Přehled spravovaných identit

Spravovaná identita z Microsoft Entra ID umožňuje vašemu clusteru přistupovat k dalším prostředkům chráněným Microsoft Entra, jako je Azure Storage. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy.

Typy spravovaných identit

Cluster Azure Data Exploreru můžete udělit dva typy identit:

• Identita přiřazená systémem: Svázaná s clusterem a odstraněná, pokud je prostředek odstraněn. Cluster může mít pouze jednu identitu přiřazenou systémem.

• Identita přiřazená uživatelem: Samostatný prostředek Azure, který je možné přiřadit k vašemu clusteru. Cluster může mít více identit přiřazených uživatelem.

Ověřování pomocí spravovaných identit

Prostředky Microsoft Entra s jedním tenantem můžou používat pouze spravované identity ke komunikaci s prostředky ve stejném tenantovi. Toto omezení omezuje použití spravovaných identit v určitých scénářích ověřování. Nemůžete například použít spravovanou identitu Azure Data Exploreru pro přístup k centru událostí umístěnému v jiném tenantovi. V takových případech použijte ověřování založené na klíči účtu.

Azure Data Explorer je s podporou více tenantů, což znamená, že můžete udělit přístup ke spravovaným identitám z různých tenantů. K tomu přiřaďte příslušné role zabezpečení. Při přiřazování rolí se podívejte na spravovanou identitu, jak je popsáno v tématu Odkazování na objekty zabezpečení.

Pokud se chcete ověřit pomocí spravovaných identit, postupujte takto:

1. Konfigurace spravované identity pro cluster
2. Konfigurace zásad spravované identity
3. Použití spravované identity v podporovaných pracovních postupech

Konfigurace spravované identity pro cluster

Váš cluster potřebuje oprávnění jednat jménem dané spravované identity. Toto přiřazení je možné přidělit jak pro spravované identity přiřazené systémem, tak pro spravované identity přiřazené uživatelem. Pokyny najdete v tématu Konfigurace spravovaných identit pro cluster Azure Data Exploreru.

Konfigurace zásad spravované identity

Pokud chcete použít spravovanou identitu, musíte nakonfigurovat zásady spravované identity tak, aby umožňovaly tuto identitu. Pokyny najdete v tématu Zásady spravované identity.

Příkazy pro správu zásad spravované identity jsou:

• Managed_identity zásad .alter
• Managed_identity zásad .alter-merge
• Managed_identity zásad .delete
• .show policy managed_identity

Použití spravované identity v podporovaných pracovních postupech

Po přiřazení spravované identity ke clusteru a konfiguraci použití příslušných zásad spravované identity můžete začít používat ověřování spravovaných identit v následujících pracovních postupech:

• Externí tabulky: Vytvořte externí tabulku s ověřováním spravované identity. Ověřování je uvedeno jako součást připojovací řetězec. Příklady najdete v připojovací řetězec úložiště. Pokyny k používání externích tabulek s ověřováním spravované identity najdete v tématu Ověřování externích tabulek pomocí spravovaných identit.

• Průběžný export: Spuštění průběžného exportu jménem spravované identity Spravovaná identita se vyžaduje, pokud externí tabulka používá ověřování zosobnění nebo pokud export odkazuje na tabulky dotazů v jiných databázích. Pokud chcete použít spravovanou identitu, přidejte identifikátor spravované identity do volitelných parametrů uvedených v create-or-alter příkazu. Podrobný průvodce najdete v tématu Ověřování pomocí spravované identity pro průběžný export.

• Nativní příjem dat služby Event Hubs: Použijte spravovanou identitu s nativním příjmem dat centra událostí. Další informace najdete v tématu Ingestování dat z centra událostí do Azure Data Exploreru.

• Modul plug-in Pythonu: Použijte spravovanou identitu k ověření v účtech úložiště externích artefaktů, které se používají v modulu plug-in Python. Upozorňujeme, že SandboxArtifacts využití je potřeba definovat na úrovni clusteru na úrovni spravované identity. Další informace najdete v tématu Modul plug-in Pythonu.

• Příjem dat založený na sadě SDK: Při řazení objektů blob do fronty pro příjem dat z vlastních účtů úložiště můžete použít spravované identity jako alternativu k tokenům sdíleného přístupového podpisu (SAS) a metodám ověřování sdílených klíčů. Další informace najdete v tématu Objekty blob fronty pro příjem dat pomocí ověřování spravované identity.

• Ingestování z úložiště: Příjem dat ze souborů umístěných v cloudových úložištích do cílové tabulky pomocí ověřování spravovaných identit Další informace najdete v tématu Ingestování z úložiště.

• Moduly plug-in žádostí SQL: Použití spravované identity k ověření v externí databázi při použití modulů plug-in sql_request nebo cosmosdb_request .

Související obsah

• Konfigurace spravovaných identit pro cluster
• Ověřování externích tabulek pomocí spravovaných identit
• Příklady použití připojovací řetězec úložiště pro spravovanou identitu