為您的 Azure 資料總管叢集設定受控識別

來自Microsoft Entra識別碼的受控識別可讓您的叢集存取其他Microsoft Entra受保護的資源,例如 Azure 金鑰保存庫。 身分識別由 Azure 平台負責管理,因此您不需要佈建或輪替任何密碼。

本文說明如何在叢集上新增和移除受控識別。 如需受控識別的詳細資訊,請參閱 受控識別概觀

注意

如果您的 Azure Data Explorer叢集跨訂用帳戶或租使用者移轉,Azure Data Explorer的受控識別將無法如預期般運作。 應用程式必須取得新的身分識別,其可藉由 移除系統指派 的身分識別,然後 新增系統指派的身分識別來完成。 下游資源的存取原則也需要更新,才能使用新的身分識別。

如需以舊版 SDK 為基礎的程式碼範例,請參閱 封存文章

受控識別的類型

您的 Azure Data Explorer叢集可以授與兩種類型的身分識別:

  • 系統指派的身分識別:系結至您的叢集,並在資源遭到刪除時刪除。 叢集只能有一個系統指派的身分識別。

  • 使用者指派的身分識別:可指派給叢集的獨立 Azure 資源。 叢集可以有多個使用者指派的身分識別。

新增系統指派的身分識別

指派系結至叢集的系統指派身分識別,並在刪除叢集時刪除。 叢集只能有一個系統指派的身分識別。 使用系統指派的身分識別建立叢集,需要在叢集上設定額外的屬性。 使用 Azure 入口網站、C# 或 Resource Manager 範本新增系統指派的身分識別,如下所示。

使用 Azure 入口網站 新增系統指派的身分識別

登入 Azure 入口網站

新的 Azure Data Explorer叢集

  1. 建立 Azure Data Explorer叢集

  2. 在 [安全性] 索引標籤 > [系統指派的身分識別] 中,選取 [開啟]。 若要移除系統指派的身分識別,請選取 [ 關閉]。

  3. 選取[下一步:標記 >] 或 [檢閱 + 建立] 以建立叢集。

    將系統指派的身分識別新增至新的叢集。

現有的 Azure Data Explorer叢集

  1. 開啟現有的 Azure Data Explorer叢集。

  2. 選取入口網站左窗格中的 [設定>身分識別]。

  3. 在 [身分識別]窗格 > [系統指派]索引標籤中:

    1. [狀態] 滑杆移至 [ 開啟]。
    2. 選取 [儲存]
    3. 在快顯視窗中,選取 [是]

    新增系統指派的身分識別。

  4. 幾分鐘後,畫面會顯示:

    • 物件識別碼 - 用於客戶管理的金鑰
    • 許可權 - 選取相關的角色指派

    系統指派的身分識別。

移除系統指派的身分識別

移除系統指派的身分識別也會從Microsoft Entra識別碼中刪除。 刪除叢集資源時,系統指派的身分識別也會自動從Microsoft Entra識別碼中移除。 藉由停用此功能,即可移除系統指派的身分識別。 使用 Azure 入口網站、C# 或 Resource Manager 範本移除系統指派的身分識別,如下所示。

使用Azure 入口網站移除系統指派的身分識別

  1. 登入 Azure 入口網站

  2. 選取入口網站左窗格中的 [設定>身分識別]。

  3. 在 [身分識別]窗格 > [系統指派]索引標籤中:

    1. [狀態] 滑杆移至 [關閉]。
    2. 選取 [儲存]
    3. 在快顯視窗中,選取 [ ] 以停用系統指派的身分識別。 [ 身分識別] 窗格會還原為與新增系統指派身分識別之前相同的條件。

    系統指派的身分識別關閉。

新增使用者指派的身分識別

將使用者指派的受控識別指派給您的叢集。 叢集可以有多個使用者指派的身分識別。 若要建立具有使用者指派身分識別的叢集,則需要在叢集上設定額外的屬性。 使用 Azure 入口網站、C# 或 Resource Manager 範本新增使用者指派的身分識別,如下所示。

使用Azure 入口網站新增使用者指派的身分識別

  1. 登入 Azure 入口網站

  2. 建立使用者指派的受控識別資源

  3. 開啟現有的 Azure Data Explorer叢集。

  4. 選取入口網站左窗格中的 [設定>身分識別]。

  5. 在 [ 使用者指派] 索引 標籤中,選取 [ 新增]。

  6. 搜尋您之前建立的身分識別,並加以選取。 選取 [新增]。

    新增使用者指派的身分識別。

從叢集移除使用者指派的受控識別

使用 Azure 入口網站、C# 或 Resource Manager 範本移除使用者指派的身分識別,如下所示。

使用 Azure 入口網站 移除使用者指派的受控識別

  1. 登入 Azure 入口網站

  2. 選取入口網站左窗格中的 [設定>身分識別]。

  3. 選取 [使用者指派的] 索引標籤。

  4. 搜尋您之前建立的身分識別,並加以選取。 選取 [移除]。

    移除使用者指派的身分識別。

  5. 在快顯視窗中,選取 [ ] 以移除使用者指派的身分識別。 [ 身分識別] 窗格會還原為與新增使用者指派身分識別之前相同的條件。