Configurare le identità gestite per il cluster di Esplora dati di Azure

Un'identità gestita da Azure Active Directory consente al cluster di accedere facilmente ad altre risorse protette da Azure AD, ad esempio Azure Key Vault. L'identità è gestita dalla piattaforma Azure e non richiede il provisioning o la rotazione di segreti. La configurazione dell'identità gestita è attualmente supportata solo per abilitare le chiavi gestite dal cliente per il cluster.

Per una panoramica delle identità gestite, vedere Eseguire l'autenticazione usando identità gestite nel cluster di Esplora dati di Azure.

Il cluster di Azure Esplora dati può essere concesso due tipi di identità:

• Identità assegnata dal sistema: associata al cluster ed eliminata se la risorsa viene eliminata. Un cluster può avere solo un'identità assegnata dal sistema.
• Identità assegnata dall'utente: risorsa di Azure autonoma che può essere assegnata al cluster. Un cluster può avere più identità assegnate dall'utente.

Questo articolo illustra come aggiungere e rimuovere identità gestite assegnate dal sistema e assegnate dall'utente per i cluster di Azure Esplora dati.

Nota

Le identità gestite per Azure Esplora dati non si comportano come previsto se il cluster di Esplora dati di Azure viene migrato tra sottoscrizioni o tenant. L'app dovrà ottenere una nuova identità, che può essere eseguita disabilitando e riabilitando la funzionalità. È necessario aggiornare anche i criteri di accesso delle risorse downstream per usare la nuova identità.

Aggiungere un'identità assegnata dal sistema

Assegnare un'identità assegnata dal sistema associata al cluster ed è eliminata se il cluster viene eliminato. Un cluster può avere solo un'identità assegnata dal sistema. La creazione di un cluster con un'identità assegnata dal sistema richiede l'impostazione di una proprietà aggiuntiva nel cluster. Aggiungere l'identità assegnata dal sistema usando il modello portale di Azure, C#o Resource Manager come illustrato di seguito.

Azure portal

Aggiungere un'identità assegnata dal sistema usando il portale di Azure

Accedere al portale di Azure.

Nuovo cluster di Azure Esplora dati

1. Creare un cluster di Azure Esplora dati

2. Nella scheda >Sicurezzaidentità assegnata dal sistema selezionare Sì. Per rimuovere l'identità assegnata dal sistema, selezionare Disattivato.

3. Selezionare Avanti : Tag > o Rivedi e crea per creare il cluster.

   

Cluster di Azure Esplora dati esistente

1. Aprire un cluster di Azure Esplora dati esistente.

2. Selezionare Identità impostazioni> nel riquadro sinistro del portale.

3. Nella scheda Sistema del riquadro >Identità assegnata:

   1. Spostare il dispositivo di scorrimento Stato su Attiva.
   2. Selezionare Salva
   3. Nella finestra popup selezionare Sì

   

4. Dopo alcuni minuti, la schermata mostra:

   • ID oggetto - Usato per le chiavi gestite dal cliente
   • Autorizzazioni - Selezionare le assegnazioni di ruolo rilevanti

   

C#

Aggiungere un'identità assegnata dal sistema tramite C #

Prerequisiti

Per configurare un'identità gestita usando il client C# di Azure Esplora dati:

• Installare il pacchetto NuGet di Azure Esplora dati.
• Installare il pacchetto NuGet Microsoft.Identity.Client per l'autenticazione.
• Installare il pacchetto NuGet Microsoft.Rest.ClientRuntime per l'autenticazione.
• Creare un'applicazione e un'entità servizio di Azure AD che possono accedere alle risorse. Aggiungere l'assegnazione di ruolo nell'ambito della sottoscrizione e ottenere l'oggetto obbligatorio Directory (tenant) ID, Application IDe Client Secret.

Creare o aggiornare il cluster

1. Creare o aggiornare il cluster usando la Identity proprietà:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Eseguire il comando seguente per verificare se il cluster è stato creato o aggiornato correttamente con un'identità:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Se il risultato contiene ProvisioningState il Succeeded valore, il cluster è stato creato o aggiornato e deve avere le proprietà seguenti:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId e TenantId vengono sostituiti con GUID. La TenantId proprietà identifica il tenant di Azure AD a cui appartiene l'identità. L'oggetto PrincipalId è un identificatore univoco per la nuova identità del cluster. In Azure AD, l'entità servizio ha lo stesso nome assegnato all'istanza di Servizio App o Funzioni di Azure.

