Azure Veri Gezgini kümeniz için yönetilen kimlikleri yapılandırma

Microsoft Entra kimliğinden yönetilen kimlik, kümenizin Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklara erişmesini sağlar. Kimlik Azure platformu tarafından yönetilir ve herhangi bir gizli dizi sağlamanızı veya düzenli olarak değiştirmenizi gerektirmez.

Bu makalede, kümenize yönetilen kimliklerin nasıl ekleneceği ve kaldırılacağı gösterilmektedir. Yönetilen kimlikler hakkında daha fazla bilgi için bkz. Yönetilen kimliklere genel bakış.

Not

Azure Veri Gezgini kümeniz abonelikler veya kiracılar arasında geçirilirse Azure Veri Gezgini için yönetilen kimlikler beklendiği gibi davranmaz. Uygulamanın, sistem tarafından atanan bir kimliği kaldırıp sistem tarafından atanan bir kimlik ekleyerek yapılabilmesi için yeni bir kimlik alması gerekir. Aşağı akış kaynaklarının erişim ilkelerinin de yeni kimliği kullanacak şekilde güncelleştirilmiş olması gerekir.

Önceki SDK sürümlerini temel alan kod örnekleri için arşivlenmiş makaleye bakın.

Yönetilen kimlik türleri

Azure Veri Gezgini kümenize iki tür kimlik verilebilir:

• Sistem tarafından atanan kimlik: Kümenize bağlıdır ve kaynağınız silinirse silinir. Kümede yalnızca bir sistem tarafından atanan kimlik bulunabilir.

• Kullanıcı tarafından atanan kimlik: Kümenize atanabilen tek başına bir Azure kaynağı. Bir kümenin kullanıcı tarafından atanan birden çok kimliği olabilir.

Sistem tarafından atanan kimlik ekleme

Kümenize bağlı ve kümeniz silinirse silinen, sistem tarafından atanan bir kimlik atayın. Kümede yalnızca bir sistem tarafından atanan kimlik bulunabilir. Sistem tarafından atanan kimlikle küme oluşturmak için kümede ek bir özellik ayarlanması gerekir. Aşağıda ayrıntılı olarak açıklandığı gibi Azure portal, C# veya Resource Manager şablonunu kullanarak sistem tarafından atanan kimliği ekleyin.

Azure portalı

Azure portal kullanarak sistem tarafından atanan kimlik ekleme

Azure Portal’ında oturum açın.

Yeni Azure Veri Gezgini kümesi

1. Azure Veri Gezgini kümesi oluşturma

2. Güvenlik sekmesinde >Sistem tarafından atanan kimlik'iseçin. Sistem tarafından atanan kimliği kaldırmak için Kapalı'yı seçin.

3. Kümeyi oluşturmak için İleri : Etiketler > veya Gözden geçir + oluştur'u seçin.

   

Mevcut Azure Veri Gezgini kümesi

1. Mevcut bir Azure Veri Gezgini kümesini açın.

2. Portalın sol bölmesinde Ayarlar>Kimliği'ni seçin.

3. Kimlik bölmesinde >Sistem tarafından atanan sekmesi:

   1. Durum kaydırıcısını Açık konumuna getirin.
   2. Kaydet’i seçin
   3. Açılır pencerede Evet'i seçin

   

4. Birkaç dakika sonra ekranda şu gösterilir:

   • Nesne Kimliği - Müşteri tarafından yönetilen anahtarlar için kullanılır
   • İzinler - İlgili rol atamalarını seçin

   

C#

C kullanarak sistem tarafından atanan kimlik ekleme#

Önkoşullar

Azure Veri Gezgini C# istemcisini kullanarak yönetilen kimlik ayarlamak için:

• Azure Veri Gezgini NuGet paketini yükleyin.
• Kimlik doğrulaması için Azure.Identity NuGet paketini yükleyin.
• Kaynaklara erişebilen bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturun. Abonelik kapsamına rol ataması ekler ve gerekli Directory (tenant) ID, Application IDve Client Secret'yi alırsınız.

Kümenizi oluşturma veya güncelleştirme

1. Özelliğini kullanarak kümenizi oluşturun veya güncelleştirin Identity :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Kümenizin başarıyla oluşturulup oluşturulmadığını veya bir kimlikle güncelleştirilip güncelleştirilmediğini denetlemek için aşağıdaki komutu çalıştırın:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Sonuç değeriyle birlikte Succeeded içeriyorsaProvisioningState, küme oluşturulmuş veya güncelleştirilmiş ve aşağıdaki özelliklere sahip olmalıdır:

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId ve TenantId GUID'lerle değiştirilir. özelliği, TenantId kimliğin ait olduğu Microsoft Entra kiracısını tanımlar. PrincipalId, kümenin yeni kimliği için benzersiz bir tanımlayıcıdır. Microsoft Entra kimliği içinde hizmet sorumlusu, App Service veya Azure İşlevleri örneğine verdiğiniz adla aynı ada sahiptir.

