Povolení příkazů a dotazů napříč tenanty

Objekty zabezpečení z více tenantů můžou spouštět dotazy a příkazy v jednom clusteru Azure Data Exploreru. V tomto článku se dozvíte, jak udělit clusteru přístup k objektům zabezpečení z jiného tenanta.

Pokud chcete nastavit cluster trustedExternalTenants , použijte šablony ARM, AZ CLI, PowerShell, Azure Resource Explorer nebo odešlete požadavek rozhraní API.

Následující příklady ukazují, jak definovat důvěryhodné tenanty na portálu a s požadavkem rozhraní API.

Poznámka:

Objekt zabezpečení, který bude spouštět dotazy nebo příkazy, musí mít také příslušnou roli databáze. Viz také řízení přístupu na základě role. Ověření správných rolí probíhá po ověření důvěryhodných externích tenantů.

Azure Portal

1. Na webu Azure Portal přejděte na stránku clusteru Azure Data Exploreru.

2. V nabídce vlevo v části Nastavení vyberte Zabezpečení.

3. Definujte požadovaná oprávnění tenantů.

Rozhraní API

Syntaxe

Povolit konkrétní tenanty

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Povolit všechny tenanty

Pole trustedExternalTenants podporuje také hvězdu všech tenantů (*), která umožňuje dotazy a příkazy ze všech tenantů.

trustedExternalTenants: [ { "value": "*" }]

Poznámka:

Výchozí hodnota pro trustedExternalTenants všechny tenanty: [ { "value": "*" }]. Pokud pole externích tenantů nebylo definováno při vytváření clusteru, můžete ho přepsat operací aktualizace clusteru. Prázdné pole znamená, že k ověření v tomto clusteru mají povoleno pouze identity tenanta clusterů.

Přečtěte si další informace o konvencích syntaxe.

Příklady

Následující příklad umožňuje konkrétním tenantům spouštět dotazy v clusteru:

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

Následující příklad umožňuje všem tenantům spouštět dotazy v clusteru:

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Aktualizace clusteru

Aktualizujte cluster pomocí následující operace:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Přidání objektů zabezpečení

Po aktualizaci trustedExternalTenants vlastnosti můžete udělit přístup k objektům zabezpečení ze schválených tenantů. Pomocí webu Azure Portal můžete udělit oprávnění na úrovni hlavního clusteru nebo oprávnění k databázi. Pokud chcete také udělit přístup k databázi, tabulce, funkci nebo materializované úrovni zobrazení, použijte příkazy pro správu.

Omezení

Konfigurace této funkce se týká výhradně identit Microsoft Entra (Users, Applications, Groups), které se pokoušejí připojit k Azure Data Exploreru. Nemá žádný vliv na příjem dat mezi Microsoft Entra.