Konfigurera hanterade identiteter för ditt Azure Data Explorer-kluster

Med en hanterad identitet från Azure Active Directory kan klustret enkelt komma åt andra Azure AD skyddade resurser, till exempel Azure Key Vault. Identiteten hanteras av Azure-plattformen och kräver inte att du etablerar eller roterar några hemligheter. Konfiguration av hanterad identitet stöds för närvarande endast för att aktivera kundhanterade nycklar för klustret.

En översikt över hanterade identiteter finns i Autentisera med hanterade identiteter i ditt Azure Data Explorer-kluster.

Ditt Azure Data Explorer-kluster kan beviljas två typer av identiteter:

• Systemtilldelad identitet: Knuten till klustret och borttagen om resursen tas bort. Ett kluster kan bara ha en systemtilldelad identitet.
• Användartilldelad identitet: Fristående Azure-resurs som kan tilldelas till klustret. Ett kluster kan ha flera användartilldelade identiteter.

Den här artikeln visar hur du lägger till och tar bort systemtilldelade och användartilldelade hanterade identiteter för Azure Data Explorer-kluster.

Anteckning

Hanterade identiteter för Azure Data Explorer fungerar inte som förväntat om ditt Azure Data Explorer-kluster migreras mellan prenumerationer eller klientorganisationer. Appen måste skaffa en ny identitet, vilket kan göras genom att inaktivera och återaktivera funktionen. Åtkomstprinciper för underordnade resurser måste också uppdateras för att använda den nya identiteten.

Lägga till en systemtilldelad identitet

Tilldela en systemtilldelad identitet som är kopplad till klustret och tas bort om klustret tas bort. Ett kluster kan bara ha en systemtilldelad identitet. Att skapa ett kluster med en systemtilldelad identitet kräver att ytterligare en egenskap anges i klustret. Lägg till den systemtilldelade identiteten med hjälp av mallen Azure Portal, C# eller Resource Manager enligt beskrivningen nedan.

Azure-portalen

Lägga till en systemtilldelad identitet med hjälp av Azure Portal

Logga in på Azure-portalen.

Nytt Azure Data Explorer-kluster

1. Skapa ett Azure Data Explorer-kluster

2. På fliken >SäkerhetSystemtilldelad identitet väljer du På. Om du vill ta bort den systemtilldelade identiteten väljer du Av.

3. Välj Nästa: Taggar > eller Granska + skapa för att skapa klustret.

   

Befintligt Azure Data Explorer-kluster

1. Öppna ett befintligt Azure Data Explorer-kluster.

2. Välj Inställningar>Identitet i den vänstra rutan i portalen.

3. I identitetsfönstret>Systemtilldelad flik:

   1. Flytta skjutreglaget Status till På.
   2. Välj Spara
   3. I popup-fönstret väljer du Ja

   

4. Efter några minuter visas följande på skärmen:

   • Objekt-ID – används för kundhanterade nycklar
   • Behörigheter – Välj relevanta rolltilldelningar

   

C#

Lägga till en systemtilldelad identitet med C #

Förutsättningar

Så här konfigurerar du en hanterad identitet med hjälp av Azure Data Explorer C#-klienten:

• Installera Azure Data Explorer NuGet-paketet.
• Installera NuGet-paketet Microsoft.Identity.Client för autentisering.
• Installera NuGet-paketet Microsoft.Rest.ClientRuntime för autentisering.
• Skapa ett Azure AD program och tjänstens huvudnamn som kan komma åt resurser. Du lägger till rolltilldelning i prenumerationsomfånget och får nödvändiga Directory (tenant) ID, Application IDoch Client Secret.

Skapa eller uppdatera klustret

1. Skapa eller uppdatera klustret med hjälp av Identity egenskapen :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Kör följande kommando för att kontrollera om klustret har skapats eller uppdaterats med en identitet:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Om resultatet innehåller ProvisioningState med Succeeded värdet skapades eller uppdaterades klustret och bör ha följande egenskaper:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId och TenantId ersätts med GUID. Egenskapen TenantId identifierar den Azure AD klientorganisation som identiteten tillhör. PrincipalId är en unik identifierare för klustrets nya identitet. I Azure AD har tjänstens huvudnamn samma namn som du gav till din App Service- eller Azure Functions-instans.