Resource Manager şablonu

Azure Resource Manager şablonu kullanarak sistem tarafından atanan kimlik ekleme

Azure Resource Manager şablonu, Azure kaynaklarınızın dağıtımını otomatikleştirmek için kullanılabilir. Azure Veri Gezgini dağıtma hakkında daha fazla bilgi edinmek için bkz. Azure Resource Manager şablonu kullanarak Azure Veri Gezgini kümesi ve veritabanı oluşturma.

Sistem tarafından atanan türü eklemek, Azure'a kümeniz için kimlik oluşturmasını ve yönetmesini bildirir. Türdeki Microsoft.Kusto/clusters herhangi bir kaynak, kaynak tanımına aşağıdaki özellik eklenerek bir kimlikle oluşturulabilir:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Örnek:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

Not

Kümede aynı anda hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimlikler bulunabilir. type Özelliği şu şekilde olacaktır:SystemAssigned,UserAssigned

Küme oluşturulduğunda aşağıdaki ek özelliklere sahiptir:

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> ve <PRINCIPALID> GUID'lerle değiştirilir. özelliği, TenantId kimliğin ait olduğu Microsoft Entra kiracısını tanımlar. PrincipalId, kümenin yeni kimliği için benzersiz bir tanımlayıcıdır. Microsoft Entra kimliği içinde hizmet sorumlusu, App Service veya Azure İşlevleri örneğine verdiğiniz adla aynı ada sahiptir.

Sistem tarafından atanan kimliği kaldırma

Sistem tarafından atanan kimliğin kaldırılması, kimliği Microsoft Entra kimliğinden de siler. Küme kaynağı silindiğinde sistem tarafından atanan kimlikler de Microsoft Entra kimliğinden otomatik olarak kaldırılır. Sistem tarafından atanan kimlik, özelliği devre dışı bırakılarak kaldırılabilir. Aşağıda ayrıntıları verilen Azure portal, C# veya Resource Manager şablonunu kullanarak sistem tarafından atanan kimliği kaldırın.

Azure portalı

Azure portal kullanarak sistem tarafından atanan kimliği kaldırma

1. Azure Portal’ında oturum açın.

2. Portalın sol bölmesinde Ayarlar>Kimliği'ni seçin.

3. Kimlik bölmesinde >Sistem tarafından atanan sekmesi:

   1. Durum kaydırıcısını Kapalı konumuna getirin.
   2. Kaydet’i seçin
   3. Sistem tarafından atanan kimliği devre dışı bırakmak için açılır pencerede Evet'i seçin. Kimlik bölmesi, sistem tarafından atanan kimliğin eklenmesinden öncekiyle aynı koşula geri döner.

   

C#

C kullanarak sistem tarafından atanan kimliği kaldırma#

Sistem tarafından atanan kimliği kaldırmak için aşağıdakileri çalıştırın:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

Resource Manager şablonu

Azure Resource Manager şablonu kullanarak sistem tarafından atanan kimliği kaldırma

Sistem tarafından atanan kimliği kaldırmak için aşağıdakileri çalıştırın:

{
   "identity": {
      "type": "None"
   }
}

Not

Kümede aynı anda hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimlikler varsa, sistem tarafından atanan kimlik kaldırma işleminden type sonra özellik UserAssigned

Kullanıcı tarafından atanan kimlik ekleme

Kümenize kullanıcı tarafından atanan bir yönetilen kimlik atayın. Bir kümenin kullanıcı tarafından atanan birden fazla kimliği olabilir. Kullanıcı tarafından atanan kimlikle küme oluşturma, kümede ek bir özelliğin ayarlanmasını gerektirir. Aşağıda ayrıntılı olarak açıklandığı gibi Azure portal, C# veya Resource Manager şablonunu kullanarak kullanıcı tarafından atanan kimliği ekleyin.

Azure portalı

Azure portal kullanarak kullanıcı tarafından atanan kimlik ekleme

1. Azure Portal’ında oturum açın.

2. Kullanıcı tarafından atanan bir yönetilen kimlik kaynağı oluşturun.

3. Mevcut bir Azure Veri Gezgini kümesini açın.

4. Portalın sol bölmesinde Ayarlar>Kimliği'ni seçin.

5. Kullanıcı tarafından atanan sekmesinde Ekle'yi seçin.

6. Daha önce oluşturduğunuz kimliği arayın ve seçin. Add (Ekle) seçeneğini belirleyin.

   

C#

C kullanarak kullanıcı tarafından atanan kimlik ekleme#

Önkoşullar

Azure Veri Gezgini C# istemcisini kullanarak yönetilen kimlik ayarlamak için:

• Azure Veri Gezgini NuGet paketini yükleyin.
• Kimlik doğrulaması için Azure.Identity NuGet paketini yükleyin.
• Kaynaklara erişebilen bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturun. Abonelik kapsamına rol ataması ekler ve gerekli Directory (tenant) ID, Application IDve Client Secretalırsınız.