Modello di Resource Manager

Aggiungere un'identità assegnata dal sistema usando un modello di Resource Manager di Azure

Per automatizzare la distribuzione delle risorse di Azure, è possibile usare un modello di Azure Resource Manager. Per altre informazioni sulla distribuzione in Azure Esplora dati, vedere Creare un cluster e un database di Azure Esplora dati usando un modello di Resource Manager di Azure.

L'aggiunta del tipo assegnato dal sistema indica ad Azure di creare e gestire l'identità per il cluster. Qualsiasi risorsa di tipo Microsoft.Kusto/clusters può essere creata con un'identità, includendo la seguente proprietà nella definizione della risorsa:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Ad esempio:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Nota

Un cluster può avere contemporaneamente identità assegnate dal sistema e assegnate dall'utente. La type proprietà sarebbe SystemAssigned,UserAssigned

Quando il cluster viene creato, ha le proprietà aggiuntive seguenti:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> e <PRINCIPALID> vengono sostituiti con GUID. La TenantId proprietà identifica il tenant di Azure AD a cui appartiene l'identità. L'oggetto PrincipalId è un identificatore univoco per la nuova identità del cluster. In Azure AD, l'entità servizio ha lo stesso nome assegnato all'istanza di Servizio App o Funzioni di Azure.

Rimuovere un'identità assegnata dal sistema

La rimozione di un'identità assegnata dal sistema eliminerà anche l'identità da Azure AD. Le identità assegnate dal sistema vengono rimosse automaticamente da Azure AD quando la risorsa del cluster viene eliminata. È possibile rimuovere un'identità assegnata dal sistema disabilitando la funzionalità. Rimuovere l'identità assegnata dal sistema usando il modello portale di Azure, C#o Resource Manager come illustrato di seguito.

Azure portal

Rimuovere un'identità assegnata dal sistema usando la portale di Azure

1. Accedere al portale di Azure.

2. Selezionare Identità impostazioni> nel riquadro sinistro del portale.

3. Nella scheda Sistema del riquadro >Identità assegnata:

   1. Spostare il dispositivo di scorrimento Stato su Disattivato.
   2. Selezionare Salva
   3. Nella finestra popup selezionare Sì per disabilitare l'identità assegnata dal sistema. Il riquadro Identity ripristina la stessa condizione di prima dell'aggiunta dell'identità assegnata dal sistema.

   

C#

Rimuovere un'identità assegnata dal sistema usando C #

Eseguire quanto segue per rimuovere l'identità assegnata dal sistema:

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Modello di Resource Manager

Rimuovere un'identità assegnata dal sistema usando un modello di Resource Manager di Azure

Eseguire quanto segue per rimuovere l'identità assegnata dal sistema:

{
   "identity": {
      "type": "None"
   }
}

Nota

Se il cluster ha contemporaneamente identità assegnate dal sistema e assegnate dall'utente, dopo la rimozione dell'identità assegnata dal sistema, la type proprietà sarà UserAssigned

Aggiungere un'identità assegnata dall'utente

Assegnare un'identità gestita assegnata dall'utente al cluster. Un cluster può avere più di un'identità assegnata dall'utente. La creazione di un cluster con un'identità assegnata dall'utente richiede l'impostazione di una proprietà aggiuntiva nel cluster. Aggiungere l'identità assegnata dall'utente usando il modello portale di Azure, C# o Resource Manager come descritto di seguito.

