Omówienie tożsamości zarządzanych

Tożsamość zarządzana z identyfikatora Entra firmy Microsoft umożliwia klastrowi dostęp do innych chronionych zasobów firmy Microsoft, takich jak Azure Storage. Tożsamość jest zarządzana przez platformę Azure i nie wymaga inicjowana obsługi ani rotacji żadnych wpisów tajnych.

Typy tożsamości zarządzanych

Klaster usługi Azure Data Explorer można przyznać dwóm typom tożsamości:

• Tożsamość przypisana przez system: powiązana z klastrem i usunięta, jeśli zasób zostanie usunięty. Klaster może mieć tylko jedną tożsamość przypisaną przez system.

• Tożsamość przypisana przez użytkownika: autonomiczny zasób platformy Azure, który można przypisać do klastra. Klaster może mieć wiele tożsamości przypisanych przez użytkownika.

Uwierzytelnianie przy użyciu tożsamości zarządzanych

Zasoby firmy Microsoft Entra z jedną dzierżawą mogą używać tożsamości zarządzanych tylko do komunikowania się z zasobami w tej samej dzierżawie. To ograniczenie ogranicza użycie tożsamości zarządzanych w niektórych scenariuszach uwierzytelniania. Na przykład nie można użyć tożsamości zarządzanej usługi Azure Data Explorer, aby uzyskać dostęp do centrum zdarzeń znajdującego się w innej dzierżawie. W takich przypadkach należy użyć uwierzytelniania opartego na kluczu konta.

Usługa Azure Data Explorer jest obsługująca wiele dzierżaw, co oznacza, że można udzielić dostępu do tożsamości zarządzanych z różnych dzierżaw. W tym celu przypisz odpowiednie role zabezpieczeń. Podczas przypisywania ról należy odwołać się do tożsamości zarządzanej zgodnie z opisem w temacie Odwoływanie się do podmiotów zabezpieczeń.

Aby uwierzytelnić się za pomocą tożsamości zarządzanych, wykonaj następujące kroki:

1. Konfigurowanie tożsamości zarządzanej dla klastra
2. Konfigurowanie zasad tożsamości zarządzanej
3. Używanie tożsamości zarządzanej w obsługiwanych przepływach pracy

Konfigurowanie tożsamości zarządzanej dla klastra

Klaster musi mieć uprawnienia do działania w imieniu danej tożsamości zarządzanej. To przypisanie można przypisać zarówno dla tożsamości zarządzanych przypisanych przez system, jak i przypisanych przez użytkownika. Aby uzyskać instrukcje, zobacz Konfigurowanie tożsamości zarządzanych dla klastra usługi Azure Data Explorer.

Konfigurowanie zasad tożsamości zarządzanej

Aby użyć tożsamości zarządzanej, należy skonfigurować zasady tożsamości zarządzanej, aby zezwolić na tę tożsamość. Aby uzyskać instrukcje, zobacz Zasady tożsamości zarządzanej.

Polecenia zarządzania zasadami tożsamości zarządzanej to:

• .alter policy managed_identity
• Managed_identity zasad alter-merge
• Managed_identity zasad usuwania
• .show policy managed_identity

Używanie tożsamości zarządzanej w obsługiwanych przepływach pracy

Po przypisaniu tożsamości zarządzanej do klastra i skonfigurowaniu odpowiedniego użycia zasad tożsamości zarządzanej można rozpocząć korzystanie z uwierzytelniania tożsamości zarządzanej w następujących przepływach pracy:

• Tabele zewnętrzne: utwórz tabelę zewnętrzną z uwierzytelnianiem tożsamości zarządzanej. Uwierzytelnianie jest określone w ramach parametry połączenia. Aby zapoznać się z przykładami, zobacz parametry połączenia magazynu. Aby uzyskać instrukcje dotyczące używania tabel zewnętrznych z uwierzytelnianiem tożsamości zarządzanej, zobacz Uwierzytelnianie tabel zewnętrznych przy użyciu tożsamości zarządzanych.

• Eksport ciągły: uruchamianie eksportu ciągłego w imieniu tożsamości zarządzanej. Tożsamość zarządzana jest wymagana, jeśli tabela zewnętrzna używa uwierzytelniania personifikacji lub jeśli zapytanie eksportu odwołuje się do tabel w innych bazach danych. Aby użyć tożsamości zarządzanej, dodaj identyfikator tożsamości zarządzanej w opcjonalnych parametrach podanych w poleceniu create-or-alter . Aby zapoznać się z przewodnikiem krok po kroku, zobacz Uwierzytelnianie przy użyciu tożsamości zarządzanej na potrzeby eksportu ciągłego.

• Pozyskiwanie natywne usługi Event Hubs: użyj tożsamości zarządzanej z natywnym pozyskiwaniem centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Pozyskiwanie danych z centrum zdarzeń do usługi Azure Data Explorer.

• Wtyczka języka Python: użyj tożsamości zarządzanej do uwierzytelniania na kontach magazynu zewnętrznych artefaktów używanych w wtyczki języka Python. Należy pamiętać, że SandboxArtifacts użycie musi być zdefiniowane w zasadach tożsamości zarządzanej na poziomie klastra. Aby uzyskać więcej informacji, zobacz Wtyczka języka Python.

• Pozyskiwanie oparte na zestawie SDK: podczas kolejkowania obiektów blob do pozyskiwania z własnych kont magazynu można użyć tożsamości zarządzanych jako alternatywy dla tokenów sygnatury dostępu współdzielonego i metod uwierzytelniania kluczy udostępnionych. Aby uzyskać więcej informacji, zobacz Kolejki obiektów blob do pozyskiwania przy użyciu uwierzytelniania tożsamości zarządzanej.

• Pozyskiwanie z magazynu: pozyskiwanie danych z plików znajdujących się w magazynach w chmurze do tabeli docelowej przy użyciu uwierzytelniania tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz Pozyskiwanie z magazynu.

• Wtyczki żądań SQL: użyj tożsamości zarządzanej do uwierzytelniania w zewnętrznej bazie danych podczas korzystania z wtyczek sql_request lub cosmosdb_request .

Powiązana zawartość

• Konfigurowanie tożsamości zarządzanych dla klastra
• Uwierzytelnianie tabel zewnętrznych przy użyciu tożsamości zarządzanych
• Przykłady użycia parametry połączenia magazynu dla tożsamości zarządzanej