Kümenizi oluşturma veya güncelleştirme

1. özelliğini kullanarak kümenizi oluşturun veya güncelleştirin Identity :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Kümenizin başarıyla oluşturulup oluşturulmadığını veya bir kimlikle güncelleştirilip güncelleştirilmediğini denetlemek için aşağıdaki komutu çalıştırın:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Sonuç değeriyle birlikte Succeeded içeriyorsaProvisioningState, küme oluşturulmuş veya güncelleştirilmiş ve aşağıdaki özelliklere sahip olmalıdır:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   PrincipalId, Microsoft Entra yönetimi için kullanılan kimliğin benzersiz tanımlayıcısıdır. ClientId, uygulamanın çalışma zamanı çağrıları sırasında hangi kimliğin kullanılacağını belirtmek için kullanılan yeni kimliği için benzersiz bir tanımlayıcıdır.

Resource Manager şablonu

Azure Resource Manager şablonu kullanarak kullanıcı tarafından atanan kimlik ekleme

Azure Resource Manager şablonu, Azure kaynaklarınızın dağıtımını otomatikleştirmek için kullanılabilir. Azure Veri Gezgini dağıtma hakkında daha fazla bilgi edinmek için bkz. Azure Resource Manager şablonu kullanarak Azure Veri Gezgini kümesi ve veritabanı oluşturma.

Kaynak tanımına aşağıdaki özellik eklenerek, yerine istenen kimliğin kaynak kimliği eklenerek kullanıcı <RESOURCEID> tarafından atanan bir kimlikle türdeki Microsoft.Kusto/clusters herhangi bir kaynak oluşturulabilir:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Örnek:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Küme oluşturulduğunda aşağıdaki ek özelliklere sahiptir:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId, Microsoft Entra yönetimi için kullanılan kimliğin benzersiz tanımlayıcısıdır. ClientId, uygulamanın çalışma zamanı çağrıları sırasında hangi kimliğin kullanılacağını belirtmek için kullanılan yeni kimliği için benzersiz bir tanımlayıcıdır.

Not

Kümede aynı anda hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimlikler bulunabilir. Bu durumda özelliği type olacaktır SystemAssigned,UserAssigned.

Kullanıcı tarafından atanan yönetilen kimliği kümeden kaldırma

Aşağıda ayrıntılı olarak açıklandığı gibi Azure portal, C# veya Resource Manager şablonunu kullanarak kullanıcı tarafından atanan kimliği kaldırın.

Azure portalı

Azure portal kullanarak kullanıcı tarafından atanan yönetilen kimliği kaldırma

1. Azure Portal’ında oturum açın.

2. Portalın sol bölmesinde Ayarlar>Kimliği'ni seçin.

3. Kullanıcı tarafından atanan sekmesini seçin.

4. Daha önce oluşturduğunuz kimliği arayın ve seçin. Kaldır’ı seçin.

   

5. Kullanıcı tarafından atanan kimliği kaldırmak için açılır pencerede Evet'i seçin. Kimlik bölmesi, kullanıcı tarafından atanan kimliğin eklenmesinden öncekiyle aynı koşula geri döner.

C#

C kullanarak kullanıcı tarafından atanan kimliği kaldırma#

Kullanıcı tarafından atanan kimliği kaldırmak için aşağıdakileri çalıştırın:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

Resource Manager şablonu

Azure Resource Manager şablonu kullanarak kullanıcı tarafından atanan kimliği kaldırma

Kullanıcı tarafından atanan kimliği kaldırmak için aşağıdakileri çalıştırın:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Not

• Kimlikleri kaldırmak için değerlerini null olarak ayarlayın. Diğer tüm mevcut kimlikler etkilenmez.
• Kullanıcı tarafından atanan tüm kimlikleri type kaldırmak için özelliği olur None.
• Kümede aynı anda hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimlikler varsa, type özellik kaldırılacak veya SystemAssigned kullanıcı tarafından atanan tüm kimliklerin kaldırılacağı kimliklerle birlikte olurSystemAssigned,UserAssigned.

İlgili içerik

• Azure'da Azure Veri Gezgini kümelerinin güvenliğini sağlama
• Bekleyen şifrelemeyi etkinleştirerek Disk Şifrelemesi kullanarak kümenizin güvenliğini sağlayın.
• C kullanarak müşteri tarafından yönetilen anahtarları yapılandırma#
• Azure Resource Manager şablonunu kullanarak müşteri tarafından yönetilen anahtarları yapılandırma