Freigeben über


Konfigurieren verwalteter Identitäten für Ihren Azure Data Explorer-Cluster

Durch eine verwaltete Entität aus Azure Active Directory kann Ihr Cluster problemlos auf andere durch Azure AD geschützte Ressourcen wie Azure Key Vault zugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Die Konfiguration der verwalteten Identität wird zurzeit nur für die Aktivierung von kundenseitig verwalteten Schlüsseln für Ihren Cluster unterstützt.

Eine Übersicht über verwaltete Identitäten finden Sie unter Übersicht über verwaltete Identitäten.

Ihrem Azure Data Explorer-Cluster können zwei Arten von Identitäten zugewiesen werden:

  • Systemseitig zugewiesene Identität: Diese Identität ist an Ihren Cluster gebunden und wird gelöscht, wenn die Ressource gelöscht wird. Ein Cluster kann nur über eine einzelne systemseitig zugewiesene Identität verfügen.
  • Benutzerseitig zugewiesene Identität: Hierbei handelt es sich um eine eigenständige Azure-Ressource, die Ihrem Cluster zugewiesen werden kann. Ein Cluster kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

In diesem Artikel erfahren Sie, wie Sie systemseitig zugewiesene und benutzerseitig zugewiesene verwaltete Identitäten für Azure Data Explorer-Cluster hinzufügen und entfernen.

Hinweis

Verwaltete Identitäten für Azure Data Explorer verhalten sich nicht wie erwartet, wenn Ihr Azure Data Explorer-Cluster abonnement- oder mandantenübergreifend migriert wird. Die App muss eine neue Identität abrufen. Zu diesem Zweck kann die Funktion deaktiviert und dann erneut aktiviert werden. Darüber hinaus müssen auch Zugriffsrichtlinien nachgeschalteter Ressourcen aktualisiert werden, um die neue Identität zu verwenden.

Hinzufügen einer systemseitig zugewiesenen Identität

Weisen Sie eine vom System zugewiesene Identität zu, die an Ihren Cluster gebunden ist und gelöscht wird, wenn Ihr Cluster gelöscht wird. Ein Cluster kann nur über eine einzelne systemseitig zugewiesene Identität verfügen. Für die Erstellung eines Clusters mit einer systemseitig zugewiesenen Identität muss eine zusätzliche Eigenschaft für den Cluster festgelegt werden. Fügen Sie die systemseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage hinzu, wie nachfolgend beschrieben.

Hinzufügen einer systemseitig zugewiesenen Identität im Azure-Portal

Melden Sie sich beim Azure-Portal an.

Neuer Azure Data Explorer-Cluster

  1. Erstellen eines Azure Data Explorer-Clusters

  2. Wählen Sie auf der Registerkarte Sicherheit>Systemseitig zugewiesene Identität die Option Ein aus. Um die systemseitig zugewiesene Identität zu entfernen, wählen Sie Aus aus.

  3. Wählen Sie Weiter:Tags > oder Überprüfen und erstellen aus, um den Cluster zu erstellen.

    Hinzufügen einer systemseitig zugewiesenen Identität zum neuen Cluster

Vorhandener Azure Data Explorer-Cluster

  1. Öffnen Sie einen vorhandenen Azure Data Explorer-Cluster.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  3. Gehen Sie im Bereich Identität auf der Registerkarte Systemseitig zugewiesen wie folgt vor:

    1. Schieben Sie den Schieberegler Status auf Ein.
    2. Wählen Sie Speichern aus.
    3. Wählen Sie im Popupfenster Ja aus.

    Hinzufügen einer systemseitig zugewiesenen Identität

  4. Nach einigen Minuten wird auf dem Bildschirm Folgendes angezeigt:

    • Objekt-ID: Wird für kundenseitig verwaltete Schlüssel verwendet.
    • Berechtigungen: Wählen Sie die entsprechenden Rollenzuweisungen aus.

    Systemseitig zugewiesene Identität aktiviert

Entfernen einer systemseitig zugewiesenen Identität

Wenn Sie eine systemseitig zugewiesene Identität entfernen, wird sie auch aus Azure AD gelöscht. Systemseitig zugewiesene Identitäten werden außerdem automatisch aus Azure AD entfernt, wenn die Clusterressource gelöscht wird. Eine systemseitig zugewiesene Identität kann durch Deaktivieren des Features entfernt werden. Entfernen Sie die systemseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage, wie nachfolgend beschrieben.

Entfernen einer systemseitig zugewiesenen Identität im Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  3. Gehen Sie im Bereich Identität auf der Registerkarte Systemseitig zugewiesen wie folgt vor:

    1. Schieben Sie den Schieberegler Status auf Aus.
    2. Wählen Sie Speichern aus.
    3. Wählen Sie im Popupfenster Ja aus, um die systemseitig zugewiesene Identität zu deaktivieren. Der Bereich Identität wechselt wieder in den gleichen Zustand wie vor Hinzufügen der systemseitig zugewiesenen Identität.

    Systemseitig zugewiesene Identität deaktiviert

Hinzufügen einer benutzerseitig zugewiesenen Identität

Weisen Sie Ihrem Cluster eine benutzerseitig zugewiesene verwaltete Identität zu. Ein Cluster kann über mehrere benutzerseitig zugewiesene Identitäten verfügen. Für die Erstellung eines Clusters mit einer benutzerseitig zugewiesenen Identität muss eine zusätzliche Eigenschaft für den Cluster festgelegt werden. Fügen Sie die benutzerseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage hinzu, wie nachfolgend beschrieben.

Hinzufügen einer benutzerseitig zugewiesenen Identität im Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Erstellen Sie eine benutzerseitig verwaltete Identitätsressource.

  3. Öffnen Sie einen vorhandenen Azure Data Explorer-Cluster.

  4. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  5. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option Hinzufügen aus.

  6. Suchen Sie nach der zuvor erstellten Identität, und wählen Sie sie aus. Wählen Sie Hinzufügen.

    Hinzufügen einer benutzerseitig zugewiesenen Identität

Entfernen einer benutzerseitig zugewiesenen verwalteten Identität aus einem Cluster

Entfernen Sie die benutzerseitig zugewiesene Identität mithilfe des Azure-Portals, von C# oder einer Resource Manager-Vorlage, wie nachfolgend beschrieben.

Entfernen einer benutzerseitig zugewiesenen verwalteten Identität über das Azure-Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Identität aus.

  3. Wählen Sie die Registerkarte Benutzerseitig zugewiesen aus.

  4. Suchen Sie nach der zuvor erstellten Identität, und wählen Sie sie aus. Wählen Sie Entfernen.

    Entfernen einer benutzerseitig zugewiesenen Identität

  5. Wählen Sie im Popupfenster Ja aus, um die benutzerseitig zugewiesene Identität zu entfernen. Der Bereich Identität wechselt wieder in den gleichen Zustand wie vor dem Hinzufügen der benutzerseitig zugewiesenen Identität.

Nächste Schritte