Použití spravovaných identit pro přístup ke službě Azure Cosmos DB z úlohy Azure Stream Analytics
Azure Stream Analytics podporuje ověřování spravovaných identit pro výstup služby Azure Cosmos DB. Spravované identity eliminují omezení metod ověřování na základě uživatelů, jako je potřeba znovu ověřit kvůli změnám hesla nebo vypršení platnosti tokenů uživatele, ke kterým dochází každých 90 dnů. Když odeberete nutnost ručního ověření, nasazení Stream Analytics je možné plně automatizovat.
Spravovaná identita je spravovaná aplikace zaregistrovaná v Microsoft Entra ID, která představuje danou úlohu Stream Analytics. Spravovaná aplikace se používá k ověření v cílovém prostředku. Další informace o spravovaných identitách pro Azure Stream Analytics najdete v tématu Spravované identity pro Azure Stream Analytics.
Tento článek ukazuje, jak povolit spravovanou identitu přiřazenou systémem pro výstup úlohy Stream Analytics ve službě Azure Cosmos DB prostřednictvím webu Azure Portal. Abyste mohli povolit spravovanou identitu přiřazenou systémem, musíte mít nejprve úlohu Stream Analytics a prostředek Azure Cosmos DB.
Vytvoření spravované identity
Nejprve vytvoříte spravovanou identitu pro úlohu Azure Stream Analytics.
Na webu Azure Portal otevřete úlohu Azure Stream Analytics.
V levé navigační nabídce vyberte spravovanou identitu umístěnou v části Konfigurovat. Potom zaškrtněte políčko vedle možnosti Použít spravovanou identitu přiřazenou systémem a vyberte Uložit.
Instanční objekt pro identitu úlohy Stream Analytics se vytvoří v Microsoft Entra ID. Životní cyklus nově vytvořené identity spravuje Azure. Když se úloha Stream Analytics odstraní, azure automaticky odstraní přidruženou identitu (tj. instanční objekt).
Při uložení konfigurace se ID objektu (OID) instančního objektu zobrazí jako ID objektu zabezpečení, jak je znázorněno níže:
Instanční objekt má stejný název jako úloha Stream Analytics. Pokud je
MyASAJobnapříklad název vaší úlohy , název instančního objektu je takéMyASAJob.
Udělení oprávnění úlohy Stream Analytics pro přístup k účtu služby Azure Cosmos DB
Aby úloha Stream Analytics měla přístup ke službě Azure Cosmos DB pomocí spravované identity, musí mít vytvořený instanční objekt speciální oprávnění k vašemu účtu služby Azure Cosmos DB. V tomto kroku můžete přiřadit roli spravované identitě přiřazené systémem přiřazené vaší úloze Stream Analytics. Azure Cosmos DB má několik předdefinovaných rolí, které můžete přiřadit ke spravované identitě. Pro toto řešení použijete následující roli:
| Předdefinovaná role |
|---|
| Integrovaný přispěvatel dat ve službě Cosmos DB |
Důležité
Integrovanou řízení přístupu na základě role (RBAC) v rovině dat Azure Cosmos DB se na webu Azure Portal nezpřístupní. Pokud chcete přiřadit předdefinované role Přispěvatel dat služby Cosmos DB, musíte udělit oprávnění prostřednictvím Azure PowerShellu. Další informace o řízení přístupu na základě role pomocí Microsoft Entra ID účtu služby Azure Cosmos DB najdete v tématu Konfigurace řízení přístupu na základě role pomocí Microsoft Entra ID pro váš účet služby Azure Cosmos DB.
Pomocí následujícího příkazu můžete ověřit úlohu ASA ve službě Azure Cosmos DB. $resourceGroupName Jedná se o $accountName účet služby Azure Cosmos DB a jedná se $principalId o hodnotu získanou v předchozím kroku na kartě Identita vaší úlohy ASA. Abyste mohli tento příkaz správně fungovat, musíte mít ke svému účtu služby Azure Cosmos DB přístup přispěvatele.
New-AzCosmosDBSqlRoleAssignment -AccountName $accountName -ResourceGroupName $resourceGroupName -RoleDefinitionId '00000000-0000-0000-0000-000000000002' -Scope "/" -PrincipalId $principalId
Poznámka:
Kvůli globální replikaci nebo latenci ukládání do mezipaměti může dojít ke zpoždění při odvolání nebo udělení oprávnění. Změny by se měly projevit do 10 minut. I když testovací připojení může na začátku projít, úlohy můžou selhat, když se spustí, než se oprávnění plně rozšíří.
Důležité
Pokud účet CosmosDB není nakonfigurovaný tak, aby přijímal připojení ze všech sítí, musíte vybrat Možnost Přijmout připojení z veřejných datacenter Azure.
Přidání služby Azure Cosmos DB jako výstupu
Teď, když je vaše spravovaná identita nakonfigurovaná, jste připraveni přidat prostředek Azure Cosmos DB jako výstup do úlohy Stream Analytics.
Přejděte do úlohy Stream Analytics a přejděte na stránku Výstupy v části Topologie úlohy.
Vyberte Přidat > službu Azure Cosmos DB. V okně vlastností výstupu vyhledejte a vyberte účet služby Azure Cosmos DB a vyberte spravovanou identitu: Systém přiřazený z rozevírací nabídky Režim ověřování.
Vyplňte zbývající vlastnosti a vyberte Uložit.