為您的 Azure 資料總管叢集設定受控識別

Azure Active Directory 的受控識別可讓您的叢集輕鬆存取其他 Azure AD 保護的資源，例如 Azure Key Vault。 身分識別由 Azure 平台負責管理，因此您不需要佈建或輪替任何密碼。 目前僅支援受控識別設定，以 啟用叢集的客戶管理金鑰。

如需受控識別的概觀，請參閱在 Azure Data Explorer 叢集中使用受控識別進行驗證。

您的 Azure Data Explorer叢集可以授與兩種類型的身分識別：

• 系統指派的身分識別：系結至您的叢集，並在資源遭到刪除時刪除。 叢集只能有一個系統指派的身分識別。
• 使用者指派的身分識別：可指派給叢集的獨立 Azure 資源。 叢集可以有多個使用者指派的身分識別。

本文說明如何新增和移除 Azure Data Explorer 叢集的系統指派和使用者指派受控識別。

注意

如果您的 Azure Data Explorer叢集跨訂用帳戶或租使用者移轉，Azure Data Explorer的受控識別將無法如預期般運作。 應用程式必須取得新的身分識別，這可以藉由 停用 並 重新啟用 功能來完成。 下游資源的存取原則也需要更新，才能使用新的身分識別。

新增系統指派的身分識別

指派系結至叢集的系統指派身分識別，並在刪除叢集時刪除。 叢集只能有一個系統指派的身分識別。 使用系統指派的身分識別建立叢集，需要在叢集上設定額外的屬性。 使用 Azure 入口網站、C# 或 Resource Manager 範本新增系統指派的身分識別，如下所示。

Azure 入口網站

使用 Azure 入口網站 新增系統指派的身分識別

登入 Azure 入口網站。

新的 Azure Data Explorer叢集

1. 建立 Azure Data Explorer叢集

2. 在 [安全性] 索引標籤 > [系統指派的身分識別] 中，選取 [開啟]。 若要移除系統指派的身分識別，請選取 [ 關閉]。

3. 選取[下一步：標記 >] 或 [檢閱 + 建立] 以建立叢集。

   

現有的 Azure Data Explorer叢集

1. 開啟現有的 Azure Data Explorer叢集。

2. 選取入口網站左窗格中的 [設定>身分識別]。

3. 在 [身分識別]窗格 > [系統指派]索引標籤中：

   1. 將 [狀態] 滑杆移至 [ 開啟]。
   2. 選取 [儲存]。
   3. 在快顯視窗中，選取 [是]

   

4. 幾分鐘後，畫面會顯示：

   • 物件識別碼 - 用於客戶管理的金鑰
   • 許可權 - 選取相關的角色指派

   

C#

使用 C 新增系統指派的身分識別#

必要條件

若要使用 Azure Data Explorer C# 用戶端設定受控識別：

• 安裝Azure Data Explorer NuGet 套件。
• 安裝 Microsoft.Identity.Client NuGet 套件 以進行驗證。
• 安裝 Microsoft.Rest.ClientRuntime NuGet 套件 以進行驗證。
• 建立可存取資源的Azure AD 應用程式和服務主體。 您可以在訂用帳戶範圍新增角色指派，並取得必要的 Directory (tenant) ID 、 Application ID 和 Client Secret 。

建立或更新叢集

1. 使用 Identity 屬性建立或更新叢集：

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. 執行下列命令來檢查您的叢集是否已使用身分識別成功建立或更新：

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   如果結果包含 ProvisioningState 值 Succeeded ，則叢集已建立或更新，而且應該具有下列屬性：

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId 和 TenantId 會取代為 GUID。 屬性 TenantId 會識別身分識別所屬的 Azure AD 租使用者。 PrincipalId是叢集新身分識別的唯一識別碼。 在 Azure AD 內，服務主體的名稱與您提供給 App Service 或 Azure Functions 執行個體的名稱相同。

Resource Manager 範本

使用 Azure Resource Manager 範本新增系統指派的身分識別

您可以使用 Azure Resource Manager 範本來將 Azure 資源的部署自動化。 若要深入瞭解部署至 Azure Data Explorer，請參閱使用 Azure Resource Manager 範本建立 Azure Data Explorer 叢集和資料庫。

新增系統指派的類型會告訴 Azure 建立和管理叢集的身分識別。 對於所有 Microsoft.Kusto/clusters 型別的資源來說，您可以在資源定義中加入以下屬性，以建立採用身分識別的資源：

{
   "identity": {
      "type": "SystemAssigned"
   }
}

例如：

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

注意

叢集可以同時擁有系統指派和使用者指派的身分識別。 屬性 type 會是 SystemAssigned,UserAssigned

建立叢集時，其具有下列其他屬性：

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> 和 <PRINCIPALID> 會取代為 GUID。 屬性 TenantId 會識別身分識別所屬的 Azure AD 租使用者。 PrincipalId是叢集新身分識別的唯一識別碼。 在 Azure AD 內，服務主體的名稱與您提供給 App Service 或 Azure Functions 執行個體的名稱相同。

移除系統指派的身分識別

移除系統指派的身分識別後，也會從 AAD 將其刪除。 刪除叢集資源時，系統指派的身分識別也會自動從 Azure AD 中移除。 藉由停用此功能，即可移除系統指派的身分識別。 使用 Azure 入口網站、C# 或 Resource Manager 範本移除系統指派的身分識別，如下所示。

