Použití spravované identity ke spuštění zásad aktualizace

Platí pro: ✅Azure Data Explorer

Zásady aktualizace musí být nakonfigurované se spravovanou identitou v následujících scénářích:

• Když aktualizace dotazu zásad odkazuje na tabulky v jiných databázích
• Když aktualizace dotazu zásad odkazuje na tabulky s povolenými zásadami zabezpečení na úrovni řádků

Zásady aktualizace nakonfigurované se spravovanou identitou se provádějí jménem spravované identity.

V tomto článku se dozvíte, jak nakonfigurovat spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem a vytvořit pomocí této identity zásady aktualizace.

Požadavky

• Cluster a databáze Vytvoří cluster a databázi.
• Oprávnění AllDatabasesAdmin k databázi.

Konfigurace spravované identity

Existují dva typy spravovaných identit:

• Přiřazená systémem: Identita přiřazená systémem je připojena k vašemu clusteru a po odebrání clusteru se odebere. Pro každý cluster je povolená pouze jedna identita přiřazená systémem.

• Přiřazená uživatelem: Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure. Ke clusteru je možné přiřadit více identit přiřazených uživatelem.

Vyberte jednu z následujících karet a nastavte upřednostňovaný typ spravované identity.

Přiřazené uživatelem

1. Podle pokynů přidejte identitu přiřazenou uživatelem.

2. Na webu Azure Portal v levé nabídce prostředku spravované identity vyberte Vlastnosti. Zkopírujte a uložte ID tenanta a ID objektu zabezpečení pro použití v následujících krocích.

   

3. Spuštěním následujícího příkazu zásad .alter-merge managed_identity nahraďte <objectId> ID objektu zabezpečení spravované identity z předchozího kroku. Tento příkaz nastaví zásadu spravované identity v clusteru, která umožňuje použití spravované identity se zásadami aktualizace.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "<objectId>",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Poznámka:

   Pokud chcete nastavit zásadu pro konkrétní databázi, použijte database <DatabaseName> místo cluster.

4. Spuštěním následujícího příkazu udělte prohlížeči databáze spravované identity oprávnění pro všechny databáze odkazované dotazem zásad aktualizace.

   .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
   

   Nahraďte <DatabaseName> příslušnou databázi, <objectId> ID objektu zabezpečení spravované identity z kroku 2 a <tenantId> ID tenanta Microsoft Entra ID z kroku 2.

Přiřazené systémem

1. Podle pokynů přidejte identitu přiřazenou systémem.

2. Zkopírujte a uložte ID objektu pro použití v pozdějším kroku.

3. Spusťte následující příkaz zásad .alter-merge managed_identity . Tento příkaz nastaví zásadu spravované identity v clusteru, která umožňuje použití spravované identity se zásadami aktualizace.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "system",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Poznámka:

   Pokud chcete nastavit zásadu pro konkrétní databázi, použijte database <DatabaseName> místo cluster.

4. Spuštěním následujícího příkazu udělte prohlížeči databáze spravované identity oprávnění pro všechny databáze odkazované dotazem zásad aktualizace.

   .add database <DatabaseName> viewers ('aadapp=<objectId>')
   

   Nahraďte <DatabaseName> příslušnou databázi a <objectId> ID objektu spravované identity, které jste si uložili dříve.

Vytvoření zásady aktualizace

Vyberte jednu z následujících karet a vytvořte zásadu aktualizace, která se spouští jménem spravované identity přiřazené uživatelem nebo systémem.

Přiřazené uživatelem

Spusťte příkaz aktualizace zásad .alter table s ManagedIdentity vlastností nastavenou na ID objektu spravované identity.

Například následující příkaz změní zásady aktualizace tabulky MyTable v databázi MyDatabase. Je důležité si uvědomit, že parametry Source by Query měly odkazovat pouze na objekty ve stejné databázi, ve které jsou definovány zásady aktualizace. Kód obsažený v rámci funkce zadané v parametru Query ale může pracovat s tabulkami umístěnými v jiných databázích. Funkce MyUpdatePolicyFunction() může například přistupovat OtherTable OtherDatabase jménem spravované identity přiřazené uživatelem. <objectId> by mělo být ID objektu spravované identity.

.alter table MyDatabase.MyTable policy update
```
[
    {
        "IsEnabled": true,
        "Source": "MyTable",
        "Query": "MyUpdatePolicyFunction()",
        "IsTransactional": false,
        "PropagateIngestionProperties": false,
        "ManagedIdentity": "<objectId>"
    }
]
```

Přiřazené systémem

Spusťte příkaz aktualizace zásad .alter table s ManagedIdentity vlastností nastavenou na ID objektu spravované identity.

Například následující příkaz změní zásady aktualizace tabulky MyTable v databázi MyDatabase. Je důležité si uvědomit, že parametry Source by Query měly odkazovat pouze na objekty ve stejné databázi, ve které jsou definovány zásady aktualizace. Kód obsažený v rámci funkce zadané v parametru Query ale může pracovat s tabulkami umístěnými v jiných databázích. Funkce MyUpdatePolicyFunction() může například přistupovat OtherTable OtherDatabase jménem spravované identity přiřazené systémem.

.alter table MyDatabase.MyTable policy update
```
[
    {
        "IsEnabled": true,
        "Source": "MyTable",
        "Query": "MyUpdatePolicyFunction()",
        "IsTransactional": false,
        "PropagateIngestionProperties": false,
        "ManagedIdentity": "system"
    }
]
```