Configurar identidades geridas para o cluster do Azure Data Explorer

Uma identidade gerida do ID de Microsoft Entra permite que o cluster aceda a outros recursos protegidos Microsoft Entra, como o Azure Key Vault. A identidade é gerida pela plataforma do Azure e não precisa que o utilizador aprovisione ou rode nenhuns segredos.

Este artigo mostra-lhe como adicionar e remover identidades geridas no cluster. Para obter mais informações sobre identidades geridas, veja Descrição geral das identidades geridas.

Nota

As identidades geridas do Azure Data Explorer não se comportarão como esperado se o cluster de Data Explorer do Azure for migrado entre subscrições ou inquilinos. A aplicação terá de obter uma nova identidade, o que pode ser feito ao remover uma identidade atribuída pelo sistema e, em seguida, adicionar uma identidade atribuída pelo sistema. As políticas de acesso de recursos a jusante também terão de ser atualizadas para utilizar a nova identidade.

Para obter exemplos de código com base em versões anteriores do SDK, veja o artigo arquivado.

Tipos de identidades geridas

O cluster do Azure Data Explorer pode receber dois tipos de identidades:

• Identidade atribuída pelo sistema: associada ao cluster e eliminada se o recurso for eliminado. Um cluster só pode ter uma identidade atribuída pelo sistema.

• Identidade atribuída pelo utilizador: um recurso autónomo do Azure que pode ser atribuído ao cluster. Um cluster pode ter múltiplas identidades atribuídas pelo utilizador.

Adicionar uma identidade atribuída pelo sistema

Atribua uma identidade atribuída pelo sistema que esteja associada ao cluster e que seja eliminada se o cluster for eliminado. Um cluster só pode ter uma identidade atribuída pelo sistema. A criação de um cluster com uma identidade atribuída pelo sistema requer que seja definida uma propriedade adicional no cluster. Adicione a identidade atribuída pelo sistema com o modelo portal do Azure, C#ou Resource Manager, conforme detalhado abaixo.

Portal do Azure

Adicionar uma identidade atribuída pelo sistema com o portal do Azure

Inicie sessão no portal do Azure.

Novo cluster do Azure Data Explorer

1. Criar um cluster do Azure Data Explorer

2. No separador >SegurançaIdentidade atribuída pelo sistema, selecione Ativado. Para remover a identidade atribuída pelo sistema, selecione Desativado.

3. Selecione Seguinte: Etiquetas > ou Rever + criar para criar o cluster.

   

Cluster de Data Explorer do Azure existente

1. Abra um cluster do Azure Data Explorer existente.

2. SelecioneIdentidade de Definições> no painel esquerdo do portal.

3. No painel Identidade>, separador Sistema atribuído:

   1. Mova o controlo de deslize Estado para Ativado.
   2. Selecione Guardar
   3. Na janela de pop-up, selecione Sim

   

4. Após alguns minutos, o ecrã mostra:

   • ID do Objeto – utilizado para chaves geridas pelo cliente
   • Permissões - Selecione atribuições de funções relevantes

   

C#

Adicionar uma identidade atribuída pelo sistema com C#

Pré-requisitos

Para configurar uma identidade gerida com o cliente Azure Data Explorer C#:

• Instale o pacote NuGet Data Explorer do Azure.
• Instale o pacote NuGet Azure.Identity para autenticação.
• Crie uma aplicação Microsoft Entra e um principal de serviço que possa aceder aos recursos. Adiciona a atribuição de função no âmbito da subscrição e obtém os necessários Directory (tenant) ID, Application IDe Client Secret.

Criar ou atualizar o cluster

1. Crie ou atualize o cluster com a Identity propriedade :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Execute o seguinte comando para verificar se o cluster foi criado ou atualizado com êxito com uma identidade:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Se o resultado contiver ProvisioningState o Succeeded valor, o cluster foi criado ou atualizado e deverá ter as seguintes propriedades:

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId e TenantId são substituídos por GUIDs. A TenantId propriedade identifica o Microsoft Entra inquilino ao qual pertence a identidade. O PrincipalId é um identificador exclusivo para a nova identidade do cluster. No Microsoft Entra ID, o principal de serviço tem o mesmo nome que deu à sua instância de Serviço de Aplicações ou Funções do Azure.