Resource Manager-mall

Lägga till en systemtilldelad identitet med hjälp av en Azure Resource Manager-mall

En Azure Resource Manager-mall kan användas för att automatisera distributionen av dina Azure-resurser. Mer information om hur du distribuerar till Azure Data Explorer finns i Skapa ett Azure Data Explorer-kluster och en databas med hjälp av en Azure Resource Manager-mall.

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för klustret. Alla resurser av typen Microsoft.Kusto/clusters kan skapas med en identitet genom att inkludera följande egenskap i resursdefinitionen:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Exempel:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Anteckning

Ett kluster kan ha både systemtilldelade och användartilldelade identiteter samtidigt. Egenskapen type skulle vara SystemAssigned,UserAssigned

När klustret skapas har det följande ytterligare egenskaper:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> och <PRINCIPALID> ersätts med GUID. Egenskapen TenantId identifierar den Azure AD klientorganisation som identiteten tillhör. PrincipalId är en unik identifierare för klustrets nya identitet. I Azure AD har tjänstens huvudnamn samma namn som du gav till din App Service- eller Azure Functions-instans.

Ta bort en systemtilldelad identitet

Om du tar bort en systemtilldelad identitet tas den också bort från Azure AD. Systemtilldelade identiteter tas också bort automatiskt från Azure AD när klusterresursen tas bort. Du kan ta bort en systemtilldelad identitet genom att inaktivera funktionen. Ta bort den systemtilldelade identiteten med hjälp av mallen Azure Portal, C# eller Resource Manager enligt beskrivningen nedan.

Azure-portalen

Ta bort en systemtilldelad identitet med hjälp av Azure Portal

1. Logga in på Azure-portalen.

2. Välj Inställningar>Identitet i den vänstra rutan i portalen.

3. I identitetsfönstret>Systemtilldelad flik:

   1. Flytta skjutreglaget Status till Av.
   2. Välj Spara
   3. I popup-fönstret väljer du Ja för att inaktivera den systemtilldelade identiteten. Identitetsfönstret återgår till samma villkor som innan den systemtilldelade identiteten läggs till.

   

C#

Ta bort en systemtilldelad identitet med C #

Kör följande för att ta bort den systemtilldelade identiteten:

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Resource Manager-mall

Ta bort en systemtilldelad identitet med hjälp av en Azure Resource Manager-mall

Kör följande för att ta bort den systemtilldelade identiteten:

{
   "identity": {
      "type": "None"
   }
}

Anteckning

Om klustret hade både systemtilldelade och användartilldelade identiteter samtidigt, efter borttagning av type systemtilldelade identiteter, kommer egenskapen att vara UserAssigned

Lägga till en användartilldelad identitet

Tilldela en användartilldelad hanterad identitet till klustret. Ett kluster kan ha mer än en användartilldelad identitet. Att skapa ett kluster med en användartilldelad identitet kräver att ytterligare en egenskap anges i klustret. Lägg till den användartilldelade identiteten med hjälp av mallen Azure Portal, C#eller Resource Manager enligt beskrivningen nedan.

Azure-portalen

Lägg till en användartilldelad identitet med hjälp av Azure Portal

1. Logga in på Azure-portalen.

2. Skapa en användartilldelad hanterad identitetsresurs.

3. Öppna ett befintligt Azure Data Explorer-kluster.

