共用方式為


為您的 Azure 資料總管叢集設定受控識別

Azure Active Directory 的受控識別可讓您的叢集輕鬆存取其他 Azure AD 保護的資源,例如 Azure Key Vault。 身分識別由 Azure 平台負責管理,因此您不需要佈建或輪替任何密碼。 目前僅支援受控識別設定,以 啟用叢集的客戶管理金鑰

如需受控識別的概觀,請參閱在 Azure Data Explorer 叢集中使用受控識別進行驗證

您的 Azure Data Explorer叢集可以授與兩種類型的身分識別:

  • 系統指派的身分識別:系結至您的叢集,並在資源遭到刪除時刪除。 叢集只能有一個系統指派的身分識別。
  • 使用者指派的身分識別:可指派給叢集的獨立 Azure 資源。 叢集可以有多個使用者指派的身分識別。

本文說明如何新增和移除 Azure Data Explorer 叢集的系統指派和使用者指派受控識別。

注意

如果您的 Azure Data Explorer叢集跨訂用帳戶或租使用者移轉,Azure Data Explorer的受控識別將無法如預期般運作。 應用程式必須取得新的身分識別,這可以藉由 停用重新啟用 功能來完成。 下游資源的存取原則也需要更新,才能使用新的身分識別。

新增系統指派的身分識別

指派系結至叢集的系統指派身分識別,並在刪除叢集時刪除。 叢集只能有一個系統指派的身分識別。 使用系統指派的身分識別建立叢集,需要在叢集上設定額外的屬性。 使用 Azure 入口網站、C# 或 Resource Manager 範本新增系統指派的身分識別,如下所示。

使用 Azure 入口網站 新增系統指派的身分識別

登入 Azure 入口網站

新的 Azure Data Explorer叢集

  1. 建立 Azure Data Explorer叢集

  2. 在 [安全性] 索引標籤 > [系統指派的身分識別] 中,選取 [開啟]。 若要移除系統指派的身分識別,請選取 [ 關閉]。

  3. 選取[下一步:標記 >] 或 [檢閱 + 建立] 以建立叢集。

    將系統指派的身分識別新增至新的叢集。

現有的 Azure Data Explorer叢集

  1. 開啟現有的 Azure Data Explorer叢集。

  2. 選取入口網站左窗格中的 [設定>身分識別]。

  3. 在 [身分識別]窗格 > [系統指派]索引標籤中:

    1. [狀態] 滑杆移至 [ 開啟]。
    2. 選取 [儲存]。
    3. 在快顯視窗中,選取 [是]

    新增系統指派的身分識別。

  4. 幾分鐘後,畫面會顯示:

    • 物件識別碼 - 用於客戶管理的金鑰
    • 許可權 - 選取相關的角色指派

    系統指派的身分識別。

移除系統指派的身分識別

移除系統指派的身分識別後,也會從 AAD 將其刪除。 刪除叢集資源時,系統指派的身分識別也會自動從 Azure AD 中移除。 藉由停用此功能,即可移除系統指派的身分識別。 使用 Azure 入口網站、C# 或 Resource Manager 範本移除系統指派的身分識別,如下所示。

使用Azure 入口網站移除系統指派的身分識別

  1. 登入 Azure 入口網站

  2. 選取入口網站左窗格中的 [設定>身分識別]。

  3. 在 [身分識別]窗格 > [系統指派]索引標籤中:

    1. [狀態] 滑杆移至 [關閉]。
    2. 選取 [儲存]。
    3. 在快顯視窗中,選取 [ ] 以停用系統指派的身分識別。 [ 身分識別] 窗格會還原為與新增系統指派身分識別之前相同的條件。

    系統指派的身分識別關閉。

新增使用者指派的身分識別

將使用者指派的受控識別指派給您的叢集。 叢集可以有多個使用者指派的身分識別。 若要建立具有使用者指派身分識別的叢集,則需要在叢集上設定額外的屬性。 使用 Azure 入口網站、C# 或 Resource Manager 範本新增使用者指派的身分識別,如下所示。

使用Azure 入口網站新增使用者指派的身分識別

  1. 登入 Azure 入口網站

  2. 建立使用者指派的受控識別資源

  3. 開啟現有的 Azure Data Explorer叢集。

  4. 選取入口網站左窗格中的 [設定>身分識別]。

  5. 在 [ 使用者指派] 索引 標籤中,選取 [ 新增]。

  6. 搜尋您之前建立的身分識別,並加以選取。 選取 [新增]。

    新增使用者指派的身分識別。

從叢集移除使用者指派的受控識別

使用 Azure 入口網站、C# 或 Resource Manager 範本移除使用者指派的身分識別,如下所示。

使用 Azure 入口網站 移除使用者指派的受控識別

  1. 登入 Azure 入口網站

  2. 選取入口網站左窗格中的 [設定>身分識別]。

  3. 選取 [使用者指派的] 索引標籤。

  4. 搜尋您之前建立的身分識別,並加以選取。 選取 [移除]。

    移除使用者指派的身分識別。

  5. 在快顯視窗中,選取 [ ] 以移除使用者指派的身分識別。 [ 身分識別] 窗格會還原為與新增使用者指派身分識別之前相同的條件。

下一步