Verwenden einer verwalteten Identität zum Ausführen eines fortlaufenden Exportauftrags

Gilt für: ✅Azure Data Explorer

Ein fortlaufender Exportauftrag Exportiert Daten in eine externe Tabelle mit einer regelmäßig ausgeführten Abfrage.

Der fortlaufende Exportauftrag sollte in den folgenden Szenarien mit einer verwalteten Identität konfiguriert werden:

• Wenn die externe Tabelle die Identitätswechselauthentifizierung verwendet
• Wenn die Abfrage auf Tabellen in anderen Datenbanken verweist
• Wenn die Abfrage tabellen mit einer aktivierten Sicherheitsrichtlinie auf Zeilenebene verweist

Ein fortlaufender Exportauftrag, der mit einer verwalteten Identität konfiguriert ist, wird im Auftrag der verwalteten Identität ausgeführt.

In diesem Artikel erfahren Sie, wie Sie eine vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität konfigurieren und mithilfe dieser Identität einen fortlaufenden Exportauftrag erstellen.

Voraussetzungen

• Ein Cluster und eine Datenbank. Erstellen eines Clusters und einer Datenbank.
• Alle Datenbanken-Administratorberechtigungen für die Datenbank.

Konfigurieren einer verwalteten Identität

Es gibt zwei Arten von verwalteten Identitäten:

• vom System zugewiesenen: Eine vom System zugewiesene Identität ist mit Ihrem Cluster verbunden und wird entfernt, wenn der Cluster entfernt wird. Pro Cluster ist nur eine vom System zugewiesene Identität zulässig.

• vom Benutzer zugewiesene: Eine vom Benutzer zugewiesene verwaltete Identität ist eine eigenständige Azure-Ressource. Ihrem Cluster können mehrere vom Benutzer zugewiesene Identitäten zugewiesen werden.

Wählen Sie eine der folgenden Registerkarten aus, um Ihren bevorzugten verwalteten Identitätstyp einzurichten.

vom Benutzer zugewiesenen

1. Führen Sie die Schritte zum Hinzufügen einer vom Benutzer zugewiesenen Identitätaus.

2. Wählen Sie im Azure-Portal im linken Menü Ihrer verwalteten Identitätsressource Eigenschaftenaus. Kopieren Und speichern Sie die Mandanten-ID und Prinzipal-ID für die Verwendung in den folgenden Schritten.

   

3. Führen Sie die folgende .alter-merge-Richtlinie managed_identity Befehl aus, und ersetzen Sie <objectId> durch die ID des verwalteten Identitätsobjekts aus dem vorherigen Schritt. Mit diesem Befehl wird eine verwaltete Identitätsrichtlinie auf dem Cluster festgelegt, mit der die verwaltete Identität mit fortlaufendem Export verwendet werden kann.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "<objectId>",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Anmerkung

   Um die Richtlinie für eine bestimmte Datenbank festzulegen, verwenden Sie database <DatabaseName> anstelle von cluster.

4. Führen Sie den folgenden Befehl aus, um der verwalteten Identität Datenbank-Viewer Berechtigungen für alle Datenbanken zu gewähren, die für den fortlaufenden Export verwendet werden, z. B. die Datenbank, die die externe Tabelle enthält.

   .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
   

   Ersetzen Sie <DatabaseName> durch die relevante Datenbank, <objectId> durch die verwaltete Identität Prinzipal-ID aus Schritt 2, und <tenantId> sie mit der Microsoft Entra ID Mandanten-ID aus Schritt 2.

vom System zugewiesenen

1. Führen Sie die Schritte zum Hinzufügen einer vom System zugewiesenen Identitätaus.

2. Kopieren und speichern Sie die -Objekt-ID (Prinzipal-ID), die in einem späteren Schritt verwendet werden soll.

3. Führen Sie den folgenden Befehl .alter-merge policy managed_identity aus. Mit diesem Befehl wird eine verwaltete Identitätsrichtlinie auf dem Cluster festgelegt, mit der die verwaltete Identität mit fortlaufendem Export verwendet werden kann.

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "system",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   Anmerkung

   Um die Richtlinie für eine bestimmte Datenbank festzulegen, verwenden Sie database <DatabaseName> anstelle von cluster.

4. Führen Sie den folgenden Befehl aus, um der verwalteten Identität Datenbank-Viewer Berechtigungen für alle Datenbanken zu gewähren, die für den fortlaufenden Export verwendet werden, z. B. die Datenbank, die die externe Tabelle enthält.

   .add database <DatabaseName> viewers ('aadapp=<objectId>')
   

   Ersetzen Sie <DatabaseName> durch die relevante Datenbank und <objectId> durch die verwaltete Identität Objekt-ID (Prinzipal-ID) aus Schritt 2.

Einrichten einer externen Tabelle

Externe Tabellen beziehen sich auf Daten, die sich in Azure Storage befinden, z. B. Azure Blob Storage, Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2 oder SQL Server.

Wählen Sie eine der folgenden Registerkarten aus, um eine externe Azure Storage- oder SQL Server-Tabelle einzurichten.

