Omówienie tożsamości zarządzanych

  • Artykuł

Tożsamość zarządzana z identyfikatora Microsoft Entra umożliwia klastrowi dostęp do innych Microsoft Entra chronionych zasobów, takich jak usługa Azure Storage. Tożsamość jest zarządzana przez platformę Azure i nie wymaga inicjowana obsługi ani rotacji żadnych wpisów tajnych.

Typy tożsamości zarządzanych

Klaster usługi Azure Data Explorer może mieć dwa typy tożsamości:

  • Tożsamość przypisana przez system: powiązana z klastrem i usunięta, jeśli zasób zostanie usunięty. Klaster może mieć tylko jedną tożsamość przypisaną przez system.

  • Tożsamość przypisana przez użytkownika: autonomiczny zasób platformy Azure, który można przypisać do klastra. Klaster może mieć wiele tożsamości przypisanych przez użytkownika.

Uwierzytelnianie przy użyciu tożsamości zarządzanych

Zasoby z jedną dzierżawą Microsoft Entra mogą używać tylko tożsamości zarządzanych do komunikowania się z zasobami w tej samej dzierżawie. To ograniczenie ogranicza korzystanie z tożsamości zarządzanych w niektórych scenariuszach uwierzytelniania. Na przykład nie można użyć tożsamości zarządzanej usługi Azure Data Explorer w celu uzyskania dostępu do centrum zdarzeń znajdującego się w innej dzierżawie. W takich przypadkach należy użyć uwierzytelniania opartego na kluczu konta.

Usługa Azure Data Explorer obsługuje wiele dzierżaw, co oznacza, że można udzielić dostępu do tożsamości zarządzanych z różnych dzierżaw. Aby to osiągnąć, przypisz odpowiednie role zabezpieczeń. Podczas przypisywania ról należy odwołać się do tożsamości zarządzanej zgodnie z opisem w temacie Odwołania do podmiotów zabezpieczeń.

Aby uwierzytelnić się przy użyciu tożsamości zarządzanych, wykonaj następujące kroki:

  1. Konfigurowanie tożsamości zarządzanej dla klastra
  2. Konfigurowanie zasad tożsamości zarządzanej
  3. Używanie tożsamości zarządzanej w obsługiwanych przepływach pracy

Konfigurowanie tożsamości zarządzanej dla klastra

Klaster musi mieć uprawnienia do działania w imieniu danej tożsamości zarządzanej. To przypisanie można przydzielić zarówno dla tożsamości zarządzanych przypisanych przez system, jak i przypisanych przez użytkownika. Aby uzyskać instrukcje, zobacz Konfigurowanie tożsamości zarządzanych dla klastra usługi Azure Data Explorer.

Konfigurowanie zasad tożsamości zarządzanej

Aby użyć tożsamości zarządzanej, należy skonfigurować zasady tożsamości zarządzanej, aby zezwolić na tę tożsamość. Aby uzyskać instrukcje, zobacz Zasady tożsamości zarządzanej.

Polecenia zarządzania zasadami tożsamości zarządzanej to:

Używanie tożsamości zarządzanej w obsługiwanych przepływach pracy

Po przypisaniu tożsamości zarządzanej do klastra i skonfigurowaniu odpowiedniego użycia zasad tożsamości zarządzanej możesz rozpocząć korzystanie z uwierzytelniania tożsamości zarządzanej w następujących przepływach pracy:

  • Tabele zewnętrzne: utwórz tabelę zewnętrzną z uwierzytelnianiem tożsamości zarządzanej. Uwierzytelnianie jest określone w ramach parametry połączenia. Aby zapoznać się z przykładami, zobacz parametry połączenia magazynu. Aby uzyskać instrukcje dotyczące używania tabel zewnętrznych z uwierzytelnianiem tożsamości zarządzanej, zobacz Uwierzytelnianie tabel zewnętrznych przy użyciu tożsamości zarządzanych.

  • Eksport ciągły: uruchom eksport ciągły w imieniu tożsamości zarządzanej. Tożsamość zarządzana jest wymagana, jeśli tabela zewnętrzna używa uwierzytelniania personifikacji lub jeśli zapytanie eksportu odwołuje się do tabel w innych bazach danych. Aby użyć tożsamości zarządzanej, dodaj identyfikator tożsamości zarządzanej w parametrach opcjonalnych podanych w poleceniu create-or-alter . Aby zapoznać się z przewodnikiem krok po kroku, zobacz Uwierzytelnianie przy użyciu tożsamości zarządzanej na potrzeby eksportu ciągłego.

  • Pozyskiwanie natywne usługi Event Hubs: użyj tożsamości zarządzanej z natywnym pozyskiwaniem centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Pozyskiwanie danych z centrum zdarzeń do usługi Azure Data Explorer.

  • Wtyczka języka Python: użyj tożsamości zarządzanej do uwierzytelniania na kontach magazynu artefaktów zewnętrznych używanych w wtyczki języka Python. Należy pamiętać, że SandboxArtifacts użycie musi być zdefiniowane w zasadach tożsamości zarządzanej na poziomie klastra. Aby uzyskać więcej informacji, zobacz Wtyczka języka Python.

  • Pozyskiwanie oparte na zestawie SDK: podczas kolejkowania obiektów blob do pozyskiwania z własnych kont magazynu można użyć tożsamości zarządzanych jako alternatywy dla tokenów sygnatury dostępu współdzielonego (SAS) i metod uwierzytelniania kluczy udostępnionych. Aby uzyskać więcej informacji, zobacz Kolejki obiektów blob na potrzeby pozyskiwania przy użyciu uwierzytelniania tożsamości zarządzanej.

  • Pozyskiwanie z magazynu: pozyskiwanie danych z plików znajdujących się w magazynach w chmurze do tabeli docelowej przy użyciu uwierzytelniania tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz Pozyskiwanie z magazynu.

Zawartość pokrewna