Freigeben über


Konfigurieren verwalteter Identitäten für Ihren Azure Data Explorer-Cluster

Eine verwaltete Identität von Microsoft Entra-ID ermöglicht Ihrem Cluster den Zugriff auf andere von Microsoft Entra geschützte Ressourcen wie Azure Key Vault. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren.

In diesem Artikel erfahren Sie, wie Sie verwaltete Identitäten zu Ihrem Cluster hinzufügen und entfernen. Weitere Informationen zu verwalteten Identitäten finden Sie unter Übersicht über verwaltete Identitäten.

Hinweis

Verwaltete Identitäten für Azure Data Explorer verhalten sich nicht wie erwartet, wenn Ihr Azure Data Explorer-Cluster abonnement- oder mandantenübergreifend migriert wird. Die App muss eine neue Identität abrufen, die durch Entfernen einer vom System zugewiesenen Identität und anschließendes Hinzufügen einer vom System zugewiesenen Identität erfolgen kann. Darüber hinaus müssen auch Zugriffsrichtlinien nachgeschalteter Ressourcen aktualisiert werden, um die neue Identität zu verwenden.

Codebeispiele, die auf früheren SDK-Versionen basieren, finden Sie im archivierten Artikel.

Typen verwalteter Identitäten

Ihrem Azure Data Explorer-Cluster können zwei Arten von Identitäten zugewiesen werden:

  • Systemseitig zugewiesene Identität: Diese Identität ist an Ihren Cluster gebunden und wird gelöscht, wenn die Ressource gelöscht wird. Ein Cluster kann nur über eine einzelne systemseitig zugewiesene Identität verfügen.

  • Benutzerseitig zugewiesene Identität: Eine eigenständige Azure-Ressource, die Ihrem Cluster zugewiesen werden kann. Ein Cluster kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Hinzufügen einer systemseitig zugewiesenen Identität

Weisen Sie eine vom System zugewiesene Identität zu, die an Ihren Cluster gebunden ist und gelöscht wird, wenn Ihr Cluster gelöscht wird. Ein Cluster kann nur über eine einzelne systemseitig zugewiesene Identität verfügen. Für die Erstellung eines Clusters mit einer systemseitig zugewiesenen Identität muss eine zusätzliche Eigenschaft für den Cluster festgelegt werden. Fügen Sie die systemseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage hinzu, wie nachfolgend beschrieben.

Hinzufügen einer systemseitig zugewiesenen Identität im Azure-Portal

Melden Sie sich beim Azure-Portal an.

Neuer Azure Data Explorer-Cluster

  1. Erstellen eines Azure Data Explorer-Clusters

  2. Wählen Sie auf der Registerkarte Sicherheit >Systemseitig zugewiesene Identität die Option Ein aus. Um die systemseitig zugewiesene Identität zu entfernen, wählen Sie Aus aus.

  3. Wählen Sie Weiter:Tags > oder Überprüfen und erstellen aus, um den Cluster zu erstellen.

    Hinzufügen einer systemseitig zugewiesenen Identität zum neuen Cluster

Vorhandener Azure Data Explorer-Cluster

  1. Öffnen Sie einen vorhandenen Azure Data Explorer-Cluster.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  3. Gehen Sie im Bereich Identität auf der Registerkarte Systemseitig zugewiesen wie folgt vor:

    1. Schieben Sie den Schieberegler Status auf Ein.
    2. Wählen Sie Speichern aus.
    3. Wählen Sie im Popupfenster Ja aus.

    Hinzufügen einer systemseitig zugewiesenen Identität

  4. Nach einigen Minuten wird auf dem Bildschirm Folgendes angezeigt:

    • Objekt-ID: Wird für kundenseitig verwaltete Schlüssel verwendet.
    • Berechtigungen: Wählen Sie die entsprechenden Rollenzuweisungen aus.

    Systemseitig zugewiesene Identität aktiviert

Entfernen einer systemseitig zugewiesenen Identität

Durch das Entfernen einer vom System zugewiesenen Identität wird sie auch aus der Microsoft Entra-ID gelöscht. Vom System zugewiesene Identitäten werden auch automatisch aus der Microsoft Entra-ID entfernt, wenn die Clusterressource gelöscht wird. Eine systemseitig zugewiesene Identität kann durch Deaktivieren des Features entfernt werden. Entfernen Sie die systemseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage, wie nachfolgend beschrieben.

Entfernen einer systemseitig zugewiesenen Identität im Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  3. Gehen Sie im Bereich Identität auf der Registerkarte Systemseitig zugewiesen wie folgt vor:

    1. Schieben Sie den Schieberegler Status auf Aus.
    2. Wählen Sie Speichern aus.
    3. Wählen Sie im Popupfenster Ja aus, um die systemseitig zugewiesene Identität zu deaktivieren. Der Bereich Identität wechselt wieder in den gleichen Zustand wie vor Hinzufügen der systemseitig zugewiesenen Identität.

    Systemseitig zugewiesene Identität deaktiviert

Hinzufügen einer benutzerseitig zugewiesenen Identität

Weisen Sie Ihrem Cluster eine benutzerseitig zugewiesene verwaltete Identität zu. Ein Cluster kann über mehrere benutzerseitig zugewiesene Identitäten verfügen. Für die Erstellung eines Clusters mit einer benutzerseitig zugewiesenen Identität muss eine zusätzliche Eigenschaft für den Cluster festgelegt werden. Fügen Sie die benutzerseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage hinzu, wie nachfolgend beschrieben.

Hinzufügen einer benutzerseitig zugewiesenen Identität im Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Erstellen Sie eine benutzerseitig verwaltete Identitätsressource.

  3. Öffnen Sie einen vorhandenen Azure Data Explorer-Cluster.

  4. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  5. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.

  6. Suchen Sie nach der zuvor erstellten Identität, und wählen Sie sie aus. Wählen Sie Hinzufügen.

    Hinzufügen einer benutzerseitig zugewiesenen Identität

Entfernen einer benutzerseitig zugewiesenen verwalteten Identität aus einem Cluster

Entfernen Sie die benutzerseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage, wie nachfolgend beschrieben.

Entfernen einer benutzerseitig zugewiesenen verwalteten Identität über das Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  3. Wählen Sie die Registerkarte Benutzerseitig zugewiesen aus.

  4. Suchen Sie nach der zuvor erstellten Identität, und wählen Sie sie aus. Wählen Sie Entfernen.

    Entfernen einer benutzerseitig zugewiesenen Identität

  5. Wählen Sie im Popupfenster Ja aus, um die benutzerseitig zugewiesene Identität zu entfernen. Der Bereich Identität wechselt wieder in den gleichen Zustand wie vor dem Hinzufügen der benutzerseitig zugewiesenen Identität.