Политика управляемого удостоверения
Область применения: ✅Azure Data Explorer
ManagedIdentity — это политика, которая управляет управляемыми удостоверениями, которые можно использовать для каких целей. Например, можно настроить политику, которая позволяет использовать определенное управляемое удостоверение для доступа к учетной записи хранения в целях приема.
Эта политика может быть включена на уровне кластера и базы данных. Политика является аддитивной, что означает, что для каждой операции, которая включает управляемое удостоверение, операция будет разрешена, если использование разрешено на уровне кластера или базы данных.
Разрешения
Для создания или изменения политики управляемого удостоверения требуются разрешения AllDatabasesAdmin .
Объект политики ManagedIdentity
С кластером или базой данных может быть связано ноль или несколько объектов политики ManagedIdentity. Каждый объект политики ManagedIdentity имеет следующие определяемые пользователем свойства: DisplayName и AllowedUsages. Другие свойства автоматически заполняются из управляемого удостоверения, связанного с указанным ObjectId , и отображаются для удобства.
В следующей таблице описываются свойства объекта политики ManagedIdentity:
| Свойство | Тип | Обязательно | Описание |
|---|---|---|---|
| ObjectId | string |
✔️ | Фактический идентификатор объекта управляемого удостоверения или зарезервированного ключевого слова system для ссылки на системное управляемое удостоверение кластера, в котором выполняется команда. |
| ClientId | string |
Нет данных | Идентификатор клиента управляемого удостоверения. |
| TenantId | string |
Нет данных | Идентификатор клиента управляемого удостоверения. |
| DisplayName | string |
Нет данных | Отображаемое имя управляемого удостоверения. |
| IsSystem | bool |
Нет данных | Логическое значение, указывающее значение true, если удостоверение является системным управляемым удостоверением; Значение false, если в противном случае. |
| AllowedUsages | string |
✔️ | Список разрешенных значений использования для управляемого удостоверения, разделенных запятыми. См . сведения об использовании управляемых удостоверений. |
Ниже приведен пример объекта политики ManagedIdentity:
{
"ObjectId": "<objectID>",
"ClientId": "<clientID>",
"TenantId": "<tenantID",
"DisplayName": "myManagedIdentity",
"IsSystem": false,
"AllowedUsages": "NativeIngestion, ExternalTable"
}
Использование управляемых удостоверений
Следующие значения указывают проверку подлинности usage для использования настроенного управляемого удостоверения:
| значение | Описание |
|---|---|
All |
Разрешены все текущие и будущие использования. |
AutomatedFlows |
Запустите автоматический поток непрерывного экспорта или обновления политики от имени управляемого удостоверения. |
DataConnection |
Проверка подлинности в подключениях к данным к концентратору событий или сетке событий. |
ExternalTable |
Проверка подлинности во внешних таблицах с помощью строка подключения, настроенных с помощью управляемого удостоверения. |
NativeIngestion |
Проверка подлинности в пакете SDK для приема из внешнего источника. |
SandboxArtifacts |
Проверка подлинности во внешних артефактах, на которые ссылается изолированный подключаемый модуль (например, Python) с управляемым удостоверением. Это использование необходимо определить в политике управляемого удостоверения на уровне кластера. |
SqlRequest |
Проверка подлинности во внешней базе данных с помощью подключаемого модуля sql_request или cosmosdb_request с помощью управляемого удостоверения. |