Azure 入口網站

使用Azure 入口網站移除系統指派的身分識別

1. 登入 Azure 入口網站。

2. 選取入口網站左窗格中的 [設定>身分識別]。

3. 在 [身分識別]窗格 > [系統指派]索引標籤中：

   1. 將 [狀態] 滑杆移至 [關閉]。
   2. 選取 [儲存]。
   3. 在快顯視窗中，選取 [ 是 ] 以停用系統指派的身分識別。 [ 身分識別] 窗格會還原為與新增系統指派身分識別之前相同的條件。

   

C#

使用 C 移除系統指派的身分識別#

執行下列命令以移除系統指派的身分識別：

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Resource Manager 範本

使用 Azure Resource Manager 範本移除系統指派的身分識別

執行下列命令以移除系統指派的身分識別：

{
   "identity": {
      "type": "None"
   }
}

注意

如果叢集同時擁有系統指派和使用者指派的身分識別，在移除系統指派的身分識別之後， type 屬性將會是 UserAssigned

新增使用者指派的身分識別

將使用者指派的受控識別指派給您的叢集。 叢集可以有多個使用者指派的身分識別。 若要建立具有使用者指派身分識別的叢集，則需要在叢集上設定額外的屬性。 使用 Azure 入口網站、C# 或 Resource Manager 範本新增使用者指派的身分識別，如下所示。

Azure 入口網站

使用Azure 入口網站新增使用者指派的身分識別

1. 登入 Azure 入口網站。

2. 建立使用者指派的受控識別資源。

3. 開啟現有的 Azure Data Explorer叢集。

4. 選取入口網站左窗格中的 [設定>身分識別]。

5. 在 [ 使用者指派] 索引 標籤中，選取 [ 新增]。

6. 搜尋您之前建立的身分識別，並加以選取。 選取 [新增]。

   

C#

使用 C 新增使用者指派的身分識別#

必要條件

若要使用 Azure Data Explorer C# 用戶端設定受控識別：

• 安裝Azure Data Explorer NuGet 套件。
• 安裝 Microsoft.Identity.Client NuGet 套件 以進行驗證。
• 安裝 Microsoft.Rest.ClientRuntime NuGet 套件 以進行驗證。
• 建立可存取資源的Azure AD 應用程式和服務主體。 您可以在訂用帳戶範圍新增角色指派，並取得必要的 Directory (tenant) ID 、 Application ID 和 Client Secret 。

建立或更新叢集

1. 使用 Identity 屬性建立或更新叢集：

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. 執行下列命令來檢查您的叢集是否已使用身分識別成功建立或更新：

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   如果結果包含 ProvisioningState 值 Succeeded ，則叢集已建立或更新，而且應該具有下列屬性：

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   對於 Azure AD 管理所用的身分識別，PrincipalId 是唯一識別碼。 ClientId是應用程式新身分識別的唯一識別碼，用來指定要在執行時間呼叫期間使用的身分識別。

Resource Manager 範本

使用 Azure Resource Manager 範本新增使用者指派的身分識別

您可以使用 Azure Resource Manager 範本來將 Azure 資源的部署自動化。 若要深入瞭解部署至 Azure Data Explorer，請參閱使用 Azure Resource Manager 範本建立 Azure Data Explorer 叢集和資料庫。

任何類型的 Microsoft.Kusto/clusters 資源都可以使用使用者指派的身分識別來建立，方法是在資源定義中包含下列屬性，並將 取代 <RESOURCEID> 為所需身分識別的資源識別碼：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

例如：

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

建立叢集時，其具有下列其他屬性：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

對於 Azure AD 管理所用的身分識別，PrincipalId 是唯一識別碼。 ClientId是應用程式新身分識別的唯一識別碼，用來指定要在執行時間呼叫期間使用的身分識別。

注意

叢集可以同時擁有系統指派和使用者指派的身分識別。 在此情況下，type 屬性將會是 SystemAssigned,UserAssigned。

從叢集移除使用者指派的受控識別

使用 Azure 入口網站、C# 或 Resource Manager 範本移除使用者指派的身分識別，如下所示。

Azure 入口網站

使用 Azure 入口網站 移除使用者指派的受控識別

1. 登入 Azure 入口網站。

2. 選取入口網站左窗格中的 [設定>身分識別]。

3. 選取 [使用者指派的] 索引標籤。

4. 搜尋您之前建立的身分識別，並加以選取。 選取 [移除]。

   

5. 在快顯視窗中，選取 [ 是 ] 以移除使用者指派的身分識別。 [ 身分識別] 窗格會還原為與新增使用者指派身分識別之前相同的條件。

C#

使用 C 移除使用者指派的身分識別#

執行下列命令以移除使用者指派的身分識別：

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Resource Manager 範本

使用 Azure Resource Manager 範本移除使用者指派的身分識別

執行下列命令以移除使用者指派的身分識別：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

注意

• 若要移除身分識別，請將其值設定為 null。 所有其他現有的身分識別都不會受到影響。
• 若要移除所有使用者指派的身分識別， type 屬性會是 None 、
• 如果叢集同時具有系統指派和使用者指派的身分識別， type 則 屬性會 SystemAssigned,UserAssigned 具有要移除的身分識別，或 SystemAssigned 移除所有使用者指派的身分識別。

下一步

• 保護 Azure 中的 Azure Data Explorer叢集
• 使用磁片加密來保護叢集 ，方法是啟用待用加密。
• 使用 C 設定客戶管理的金鑰#
• 使用 Azure Resource Manager 範本設定客戶管理的金鑰