Azure portal

Aggiungere un'identità assegnata dall'utente usando il portale di Azure

1. Accedere al portale di Azure.

2. Creare una risorsa di identità gestita assegnata dall'utente.

3. Aprire un cluster di Azure Esplora dati esistente.

4. Selezionare Impostazioni>Identità nel riquadro sinistro del portale.

5. Nella scheda Assegnato dall'utente selezionare Aggiungi.

6. Cercare l'identità creata in precedenza e selezionarla. Selezionare Aggiungi.

   

C#

Aggiungere un'identità assegnata dall'utente tramite C #

Prerequisiti

Per configurare un'identità gestita usando il client C# di Azure Esplora dati:

• Installare il pacchetto NuGet di Azure Esplora dati.
• Installare il pacchetto NuGet Microsoft.Identity.Client per l'autenticazione.
• Installare il pacchetto NuGet Microsoft.Rest.ClientRuntime per l'autenticazione.
• Creare un'applicazione Azure AD e un'entità servizio in grado di accedere alle risorse. Si aggiunge l'assegnazione di ruolo nell'ambito della sottoscrizione e si ottiene l'oggetto richiesto Directory (tenant) ID, Application IDe Client Secret.

Creare o aggiornare il cluster

1. Creare o aggiornare il cluster usando la Identity proprietà :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Eseguire il comando seguente per verificare se il cluster è stato creato o aggiornato correttamente con un'identità:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Se il risultato contiene ProvisioningState con il Succeeded valore , il cluster è stato creato o aggiornato e deve avere le proprietà seguenti:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId è un identificatore univoco per l'identità usata per l'amministrazione di Azure AD. ClientId è un identificatore univoco per la nuova identità dell'applicazione usata per specificare l'identità da usare durante le chiamate di runtime.

Modello di Resource Manager

Aggiungere un'identità assegnata dall'utente usando un modello di azure Resource Manager

Per automatizzare la distribuzione delle risorse di Azure, è possibile usare un modello di Azure Resource Manager. Per altre informazioni sulla distribuzione in Esplora dati di Azure, vedere Creare un cluster e un database di Azure Esplora dati usando un modello di Resource Manager di Azure.

Qualsiasi risorsa di tipo Microsoft.Kusto/clusters può essere creata con un'identità assegnata dall'utente includendo la proprietà seguente nella definizione della risorsa, sostituendo <RESOURCEID> con l'ID risorsa dell'identità desiderata:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Ad esempio:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Quando il cluster viene creato, ha le proprietà aggiuntive seguenti:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId è un identificatore univoco per l'identità usata per l'amministrazione di Azure AD. ClientId è un identificatore univoco per la nuova identità dell'applicazione usata per specificare l'identità da usare durante le chiamate di runtime.

Nota

Un cluster può avere contemporaneamente identità assegnate dal sistema e assegnate dall'utente. In questo caso, la type proprietà sarà SystemAssigned,UserAssigned.

Rimuovere un'identità gestita assegnata dall'utente da un cluster

Rimuovere l'identità assegnata dall'utente usando il modello portale di Azure, C# o Resource Manager come descritto di seguito.

Azure portal

Rimuovere un'identità gestita assegnata dall'utente usando il portale di Azure

1. Accedere al portale di Azure.

2. Selezionare Impostazioni>Identità nel riquadro sinistro del portale.

3. Selezionare la scheda Assegnata dall'utente .

4. Cercare l'identità creata in precedenza e selezionarla. Selezionare Rimuovi.

   

5. Nella finestra popup selezionare Sì per rimuovere l'identità assegnata dall'utente. Il riquadro Identità ripristina la stessa condizione di prima dell'aggiunta dell'identità assegnata dall'utente.

C#

Rimuovere un'identità assegnata dall'utente usando C #

Eseguire il comando seguente per rimuovere l'identità assegnata dall'utente:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Modello di Resource Manager

Rimuovere un'identità assegnata dall'utente usando un modello di azure Resource Manager

Eseguire il comando seguente per rimuovere l'identità assegnata dall'utente:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Nota

• Per rimuovere le identità, impostarne i valori su Null. Tutte le altre identità esistenti non saranno interessate.
• Per rimuovere tutte le identità assegnate dall'utente, la type proprietà sarà None,
• Se il cluster dispone di identità assegnate dal sistema e assegnate dall'utente contemporaneamente, la type proprietà sarà SystemAssigned,UserAssigned con le identità da rimuovere o SystemAssigned per rimuovere tutte le identità assegnate dall'utente.

Passaggi successivi

• Proteggere i cluster di Azure Esplora dati in Azure
• Proteggere il cluster usando Crittografia dischi abilitando la crittografia dei dati inattivi.
• Configurare chiavi gestite dal cliente con C #
• Configurare chiavi gestite dal cliente usando il modello di azure Resource Manager