受控識別概觀
來自 Microsoft Entra 識別碼的受控識別可讓您的叢集存取其他Microsoft Entra 受保護的資源,例如 Azure 儲存體。 身分識別由 Azure 平台負責管理,因此您不需要佈建或輪替任何密碼。
受控識別的類型
Azure 數據總管叢集可以授與兩種類型的身分識別:
系統指派的身分識別:系結至您的叢集,並在資源遭到刪除時刪除。 叢集只能有一個系統指派的身分識別。
使用者指派的身分識別:可指派給叢集的獨立 Azure 資源。 叢集可以有多個使用者指派的身分識別。
使用受控識別進行驗證
單一租使用者Microsoft Entra 資源只能使用受控識別來與相同租使用者中的資源通訊。 這項限制會限制在特定驗證案例中使用受控識別。 例如,您無法使用 Azure 數據總管受控識別來存取位於不同租使用者的事件中樞。 在這種情況下,請使用帳戶密鑰型驗證。
Azure 數據總管具有多租使用者功能,這表示您可以授與來自不同租使用者的受控識別存取權。 若要達成此目的,請指派相關的 安全性角色。 指派角色時,請參閱參考安全性主體中所述的受控識別。
若要使用受控識別進行驗證,請遵循下列步驟:
設定叢集的受控識別
您的叢集需要代表指定受控識別採取行動的許可權。 系統指派和使用者指派的受控識別都可以指定此指派。 如需指示,請參閱 設定 Azure 數據總管叢集的受控識別。
設定受控識別原則
若要使用受控識別,您必須設定受控識別原則以允許此身分識別。 如需指示,請參閱 受控識別原則。
受控識別原則管理命令如下:
- .alter policy managed_identity
- .alter-merge 原則managed_identity
- .delete 原則managed_identity
- .show 原則managed_identity
在支援的工作流程中使用受控識別
將受控識別指派給叢集並設定相關的受控識別原則使用方式之後,您可以在下列工作流程中開始使用受控識別驗證:
外部數據表:使用受控識別驗證建立外部數據表。 驗證會陳述為 連接字串的一部分。 如需範例,請參閱記憶體 連接字串。 如需搭配受控識別驗證使用外部數據表的指示,請參閱 使用受控識別驗證外部數據表。
連續匯出:代表受控識別執行連續導出。 如果外部數據表使用模擬驗證,或匯出查詢參考其他資料庫中的數據表,則需要受控識別。 若要使用受控識別,請在 命令中
create-or-alter提供的選擇性參數中新增受控識別標識符。 如需逐步指南,請參閱 使用受控識別進行持續匯出的驗證。事件中樞原生擷取:搭配事件中樞原生擷取使用受控識別。 如需詳細資訊,請參閱 將數據從事件中樞內嵌至 Azure 數據總管。
Python 外掛程式:使用受控識別向 Python 外掛程式中使用的外部成品記憶體帳戶進行驗證。 請注意,必須在
SandboxArtifacts叢集層級受控識別原則上定義使用量。 如需詳細資訊,請參閱 Python 外掛程式。以 SDK 為基礎的擷取:將 Blob 排入佇列以從您自己的記憶體帳戶擷取時,您可以使用受控識別作為共用存取簽章(SAS) 令牌和共用密鑰驗證方法的替代方式。 如需詳細資訊,請參閱 使用受控識別驗證來擷取的佇列 Blob。
從記憶體擷取:使用受控識別驗證,從位於雲端記憶體的檔案擷取數據到目標數據表。 如需詳細資訊,請參閱 從記憶體擷取。
Sql 要求外掛程式:使用sql_request或cosmosdb_request外掛程式時,使用受控識別向外部資料庫進行驗證。