Azure Storage

1. Erstellen Sie eine Verbindungszeichenfolge basierend auf den Speicherverbindungszeichenfolgenvorlagen. Diese Zeichenfolge gibt die Ressource an, auf die und ihre Authentifizierungsinformationen zugegriffen werden soll. Für fortlaufende Exportflüsse empfehlen wir Identitätswechselauthentifizierung.

2. Führen Sie die .create oder .alter external table Befehl aus, um die Tabelle zu erstellen. Verwenden Sie die Verbindungszeichenfolge aus dem vorherigen Schritt als argument storageConnectionString.

   Der folgende Befehl erstellt beispielsweise MyExternalTable, die auf CSV-formatierte Daten in mycontainer von mystorageaccount in Azure Blob Storage verweist. Die Tabelle enthält zwei Spalten, eine für eine ganze Zahl x und eine für eine Zeichenfolge s. Die Verbindungszeichenfolge endet mit ;impersonate, was angibt, dass die Identitätswechselauthentifizierung für den Zugriff auf den Datenspeicher verwendet wird.

   .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
   ( 
       h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
   )
   

3. Erteilen Sie der verwalteten Identität Schreibberechtigungen für den relevanten externen Datenspeicher. Die verwaltete Identität benötigt Schreibberechtigungen, da der fortlaufende Exportauftrag Daten im Auftrag der verwalteten Identität in den Datenspeicher exportiert.

   Externer Datenspeicher	Erforderliche Berechtigungen	Erteilen der Berechtigungen
   Azure Blob Storage	Mitwirkender von Speicher-BLOB-Daten	Zuweisen einer Azure-Rolle
   Data Lake Storage Gen2	Mitwirkender von Speicher-BLOB-Daten	Zuweisen einer Azure-Rolle
   Data Lake Storage Gen1	Mitarbeiter	Zuweisen einer Azure-Rolle

SQL Server-

1. Erstellen Sie eine SQL Server-Verbindungszeichenfolge. Diese Zeichenfolge gibt die Ressource an, auf die und ihre Authentifizierungsinformationen zugegriffen werden soll. Bei kontinuierlichen Exportflüssen empfehlen wir integrierten Authentifizierungs-von Microsoft Entra, bei dem es sich um identitätswechselbasierte Authentifizierung handelt.

2. Führen Sie die .create oder .alter external table Befehl aus, um die Tabelle zu erstellen. Verwenden Sie die Verbindungszeichenfolge aus dem vorherigen Schritt als sqlServerConnectionString Argument.

   Der folgende Befehl erstellt z. B. MySqlExternalTable, die sich auf MySqlTable Tabelle in MyDatabase von SQL Server bezieht. Die Tabelle enthält zwei Spalten, eine für eine ganze Zahl x und eine für eine Zeichenfolge s. Die Verbindungszeichenfolge enthält ;Authentication=Active Directory Integrated, was angibt, dass die Identitätswechselauthentifizierung für den Zugriff auf die Tabelle verwendet wird.

   .create external table MySqlExternalTable (x:int, s:string) kind=sql table=MySqlTable
   ( 
      h@'Server=tcp:myserver.database.windows.net,1433;Authentication=Active Directory Integrated;Initial Catalog=MyDatabase;'
   )
   

3. Gewähren Der verwalteten Identität CREATE, UPDATE und INSERT Berechtigungen für die SQL Server-Datenbank. Die verwaltete Identität benötigt Schreibberechtigungen, da der fortlaufende Exportauftrag Daten im Auftrag der verwalteten Identität in die Datenbank exportiert. Weitere Informationen finden Sie unter Berechtigungen.

Erstellen eines fortlaufenden Exportauftrags

Wählen Sie eine der folgenden Registerkarten aus, um einen fortlaufenden Exportauftrag zu erstellen, der im Auftrag einer vom Benutzer zugewiesenen oder vom System zugewiesenen verwalteten Identität ausgeführt wird.

vom Benutzer zugewiesenen

Führen Sie den Befehl .create-or-alter continuous-export aus, wobei die managedIdentity-Eigenschaft auf die ID des verwalteten Identitätsobjekts festgelegt ist.

Mit dem folgenden Befehl wird beispielsweise ein fortlaufender Exportauftrag namens MyExport erstellt, um die Daten in MyTable im Auftrag einer vom Benutzer zugewiesenen verwalteten Identität in MyExternalTable zu exportieren. <objectId> sollte eine verwaltete Identitätsobjekt-ID sein.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

vom System zugewiesenen

Führen Sie den Befehl .create-or-alter continuous-export aus, wobei die managedIdentity-Eigenschaft auf systemfestgelegt ist.

Mit dem folgenden Befehl wird beispielsweise ein fortlaufender Exportauftrag namens MyExport erstellt, um die Daten in MyTable im Auftrag Ihrer vom System zugewiesenen verwalteten Identität in MyExternalTable zu exportieren.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity="system", intervalBetweenRuns=5m) <| MyTable

Verwandte Inhalte

• Übersicht über den kontinuierlichen Export
• .show continuous-exports
• verwaltete Identitäten