Použití spravované identity ke spuštění úlohy průběžného exportu

Platí pro: ✅Azure Data Explorer

Úloha průběžného exportu exportuje data do externí tabulky s pravidelně spouštěným dotazem.

Úloha průběžného exportu by měla být nakonfigurovaná s spravovanou identitou v následujících scénářích:

• Když externí tabulka používá ověřování zosobnění
• Když dotaz odkazuje na tabulky v jiných databázích
• Když dotaz odkazuje na tabulky s povolenou zásad zabezpečení na úrovni řádků

Úloha průběžného exportu nakonfigurovaná se spravovanou identitou se provádí jménem spravované identity.

V tomto článku se dozvíte, jak pomocí této identity nakonfigurovat spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem a vytvořit úlohu průběžného exportu.

Požadavky

• Cluster a databáze. Vytvoření clusteru a databáze.
• oprávnění správce všech databází k databázi.

Konfigurace spravované identity

Existují dva typy spravovaných identit:

• systémově přiřazené: Identita přiřazená systémem je připojená k vašemu clusteru a po odebrání clusteru se odebere. Pro každý cluster je povolená pouze jedna identita přiřazená systémem.

• uživatelem přiřazené: Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure. Ke clusteru je možné přiřadit více identit přiřazených uživatelem.

Vyberte jednu z následujících karet a nastavte upřednostňovaný typ spravované identity.

uživatelem přiřazené

1. Postupujte podle pokynů k Přidání identity přiřazené uživatelem.

2. Na webu Azure Portal v levé nabídce prostředku spravované identity vyberte Vlastnosti. Zkopírujte a uložte ID tenanta a id objektu zabezpečení, které můžete použít v následujících krocích.

   

3. Spusťte následující příkaz zásad .alter-merge managed_identity a nahraďte <objectId> ID objektu spravované identity z předchozího kroku. Tento příkaz nastaví zásadu spravované identity v clusteru, která umožňuje použití spravované identity s průběžným exportem.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "<objectId>",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Poznámka

   Pokud chcete nastavit zásady pro konkrétní databázi, použijte místo clusterdatabase <DatabaseName> .

4. Spuštěním následujícího příkazu udělte spravované identitě Prohlížeč databáze oprávnění ke všem databázím používaným pro průběžný export, jako je například databáze, která obsahuje externí tabulku.

   .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
   

   Nahraďte příslušnou databází, ID objektu zabezpečení z kroku 2 a ID tenanta Microsoft Entra ID z kroku 2.

systémově přiřazené

1. Postupujte podle pokynů k Přidání identity přiřazené systémem.

2. Zkopírujte a uložte ID objektu (principal) pro použití v pozdějším kroku.

3. Spusťte následující příkaz zásad .alter-merge managed_identity. Tento příkaz nastaví zásadu spravované identity v clusteru, která umožňuje použití spravované identity s průběžným exportem.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "system",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Poznámka

   Pokud chcete nastavit zásady pro konkrétní databázi, použijte místo clusterdatabase <DatabaseName> .

4. Spuštěním následujícího příkazu udělte spravované identitě Prohlížeč databáze oprávnění ke všem databázím používaným pro průběžný export, jako je například databáze, která obsahuje externí tabulku.

   .add database <DatabaseName> viewers ('aadapp=<objectId>')
   

   Nahraďte <DatabaseName> příslušnou databází a <objectId> id spravované identity objektu (objektu zabezpečení) z kroku 2.

Nastavení externí tabulky

Externí tabulky odkazují na data umístěná ve službě Azure Storage, jako je Azure Blob Storage, Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2 nebo SQL Server.

Vyberte jednu z následujících karet a nastavte externí tabulku Azure Storage nebo SQL Serveru.

azure Storage

1. Vytvořte připojovací řetězec založený na šablonách připojovacích řetězců úložiště . Tento řetězec označuje prostředek pro přístup a jeho ověřovací informace. U toků průběžného exportu doporučujeme ověřování zosobnění.

2. Spuštěním příkazu .create nebo .alter externí tabulky vytvořte tabulku. Jako argument storageConnectionStr ing použijte připojovací řetězec z předchozího kroku.

   Následující příkaz například vytvoří MyExternalTable, který odkazuje na data ve formátu CSV v mycontainermystorageaccount ve službě Azure Blob Storage. Tabulka obsahuje dva sloupce, jeden pro celé číslo x a jeden pro řetězec s. Připojovací řetězec končí ;impersonate, který označuje použití ověřování zosobnění pro přístup k úložišti dat.

   .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
   ( 
       h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
   )
   

3. Udělte spravované identitě oprávnění k zápisu do příslušného externího úložiště dat. Spravovaná identita potřebuje oprávnění k zápisu, protože úloha průběžného exportu exportuje data do úložiště dat jménem spravované identity.

   Externí úložiště dat	Požadovaná oprávnění	Udělení oprávnění
   Azure Blob Storage	Přispěvatel dat objektů blob služby Storage	Přiřazení role Azure
   Data Lake Storage Gen2	Přispěvatel dat objektů blob služby Storage	Přiřazení role Azure
   Data Lake Storage Gen1	Přispěvatel	Přiřazení role Azure

SQL Serveru

1. Vytvořte připojovací řetězec SQL Serveru. Tento řetězec označuje prostředek pro přístup a jeho ověřovací informace. Pro toky průběžného exportu doporučujeme integrované ověřování Microsoft Entra, což je ověřování zosobnění.

2. Spuštěním příkazu .create nebo .alter externí tabulky vytvořte tabulku. Jako argument sqlServerConnectionStr ing použijte připojovací řetězec z předchozího kroku.

   Následující příkaz například vytvoří MySqlExternalTable, který odkazuje na tabulku MySqlTable v MyDatabase SQL Serveru. Tabulka obsahuje dva sloupce, jeden pro celé číslo x a jeden pro řetězec s. Připojovací řetězec obsahuje ;Authentication=Active Directory Integrated, což označuje použití ověřování zosobnění pro přístup k tabulce.

   .create external table MySqlExternalTable (x:int, s:string) kind=sql table=MySqlTable
   ( 
      h@'Server=tcp:myserver.database.windows.net,1433;Authentication=Active Directory Integrated;Initial Catalog=MyDatabase;'
   )
   

3. Udělte oprávnění CREATE, UPDATE a INSERT spravované identitě pro databázi SQL Serveru. Spravovaná identita potřebuje oprávnění k zápisu, protože úloha průběžného exportu exportuje data do databáze jménem spravované identity. Další informace najdete v tématu Oprávnění.

Vytvoření úlohy průběžného exportu

Vyberte jednu z následujících karet a vytvořte úlohu průběžného exportu, která se spouští jménem spravované identity přiřazené uživatelem nebo systémem.

uživatelem přiřazené

Spusťte příkaz .create-or-alter continuous-export s vlastností managedIdentity nastavenou na ID objektu spravované identity.

Následující příkaz například vytvoří úlohu průběžného exportu s názvem MyExport pro export dat v MyTable do MyExternalTable jménem spravované identity přiřazené uživatelem. <objectId> by mělo být ID objektu spravované identity.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

systémově přiřazené

Spusťte příkaz .create-or-alter continuous-export s vlastností managedIdentity nastavenou na system.

Následující příkaz například vytvoří úlohu průběžného exportu s názvem MyExport, která exportuje data v MyTable a MyExternalTable jménem spravované identity přiřazené systémem.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity="system", intervalBetweenRuns=5m) <| MyTable

Související obsah

• přehled průběžného exportu
• .show continuous-export
• spravované identity