Übersicht über verwaltete Identitäten
Eine verwaltete Identität von Microsoft Entra ID ermöglicht es Ihrem Cluster, auf andere durch Microsoft Entra geschützte Ressourcen wie Azure Storage zuzugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren.
Typen verwalteter Identitäten
Ihrem Azure Data Explorer-Cluster können zwei Arten von Identitäten zugewiesen werden:
Systemseitig zugewiesene Identität: Diese Identität ist an Ihren Cluster gebunden und wird gelöscht, wenn die Ressource gelöscht wird. Ein Cluster kann nur über eine einzelne systemseitig zugewiesene Identität verfügen.
Benutzerseitig zugewiesene Identität: Eine eigenständige Azure-Ressource, die Ihrem Cluster zugewiesen werden kann. Ein Cluster kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.
Authentifizieren mit verwalteten Dienstidentitäten
Microsoft Entra-Ressourcen mit einem Mandanten können verwaltete Identitäten nur dazu verwenden, um mit Ressourcen im selben Mandanten zu kommunizieren. Diese Einschränkung begrenzt die Verwendung von verwalteten Identitäten in bestimmten Authentifizierungsszenarien. Sie können beispielsweise keine verwaltete Azure Data Explorer-Identität verwenden, um auf einen Event Hub zuzugreifen, der sich in einem anderen Mandanten befindet. Verwenden Sie in solchen Fällen die speicherkontoschlüsselbasierte Authentifizierung.
Azure Data Explorer ist mehrinstanzenfähig, was bedeutet, dass Sie Zugriff auf verwaltete Identitäten aus verschiedenen Mandanten gewähren können. Weisen Sie hierzu die relevanten Sicherheitsrollen zu. Wenn Sie die Rollen zuweisen, verweisen Sie auf die verwaltete Identität, wie unter Verweisen auf Sicherheitsprinzipale beschrieben.
Führen Sie die folgenden Schritte aus, um sich mit verwalteten Identitäten zu authentifizieren:
- Konfigurieren einer verwalteten Identität für Ihren Cluster
- Konfigurieren der Richtlinie für verwaltete Identitäten
- Verwenden einer verwalteten Identität in unterstützten Workflows
Konfigurieren einer verwalteten Identität für Ihren Cluster
Ihr Cluster benötigt Berechtigungen, um im Namen der angegebenen verwalteten Identität zu agieren. Diese Zuweisung kann sowohl für systemseitig als auch für benutzerseitig zugewiesene verwaltete Identitäten erteilt werden. Entsprechende Anweisungen finden Sie unter Konfigurieren verwalteter Identitäten für Ihren Azure Data Explorer-Cluster.
Konfigurieren der Richtlinie für verwaltete Identitäten
Um die verwaltete Identität zu verwenden, müssen Sie die Richtlinie für verwaltete Identitäten konfigurieren, um diese Identität zuzulassen. Entsprechende Anweisungen finden Sie unter Konfigurieren der Richtlinie für verwaltete Identitäten.
Befehle zur Verwaltung der Richtlinie für verwaltete Identitäten:
- .alter policy managed_identity
- .alter-merge policy managed_identity
- .delete policy managed_identity
- .show policy managed_identity
Verwenden einer verwalteten Identität in unterstützten Workflows
Nach dem Zuweisen der verwalteten Identität zu Ihrem Cluster und dem Konfigurieren der relevanten Nutzung der Richtlinie für verwaltete Identitäten können Sie die Authentifizierung mit verwalteten Identitäten in den folgenden Workflows verwenden:
Externe Tabellen: Erstellen Sie eine externe Tabelle mit der Authentifizierung mit verwalteten Identitäten. Die Authentifizierung wird als Teil der Verbindungszeichenfolge angegeben. Ein Beispiel finden Sie unter Speicherverbindungszeichenfolge. Anweisungen zur Verwendung externer Tabellen mit der Authentifizierung mit verwalteten Identitäten finden Sie unter Authentifizieren externer Tabellen mit verwalteten Identitäten.
Fortlaufender Export: Führen Sie einen fortlaufenden Export im Auftrag einer verwalteten Identität aus. Eine verwaltete Identität ist erforderlich, wenn die externe Tabelle die Identitätswechselauthentifizierung verwendet oder wenn die Exportabfrage Tabellen in anderen Datenbanken referenziert. Um eine verwaltete Identität zu verwenden, fügen Sie den Bezeichner der verwalteten Identität zu den optionalen Parametern hinzu, die im Befehl „
create-or-alter
“ angegeben sind. Eine schrittweise Anleitung finden Sie unter Authentifizieren mit verwalteter Identität für den fortlaufenden Export.Native Event Hub-Erfassung: Verwenden Sie eine verwaltete Identität mit nativer Event Hub-Erfassung. Weitere Informationen finden Sie unter Erfassen von Daten aus Event Hub in Azure Data Explorer.
Python-Plug-In: Verwenden Sie eine verwaltete Identität, um sich bei Speicherkonten externer Artefakte zu authentifizieren, die im Python-Plug-In verwendet werden. Beachten Sie, dass die
SandboxArtifacts
-Verwendung in der Richtlinie für verwaltete Identitäten auf Clusterebene definiert werden muss. Weitere Informationen finden Sie unter Python-Plug-In.SDK-basierte Erfassung: Wenn Sie Blobs für die Erfassung aus Ihren eigenen Speicherkonten in die Warteschlange stellen, können Sie verwaltete Identitäten als Alternative zu Authentifizierungsmethoden mit SAS-Token (Shared Access Signature) und gemeinsam verwendeten Schlüsseln nutzen. Weitere Informationen finden Sie unter Einstellen von Blobs für die Erfassung mit der Authentifizierung mithilfe verwalteter Identitäten in die Warteschlange.
Erfassen aus Speicher: Erfassen Sie Daten aus Dateien in Cloudspeichern mithilfe der verwalteten Identitätsauthentifizierung in einer Zieltabelle. Weitere Informationen finden Sie unter Erfassen aus Speicher.
SQL-Anforderungs-Plug-Ins: Verwenden Sie eine verwaltete Identität, um sich bei einer externen Datenbank zu authentifizieren, wenn Sie die Plug-Ins sql_request oder cosmosdb_request verwenden.