4. Välj Inställningar>Identitet i det vänstra fönstret i portalen.

5. På fliken Användartilldelade väljer du Lägg till.

6. Sök efter den identitet som du skapade tidigare och välj den. Välj Lägg till.

   

C#

Lägga till en användartilldelad identitet med C #

Förutsättningar

Så här konfigurerar du en hanterad identitet med hjälp av Azure Data Explorer C#-klienten:

• Installera Azure Data Explorer NuGet-paketet.
• Installera NuGet-paketet Microsoft.Identity.Client för autentisering.
• Installera NuGet-paketet Microsoft.Rest.ClientRuntime för autentisering.
• Skapa ett Azure AD program och tjänstens huvudnamn som kan komma åt resurser. Du lägger till rolltilldelning i prenumerationsomfånget och får nödvändiga Directory (tenant) ID, Application IDoch Client Secret.

Skapa eller uppdatera klustret

1. Skapa eller uppdatera klustret med hjälp av Identity egenskapen :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Kör följande kommando för att kontrollera om klustret har skapats eller uppdaterats med en identitet:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Om resultatet innehåller med Succeeded värdet skapades eller uppdaterades ProvisioningState klustret och bör ha följande egenskaper:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId är en unik identifierare för den identitet som används för Azure AD administration. ClientId är en unik identifierare för programmets nya identitet som används för att ange vilken identitet som ska användas under körningsanrop.

Resource Manager-mall

Lägga till en användartilldelad identitet med hjälp av en Azure Resource Manager-mall

En Azure Resource Manager-mall kan användas för att automatisera distributionen av dina Azure-resurser. Mer information om hur du distribuerar till Azure Data Explorer finns i Skapa ett Azure Data Explorer-kluster och en databas med hjälp av en Azure Resource Manager-mall.

Alla resurser av typen Microsoft.Kusto/clusters kan skapas med en användartilldelad identitet genom att inkludera följande egenskap i resursdefinitionen och ersätta <RESOURCEID> med resurs-ID:t för den önskade identiteten:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Exempel:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

När klustret skapas har det följande ytterligare egenskaper:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId är en unik identifierare för den identitet som används för Azure AD administration. ClientId är en unik identifierare för programmets nya identitet som används för att ange vilken identitet som ska användas under körningsanrop.

Anteckning

Ett kluster kan ha både systemtilldelade och användartilldelade identiteter samtidigt. I det här fallet skulle egenskapen type vara SystemAssigned,UserAssigned.

Ta bort en användartilldelad hanterad identitet från ett kluster

Ta bort den användartilldelade identiteten med hjälp av mallen Azure Portal, C#eller Resource Manager enligt beskrivningen nedan.

Azure-portalen

Ta bort en användartilldelad hanterad identitet med hjälp av Azure Portal

1. Logga in på Azure-portalen.

2. Välj Inställningar>Identitet i det vänstra fönstret i portalen.

3. Välj fliken Användartilldelade .

4. Sök efter den identitet som du skapade tidigare och välj den. Välj Ta bort.

   

5. I popup-fönstret väljer du Ja för att ta bort den användartilldelade identiteten. Identitetsfönstret återgår till samma villkor som innan den användartilldelade identiteten läggs till.

C#

Ta bort en användartilldelad identitet med C #

Kör följande för att ta bort den användartilldelade identiteten:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Resource Manager-mall

Ta bort en användartilldelad identitet med hjälp av en Azure Resource Manager-mall

Kör följande för att ta bort den användartilldelade identiteten:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Anteckning

• Om du vill ta bort identiteter anger du deras värden till null. Alla andra befintliga identiteter påverkas inte.
• Om du vill ta bort alla användartilldelade identiteter type skulle egenskapen vara None,
• Om klustret hade både systemtilldelade och användartilldelade identiteter samtidigt skulle type egenskapen vara SystemAssigned,UserAssigned med identiteterna att ta bort eller SystemAssigned ta bort alla användartilldelade identiteter.

Nästa steg

• Skydda Azure Data Explorer-kluster i Azure
• Skydda klustret med diskkryptering genom att aktivera kryptering i vila.
• Konfigurera kundhanterade nycklar med C #
• Konfigurera kundhanterade nycklar med hjälp av Azure Resource Manager-mallen