使用受控識別從 Azure 串流分析作業存取事件中樞
串流分析可同時支援 Azure 事件中樞輸入及輸出的受控識別驗證。 受控識別消除了以使用者為基礎的驗證方法限制,例如因密碼變更或使用者權杖每 90 天到期一次,而須重新驗證。 當您移除手動驗證的需求時,您的串流分析部署可以完全自動化。
受控識別是在 Microsoft Entra ID 中註冊的受控應用程式,代表了指定的串流分析作業。 受控應用程式用於驗證目標資源,包含防火牆或虛擬網路 (VNet) 後方的事件中樞。 如需了解如何略過防火牆的詳細資訊,請參閱允許透過私人端點來存取 Azure 事件中樞命名空間。
本文說明如何透過 Azure 入口網站,為串流分析作業的事件中樞輸出或輸出啟用受控識別。 您必須先有串流分析作業和事件中樞資源,才能啟用受控識別。
建立受控識別
首先,您會建立 Azure 串流分析作業的受控識別。
在 Azure 入口網站中,開啟您的 Azure 串流分析作業。
從左側導覽功能表中,選取位於 [設定] 之下的 [受控識別]。 然後,核取 [使用系統指派的受控識別] 旁的方塊,然後選取 [儲存]。
Microsoft Entra ID 中已建立串流分析作業的識別服務主體。 Azure 會管理新建立的身分識別生命週期。 當串流分析作業刪除時,Azure 會自動刪除已與其建立關聯的身分識別 (亦即服務主體)。
當您儲存組態時,服務主體的物件識別碼 (OID) 會列為主體識別碼,如下所示:
服務主體與串流分析作業的名稱相同。 例如,如果作業的名稱是
MyASAJob,則服務主體的名稱也會是MyASAJob。
授與存取事件中樞的串流分析作業權限
若要讓串流分析作業使用受控識別存取事件中樞,您所建立的服務主體必須具有事件中樞資源的特殊權限。
選取 [存取控制 (IAM)]。
選取 [新增] > [新增角色指派],開啟 [新增角色指派] 頁面。
指派下列角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
注意
授與任何資源的存取權時,您應該提供需要程度最低的存取權。 根據是否將事件中樞設定為輸入或輸出,您可能不需要指派 Azure 事件中樞資料擁有者角色,該角色會授與事件中樞資源所需的更多存取權。 如需詳細資訊,請參閱使用 Microsoft Entra ID 驗證應用程式以存取事件中樞資源
| 設定 | 值 |
|---|---|
| 角色 | Azure 事件中樞資料擁有者 |
| 存取權指派對象 | 使用者、群組或服務主體 |
| 成員 | <為您的串流分析工作命名> |
您也可在事件中樞命名空間層級授與此角色,讓權限自然傳播至其下建立的所有事件中樞。 也就是說,命名空間下的所有事件中樞皆可作為串流分析作業中的受控識別驗證資源。
注意
由於全域複寫或快取延遲,在撤銷或授與權限時可能會有延遲。 變更應該會在 8 分鐘內反映。
建立事件中樞輸入或輸出
您的受控識別現已設定,事件中樞資源便可作為輸入或輸出,新增至串流分析作業。
新增事件中樞作為輸入
前往您的串流分析作業,並瀏覽至 [作業拓撲] 下的 [輸入] 頁面。
選取 [新增串流輸入] > [事件中樞]。 在輸入屬性視窗中,搜尋並選取您的事件中樞,接著從 [驗證模式] 下拉式功能表選取 [受控識別]。
填寫其餘的屬性,然後選取 [儲存]。
將事件中樞新增為輸出
前往您的串流分析作業,然後瀏覽至 [作業拓撲] 下的 [輸出] 頁面。
選取 [新增]>[事件中樞]。 在輸出屬性視窗中,搜尋並選取您的事件中樞,接著從 [驗證模式] 下拉式功能表選取 [受控識別]。
填寫其餘的屬性,然後選取 [儲存]。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應