受控識別概觀
來自 Microsoft Entra識別碼的受控識別可讓您的叢集存取其他 Microsoft Entra 受保護的資源,例如 Azure 記憶體。 身分識別由 Azure 平台負責管理,因此您不需要佈建或輪替任何密碼。
受控識別的類型
您的 Azure Data Explorer 叢集可以授與兩種類型的身分識別:
系統指派的身分識別:系結至您的叢集,並在資源遭到刪除時刪除。 叢集只能有一個系統指派的身分識別。
使用者指派的身分識別:可指派給叢集的獨立 Azure 資源。 叢集可以有多個使用者指派的身分識別。
使用受控識別進行驗證
單一租使用者 Microsoft Entra 資源只能使用受控識別來與相同租使用者中的資源通訊。 這項限制會限制在特定驗證案例中使用受控識別。 例如,您無法使用 Azure Data Explorer 受控識別來存取位於不同租使用者的事件中樞。 在這種情況下,請使用帳戶密鑰型驗證。
Azure Data Explorer 具有多租使用者功能,這表示您可以授與來自不同租使用者的受控識別存取權。 若要達成此目的,請指派相關的 安全性角色。 指派角色時,請參閱 參考安全性主體中所述的受控識別。
若要使用受控識別進行驗證,請遵循下列步驟:
設定叢集的受控識別
您的叢集需要代表指定受控識別採取行動的許可權。 您可以針對系統指派和使用者指派的受控識別來指定此指派。 如需指示,請參閱設定 Azure Data Explorer 叢集的受控識別。
設定受控識別原則
若要使用受控識別,您必須設定受控識別原則以允許此身分識別。 如需指示,請參閱 受控識別原則。
受控識別原則管理命令如下:
- .alter 原則managed_identity
- .alter-merge 原則managed_identity
- .delete 原則managed_identity
- .show 原則managed_identity
在支援的工作流程中使用受控識別
將受控識別指派給叢集並設定相關的受控識別原則使用方式之後,您可以在下列工作流程中開始使用受控識別驗證:
外部數據表:建立具有受控識別驗證的外部數據表。 驗證會陳述為 連接字串的一部分。 如需範例,請參閱記憶體 連接字串。 如需搭配受控識別驗證使用外部數據表的指示,請參閱 使用受控識別驗證外部數據表。
連續匯出:代表受控識別執行連續導出。 如果外部數據表使用模擬驗證,或匯出查詢參考其他資料庫中的數據表,則需要受控識別。 若要使用受控識別,請在命令中指定的
create-or-alter選擇性參數中新增受控識別標識碼。 如需逐步指南,請參閱 使用受控識別進行持續匯出。事件中樞原生擷取:使用受控識別搭配事件中樞原生擷取。 如需詳細資訊,請參閱將數據從事件中樞內嵌至 Azure Data Explorer。
Python 外掛程式:使用受控識別向 Python 外掛程式中使用的外部成品記憶體帳戶進行驗證。 請注意,必須在
SandboxArtifacts叢集層級受控識別原則上定義使用量。 如需詳細資訊,請參閱 Python 外掛程式。SDK 型擷取:將 Blob 排入佇列以從您自己的記憶體帳戶擷取時,您可以使用受控識別作為共用存取簽章的替代方案, (SAS) 令牌和共用密鑰驗證方法。 如需詳細資訊,請參閱 使用受控識別驗證來擷取的佇列 Blob。
從記憶體擷取:使用受控識別驗證,從位於雲端記憶體的檔案擷取數據到目標數據表。 如需詳細資訊,請參閱 從記憶體擷取。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應