Partager via


Configurer des identités managées pour votre cluster Azure Data Explorer

Une identité managée d’Azure Active Directory permet à votre cluster d’accéder facilement aux autres ressources protégées par Azure AD, comme Azure Key Vault. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets. La configuration des identités managées est actuellement prise en charge uniquement pour activer les clés gérées par le client pour votre cluster.

Pour obtenir une vue d’ensemble des identités managées, consultez S’authentifier avec des identités managées dans un cluster Azure Data Explorer.

Deux types d’identités peuvent être accordées à votre cluster Azure Data Explorer :

  • Identité affectée par le système : Liée à votre cluster et supprimée si votre ressource est supprimée. Un cluster ne peut avoir qu’une seule identité attribuée par le système.
  • Identité affectée par l’utilisateur : Ressource Azure autonome qui peut être affectée à votre cluster. Un cluster peut avoir plusieurs identités affectées par l’utilisateur.

Cet article vous montre comment ajouter et supprimer des identités managées affectées par le système et affectées par l’utilisateur pour les clusters Azure Data Explorer.

Notes

Les identités managées pour Azure Data Explorer ne se comportent pas comme prévu si votre cluster Azure Data Explorer est migré entre des abonnements ou des locataires. L’application devra obtenir une nouvelle identité, ce qui est possible en désactivant et en réactivant la fonctionnalité. Les stratégies d’accès des ressources en aval devront également être mises à jour pour utiliser la nouvelle identité.

Ajouter une identité affectée par le système

Attribuez une identité affectée par le système liée à votre cluster, qui sera supprimée en cas de suppression du cluster. Un cluster ne peut avoir qu’une seule identité attribuée par le système. Créer un cluster avec une identité attribuée par le système requiert la définition d’une propriété supplémentaire sur le cluster. Ajoutez l’identité affectée par le système en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Ajout d’une identité affectée par le système à l’aide du Portail Azure

Connectez-vous au portail Azure.

Nouveau cluster Azure Data Explorer

  1. Créez un cluster Azure Data Explorer.

  2. Sous l’onglet Sécurité>Identité affectée par le système, sélectionnez Activée. Pour supprimer l’identité affectée par le système, sélectionnez Désactivée.

  3. Sélectionnez Suivant : Balises > ou Examiner + Créer pour créer le cluster.

    Ajouter une identité affectée par le système au nouveau cluster.

Cluster Azure Data Explorer existant

  1. Ouvrez un cluster Azure Data Explorer existant.

  2. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

  3. Dans le volet Identité>onglet Affectée par le système :

    1. Déplacez le curseur État sur Activé.
    2. Sélectionnez Enregistrer.
    3. Dans la fenêtre indépendante qui s’affiche, sélectionnez Oui.

    Ajouter une identité affectée par le système.

  4. Après quelques minutes, l’écran indique :

    • ID d’objet : utilisé pour les clés gérées par le client.
    • Autorisations : sélectionnez les affectations de rôles appropriées

    Identité affectée par le système activée.

Suppression d’une identité affectée par le système

Si vous supprimez une identité affectée par le système, vous la supprimez également d'Azure AD. Les identités affectées par le système sont aussi supprimées automatiquement d’Azure AD quand la ressource de cluster est supprimée. Une identité affectée par le système peut être supprimée en désactivant la fonctionnalité, Supprimez l’identité affectée par le système en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Suppression d’une identité affectée par le système à l’aide du Portail Azure

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

  3. Dans le volet Identité>onglet Affectée par le système :

    1. Déplacez le curseur État sur Désactivé.
    2. Sélectionnez Enregistrer.
    3. Dans la fenêtre indépendante, sélectionnez Oui pour désactiver l’identité affectée par le système. Le volet Identité revient à la situation antérieure à l’ajout de l’identité affectée par le système.

    Identité affectée par le système désactivée.

Ajouter une identité attribuée par l’utilisateur

Affectez une identité managée affectée par l’utilisateur à votre cluster. Un cluster peut avoir plusieurs identités affectées par l’utilisateur. La création d’un cluster avec une identité affectée par l’utilisateur nécessite la définition d’une propriété supplémentaire sur le cluster. Ajoutez l’identité affectée par l’utilisateur en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Ajouter une identité affectée par l’utilisateur en utilisant le portail Azure

  1. Connectez-vous au portail Azure.

  2. Créez une identité managée affectée par l’utilisateur dans Azure.

  3. Ouvrez un cluster Azure Data Explorer existant.

  4. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

  5. Sous l’onglet Affecté(e) par l’utilisateur, sélectionnez Ajouter.

  6. Recherchez l’identité que vous avez créée précédemment et sélectionnez-la. Sélectionnez Ajouter.

    Ajouter une identité affectée par l’utilisateur.

Supprimer d’un cluster une identité managée affectée par l’utilisateur

Supprimez l’identité affectée par l’utilisateur en utilisant le portail Azure, C# ou un modèle Resource Manager comme indiqué ci-dessous.

Supprimer une identité managée affectée par l’utilisateur en utilisant le portail Azure

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Paramètres>Identité dans le volet gauche du portail.

  3. Sélectionnez l’onglet Affecté(e) par l’utilisateur.

  4. Recherchez l’identité que vous avez créée précédemment et sélectionnez-la. Sélectionnez Supprimer.

    Supprimer une identité affectée par l’utilisateur.

  5. Dans la fenêtre contextuelle, sélectionnez Oui pour supprimer l’identité affectée par l’utilisateur. Le volet Identité revient à la situation antérieure à l’ajout de l’identité affectée par l’utilisateur.

Étapes suivantes