Visão geral de identidades gerenciadas
Uma identidade gerenciada de Microsoft Entra ID permite que o cluster acesse outros recursos protegidos Microsoft Entra, como o Armazenamento do Azure. A identidade é gerenciada pela plataforma do Azure e não exige provisionamento nem alternância de segredo.
Tipos de identidades gerenciadas
Seu cluster do Azure Data Explorer cluster pode ser concedido a dois tipos de identidades:
Identidade atribuída pelo sistema: vinculada ao cluster e excluída se o recurso for excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema.
Uma Identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu aplicativo. Um aplicativo pode ter várias identidades atribuídas pelo usuário.
Autenticar com identidades gerenciadas
Recursos de Microsoft Entra de locatário único só podem usar identidades gerenciadas para se comunicar com recursos no mesmo locatário. Essa limitação restringe o uso de identidades gerenciadas em determinados cenários de autenticação. Por exemplo, você não pode usar uma identidade gerenciada do Azure Data Explorer para acessar um hub de eventos localizado em um locatário diferente. Nesses casos, use a autenticação baseada em chave de conta.
O Data Explorer do Azure é compatível com vários locatários, o que significa que você pode conceder acesso a identidades gerenciadas de locatários diferentes. Para fazer isso, atribua as funções de segurança relevantes. Ao atribuir as funções, consulte a identidade gerenciada, conforme descrito em Referenciando entidades de segurança.
Para autenticar com identidades gerenciadas, siga estas etapas:
- Configurar uma identidade gerenciada para o cluster
- Configurar a política de identidade gerenciada
- Usar identidade gerenciada em fluxos de trabalho com suporte
Configurar uma identidade gerenciada para o cluster
O cluster precisa de permissões para agir em nome da identidade gerenciada fornecida. Essa atribuição pode ser fornecida para identidades gerenciadas atribuídas pelo sistema e pelo usuário. Para obter instruções, confira Configurar identidades gerenciadas para o cluster do Azure Data Explorer.
Configurar a política de identidade gerenciada
Para usar a identidade gerenciada, você precisa configurar a política de identidade gerenciada para permitir essa identidade. Para obter instruções, confira Política de identidade gerenciada.
Os comandos de gerenciamento de política de identidade gerenciada são:
- .alter policy managed_identity
- .alter-merge policy managed_identity
- .delete policy managed_identity
- .show policy managed_identity
Usar a identidade gerenciada em fluxos de trabalho com suporte
Depois de atribuir a identidade gerenciada ao cluster e configurar o uso relevante da política de identidade gerenciada, você pode começar a usar a autenticação de identidade gerenciada nos seguintes fluxos de trabalho:
Tabelas externas: crie uma tabela externa com autenticação de identidade gerenciada. A autenticação é declarada como parte da cadeia de conexão. Para obter exemplos, consulte cadeia de conexão de armazenamento. Para obter instruções sobre como usar tabelas externas com autenticação de identidade gerenciada, consulte Autenticar tabelas externas com identidades gerenciadas.
Exportação contínua: execute uma exportação contínua em nome de uma identidade gerenciada. Uma identidade gerenciada será necessária se a tabela externa usar a autenticação de representação ou se a consulta de exportação fizer referência a tabelas em outros bancos de dados. Para usar uma identidade gerenciada, adicione o identificador de identidade gerenciada nos parâmetros opcionais dados no
create-or-altercomando . Para obter um guia passo a passo, consulte Autenticar com identidade gerenciada para exportação contínua.Ingestão nativa de Hubs de Eventos: use uma identidade gerenciada com ingestão nativa do hub de eventos. Para obter mais informações, confira Ingerir dados de um hub de eventos no Azure Data Explorer.
Plug-in do Python: use uma identidade gerenciada para fazer a autenticação em contas de armazenamento de artefatos externos que são usados no plug-in do Python. Observe que o
SandboxArtifactsuso precisa ser definido na política de identidade gerenciada no nível do cluster. Para obter mais informações, confira Plug-in do Python.Ingestão baseada em SDK: ao enfileirar blobs para ingestão de suas próprias contas de armazenamento, você pode usar identidades gerenciadas como uma alternativa aos tokens SAS (assinatura de acesso compartilhado) e aos métodos de autenticação de Chaves Compartilhadas. Para obter mais informações, confira Enfileirar os blogs para ingestão usando a autenticação de identidade gerenciada.
Ingestão do armazenamento: ingerir dados de arquivos localizados em armazenamentos em nuvem em uma tabela de destino usando a autenticação de identidade gerenciada. Para obter mais informações, consulte Ingestão do armazenamento.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de