie tabeli zewnętrznej

Tabele zewnętrzne odnoszą się do danych znajdujących się w usłudze Azure Storage, takich jak Azure Blob Storage, Azure Data Lake Gen1 i Azure Data Lake Gen2 lub SQL Server.

Wybierz jedną z poniższych kart, aby skonfigurować usługę Azure Storage lub SQL Server tabeli zewnętrznej.

Azure Storage

1. Utwórz parametry połączenia na podstawie szablonów parametry połączenia magazynu. Ten ciąg wskazuje zasób, aby uzyskać dostęp do informacji o uwierzytelnianiu i jego uwierzytelnieniu. W przypadku przepływów eksportu ciągłego zalecamy uwierzytelnianie personifikacji.

2. Uruchom tabelę .create lub .alter external , aby utworzyć tabelę. Użyj parametry połączenia z poprzedniego kroku jako argumentu storageConnectionString.

   Na przykład następujące polecenie tworzy MyExternalTable odwołanie do danych sformatowanych w formacie CSV w mycontainermystorageaccount Azure Blob Storage. Tabela zawiera dwie kolumny, jedną dla liczby całkowitej x i jedną dla ciągu s. Parametry połączenia kończy się ciągiem ;impersonate, który wskazuje na użycie uwierzytelniania personifikacji w celu uzyskania dostępu do magazynu danych.

   .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
   ( 
       h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
   )
   

3. Udziel uprawnień zapisu tożsamości zarządzanej do odpowiedniego zewnętrznego magazynu danych. Tożsamość zarządzana wymaga uprawnień do zapisu, ponieważ zadanie eksportu ciągłego eksportuje dane do magazynu danych w imieniu tożsamości zarządzanej.

   Zewnętrzny magazyn danych	Wymagane uprawnienia	Udzielanie uprawnień
   Azure Blob Storage	Współautor danych obiektu blob usługi Storage	Przypisywanie roli platformy Azure
   Data Lake Storage Gen2	Współautor danych obiektu blob usługi Storage	Przypisywanie roli platformy Azure
   Data Lake Storage Gen1	Współautor	Przypisywanie roli platformy Azure

SQL Server

1. Utwórz SQL Server parametry połączenia. Ten ciąg wskazuje zasób, aby uzyskać dostęp do informacji o uwierzytelnianiu i jego uwierzytelnieniu. W przypadku przepływów eksportu ciągłego zalecamy Microsoft Entra zintegrowanego uwierzytelniania, które jest uwierzytelnianiem personifikacji.

2. Uruchom tabelę .create lub .alter external , aby utworzyć tabelę. Użyj parametry połączenia z poprzedniego kroku jako argumentu sqlServerConnectionString.

   Na przykład następujące polecenie tworzy MySqlExternalTable odwołanie do MySqlTable tabeli w MyDatabase SQL Server. Tabela zawiera dwie kolumny, jedną dla liczby całkowitej x i jedną dla ciągu s. Parametry połączenia zawiera ;Authentication=Active Directory Integratedelement , który wskazuje na użycie uwierzytelniania personifikacji w celu uzyskania dostępu do tabeli.

   .create external table MySqlExternalTable (x:int, s:string) kind=sql table=MySqlTable
   ( 
      h@'Server=tcp:myserver.database.windows.net,1433;Authentication=Active Directory Integrated;Initial Catalog=MyDatabase;'
   )
   

3. Udziel tożsamości zarządzanej uprawnienia CREATE, UPDATE i INSERT w bazie danych SQL Server. Tożsamość zarządzana wymaga uprawnień do zapisu, ponieważ zadanie eksportu ciągłego eksportuje dane do bazy danych w imieniu tożsamości zarządzanej. Aby dowiedzieć się więcej, zobacz Uprawnienia.

Tworzenie zadania eksportu ciągłego

Wybierz jedną z poniższych kart, aby utworzyć zadanie eksportu ciągłego, które będzie uruchamiane w imieniu przypisanej przez użytkownika lub przypisanej przez system tożsamości zarządzanej.

Przypisane przez użytkownika

Uruchom polecenie .create-or-alter continuous-export z właściwością managedIdentity ustawioną na identyfikator obiektu tożsamości zarządzanej.

Na przykład następujące polecenie tworzy zadanie eksportu ciągłego o nazwie , MyExport aby wyeksportować MyExternalTable dane w MyTable imieniu tożsamości zarządzanej przypisanej przez użytkownika. <objectId> powinna być identyfikatorem obiektu tożsamości zarządzanej.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

Przypisane przez system

Uruchom polecenie .create-or-alter continuous-export z właściwością ustawioną managedIdentity na system.

Na przykład następujące polecenie tworzy zadanie eksportu ciągłego o nazwie , MyExport aby wyeksportować MyExternalTable dane w MyTable imieniu tożsamości zarządzanej przypisanej przez system.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity="system", intervalBetweenRuns=5m) <| MyTable

Zawartość pokrewna

• .show continuous-export
• Omówienie eksportu ciągłego
• Tożsamości zarządzane