Modelo do Resource Manager

Adicionar uma identidade atribuída pelo sistema com um modelo de Resource Manager do Azure

Um modelo do Azure Resource Manager pode ser utilizado para automatizar a implementação dos seus recursos do Azure. Para saber mais sobre como implementar no Azure Data Explorer, veja Create an Azure Data Explorer cluster and database by using an Azure Resource Manager template (Criar um cluster e uma base de dados do Azure Data Explorer com um modelo do Azure Resource Manager).

Adicionar o tipo atribuído pelo sistema indica ao Azure para criar e gerir a identidade do cluster. Qualquer recurso do tipo Microsoft.Kusto/clusters pode ser criado com uma identidade ao incluir a seguinte propriedade na definição do recurso:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Por exemplo:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

Nota

Um cluster pode ter identidades atribuídas pelo sistema e atribuídas pelo utilizador ao mesmo tempo. A type propriedade seria SystemAssigned,UserAssigned

Quando o cluster é criado, tem as seguintes propriedades adicionais:

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> e <PRINCIPALID> são substituídos por GUIDs. A TenantId propriedade identifica o Microsoft Entra inquilino ao qual pertence a identidade. O PrincipalId é um identificador exclusivo para a nova identidade do cluster. No Microsoft Entra ID, o principal de serviço tem o mesmo nome que deu à sua instância de Serviço de Aplicações ou Funções do Azure.

Remover uma identidade atribuída pelo sistema

Remover uma identidade atribuída pelo sistema também irá eliminá-la do Microsoft Entra ID. As identidades atribuídas pelo sistema também são removidas automaticamente do ID de Microsoft Entra quando o recurso do cluster é eliminado. Uma identidade atribuída pelo sistema pode ser removida ao desativar a funcionalidade. Remova a identidade atribuída pelo sistema com o modelo portal do Azure, C#ou Resource Manager, conforme detalhado abaixo.

Portal do Azure

Remover uma identidade atribuída pelo sistema com o portal do Azure

1. Inicie sessão no portal do Azure.

2. SelecioneIdentidade de Definições> no painel esquerdo do portal.

3. No painel Identidade>, separador Sistema atribuído:

   1. Mova o controlo de deslize Estado para Desativado.
   2. Selecione Guardar
   3. Na janela de pop-up, selecione Sim para desativar a identidade atribuída pelo sistema. O painel Identidade reverte para a mesma condição que antes da adição da identidade atribuída pelo sistema.

   

C#

Remover uma identidade atribuída pelo sistema com C#

Execute o seguinte para remover a identidade atribuída pelo sistema:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

Modelo do Resource Manager

Remover uma identidade atribuída pelo sistema com um modelo do Azure Resource Manager

Execute o seguinte para remover a identidade atribuída pelo sistema:

{
   "identity": {
      "type": "None"
   }
}

Nota

Se o cluster tiver identidades atribuídas pelo sistema e atribuídas pelo utilizador ao mesmo tempo, após a remoção da identidade atribuída pelo sistema, a type propriedade será UserAssigned

Adicionar uma identidade atribuída pelo utilizador

Atribua uma identidade gerida atribuída pelo utilizador ao cluster. Um cluster pode ter mais do que uma identidade atribuída pelo utilizador. A criação de um cluster com uma identidade atribuída pelo utilizador requer que seja definida uma propriedade adicional no cluster. Adicione a identidade atribuída pelo utilizador com o modelo portal do Azure, C#ou Resource Manager, conforme detalhado abaixo.

Portal do Azure

Adicionar uma identidade atribuída pelo utilizador com o portal do Azure

1. Inicie sessão no portal do Azure.

2. Crie um recurso de identidade gerida atribuído pelo utilizador.

3. Abra um cluster do Azure Data Explorer existente.

4. SelecioneIdentidade de Definições> no painel esquerdo do portal.

5. No separador Utilizador atribuído , selecione Adicionar.

6. Procure a identidade que criou anteriormente e selecione-a. Selecione Adicionar.

   

C#

Adicionar uma identidade atribuída pelo utilizador com C#

Pré-requisitos

Para configurar uma identidade gerida com o cliente Azure Data Explorer C#:

• Instale o pacote NuGet Data Explorer do Azure.
• Instale o pacote NuGet Azure.Identity para autenticação.
• Crie uma aplicação Microsoft Entra e um principal de serviço que possa aceder aos recursos. Adiciona a atribuição de função no âmbito da subscrição e obtém os necessários Directory (tenant) ID, Application IDe Client Secret.

