Usar identidades gerenciadas para acessar os Hubs de Eventos a partir de um trabalho do Azure Stream Analytics
O Azure Stream Analytics dá suporte à autenticação de Identidade Gerenciada para entrada e saída de Hubs de Eventos do Azure. As identidades gerenciadas eliminam as limitações dos métodos de autenticação baseados em usuário, como a necessidade de autenticar novamente por causa de alterações de senha ou expirações de token de usuário que ocorrem a cada 90 dias. Quando você remove a necessidade de autenticar manualmente, suas implantações do Stream Analytics podem ser totalmente automatizadas.
Uma identidade gerenciada é um aplicativo gerenciado registrado no Microsoft Entra ID que representa um determinado trabalho do Stream Analytics. O aplicativo gerenciado é usado para autenticar em um recurso de destino, incluindo hubs de eventos que estão atrás de um firewall ou rede virtual (VNet). Para obter mais informações sobre como ignorar firewalls, consulte Permitir acesso a namespaces de Hubs de Eventos do Azure por meio de pontos de extremidade privados.
Este artigo mostra como habilitar a Identidade Gerenciada para uma entrada ou saída do hub de eventos de um trabalho do Stream Analytics por meio do portal do Azure. Antes de habilitar a Identidade Gerenciada, você deve primeiro ter um trabalho do Stream Analytics e o recurso dos Hubs de Eventos.
Criar uma identidade gerenciada
Primeiro, você cria uma identidade gerenciada para seu trabalho do Azure Stream Analytics.
No portal do Azure, abra seu trabalho do Azure Stream Analytics.
No menu de navegação à esquerda, selecione Identidade Gerenciada localizada em Configurar. Em seguida, marque a caixa ao lado de Usar a Identidade Gerenciada atribuída ao sistema e selecione Salvar.
Uma entidade de serviço para a identidade de trabalho do Stream Analytics é criada no Microsoft Entra ID. O ciclo de vida da identidade que acaba de ser criada é gerenciado pelo Azure. Quando o trabalho do Stream Analytics é excluído, a identidade associada (ou seja, a entidade de serviço) é excluída automaticamente pelo Azure.
Ao salvar a configuração, a OID (ID do objeto) da entidade de serviço é listada como a ID da Entidade de Segurança conforme mostrado abaixo:
A entidade de serviço tem o mesmo nome que o trabalho do Stream Analytics. Por exemplo, se o nome do trabalho for
MyASAJob, o nome da entidade de serviço também seráMyASAJob.
Conceda permissões de trabalho para o Stream Analytics acessar os Hubs de Eventos
Para que o Stream Analytics acesse o hub de eventos usando a identidade gerenciada, a entidade de serviço que você criou deve ter permissões especiais para o hub de eventos.
Selecione IAM (Controle de acesso) .
Selecione Adicionar>Adicionar atribuição de função para abrir a página Adicionar atribuição de função.
Atribua a função a seguir. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Observação
Ao conceder acesso a qualquer recurso, você deve fornecer o acesso mínimo necessário. Dependendo se você estiver configurando os Hubs de Eventos como uma entrada ou saída, talvez não seja necessário atribuir a função proprietário de dados aos Hubs de Eventos do Azure, que concederia mais acesso do que o necessário ao recurso do Eventhub. Para mais informações, confira Autenticar um aplicativo com o Microsoft Entra ID para acessar recursos de Hubs de Eventos
| Configuração | Valor |
|---|---|
| Função | Proprietário de Dados de Hubs de Eventos do Azure |
| Atribuir acesso a | Usuário, grupo ou entidade de serviço |
| Membros | <Nome do trabalho do Stream Analytics> |
Você também pode conceder essa função no nível do Namespace dos Hubs de Eventos, o que naturalmente propagará as permissões para todos os hubs de eventos criados sob ela. Ou seja, todos os hubs de eventos em um Namespace podem ser usados como um recurso de autenticação de identidade gerenciada no trabalho do Stream Analytics.
Observação
Devido à replicação global ou à latência de cache, pode haver um atraso quando as permissões são revogadas ou concedidas. As alterações devem ser refletidas dentro de 8 minutos.
Criar uma entrada ou saída dos Hubs de Eventos
Agora que sua identidade gerenciada está configurada, você está pronto para adicionar o recurso do hub de eventos como uma entrada ou saída para o trabalho do Stream Analytics.
Adicionar os Hubs de Eventos como uma entrada
Vá para o trabalho do Stream Analytics e navegue até a página Entradas em Topologia do Trabalho.
Selecione Adicionar Entrada de Fluxo e Hub de Eventos. Na janela de propriedades de entrada, pesquise e selecione o hub de eventos e escolha Identidade Gerenciada no menu suspenso Modo de autenticação.
Preencha o restante das propriedades e selecione Salvar.
Adicionar os Hubs de Eventos como uma saída
Vá para o trabalho do Stream Analytics e navegue até a página Saídas em Topologia do Trabalho.
Selecione Adicionar > Hub de Eventos. Na janela de propriedades de entrada, pesquise e selecione o hub de eventos e escolha Identidade Gerenciada no menu suspenso Modo de autenticação.
Preencha o restante das propriedades e selecione Salvar.