Criar ou atualizar o cluster

1. Crie ou atualize o cluster com a Identity propriedade :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Execute o seguinte comando para verificar se o cluster foi criado ou atualizado com êxito com uma identidade:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Se o resultado contiver ProvisioningState o Succeeded valor, o cluster foi criado ou atualizado e deverá ter as seguintes propriedades:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   O PrincipalId é um identificador exclusivo para a identidade utilizada para Microsoft Entra administração. O ClientId é um identificador exclusivo para a nova identidade da aplicação que é utilizado para especificar a identidade a utilizar durante as chamadas de runtime.

Modelo do Resource Manager

Adicionar uma identidade atribuída pelo utilizador com um modelo de Resource Manager do Azure

Um modelo do Azure Resource Manager pode ser utilizado para automatizar a implementação dos seus recursos do Azure. Para saber mais sobre como implementar no Azure Data Explorer, veja Create an Azure Data Explorer cluster and database by using an Azure Resource Manager template (Criar um cluster e uma base de dados do Azure Data Explorer com um modelo do Azure Resource Manager).

Qualquer recurso do tipo Microsoft.Kusto/clusters pode ser criado com uma identidade atribuída pelo utilizador ao incluir a seguinte propriedade na definição do recurso, substituindo <RESOURCEID> pelo ID de recurso da identidade pretendida:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Por exemplo:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Quando o cluster é criado, tem as seguintes propriedades adicionais:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

O PrincipalId é um identificador exclusivo para a identidade utilizada para Microsoft Entra administração. O ClientId é um identificador exclusivo para a nova identidade da aplicação que é utilizado para especificar a identidade a utilizar durante as chamadas de runtime.

Nota

Um cluster pode ter identidades atribuídas pelo sistema e atribuídas pelo utilizador ao mesmo tempo. Neste caso, a type propriedade seria SystemAssigned,UserAssigned.

Remover uma identidade gerida atribuída pelo utilizador de um cluster

Remova a identidade atribuída pelo utilizador com o modelo portal do Azure, C#ou Resource Manager, conforme detalhado abaixo.

Portal do Azure

Remover uma identidade gerida atribuída pelo utilizador com o portal do Azure

1. Inicie sessão no portal do Azure.

2. SelecioneIdentidade de Definições> no painel esquerdo do portal.

3. Selecione o separador Utilizador atribuído .

4. Procure a identidade que criou anteriormente e selecione-a. Selecione Remover.

   

5. Na janela de pop-up, selecione Sim para remover a identidade atribuída pelo utilizador. O painel Identidade é revertido para a mesma condição que antes da adição da identidade atribuída pelo utilizador.

C#

Remover uma identidade atribuída pelo utilizador com C#

Execute o seguinte para remover a identidade atribuída pelo utilizador:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

Modelo do Resource Manager

Remover uma identidade atribuída pelo utilizador com um modelo do Azure Resource Manager

Execute o seguinte para remover a identidade atribuída pelo utilizador:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Nota

• Para remover identidades, defina os respetivos valores como nulos. Todas as outras identidades existentes não serão afetadas.
• Para remover todas as identidades atribuídas pelo utilizador, a type propriedade seria None,
• Se o cluster tivesse identidades atribuídas pelo sistema e atribuídas pelo utilizador ao mesmo tempo, a type propriedade estaria SystemAssigned,UserAssigned com as identidades a remover ou SystemAssigned a remover todas as identidades atribuídas pelo utilizador.

Conteúdo relacionado

• Proteger clusters do Azure Data Explorer no Azure
• Proteja o cluster com a Encriptação de Discos ao ativar a encriptação inativa.
• Configurar chaves geridas pelo cliente com C#
• Configurar chaves geridas pelo cliente com o modelo de Resource Manager do Azure