Azure Data Explorer クラスターのマネージド ID の構成

Microsoft Entra ID のマネージド ID を使用すると、クラスターは Azure Key Vault などの他のMicrosoft Entra保護されたリソースにアクセスできます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。

この記事では、クラスター上のマネージド ID を追加および削除する方法について説明します。 マネージド ID の詳細については、「マネージド ID の概要」を参照してください。

注意

Azure Data Explorer クラスターがサブスクリプションやテナント間で移行された場合、Azure Data Explorer のマネージド ID は想定されたとおりに動作しません。 アプリは新しい ID を取得する必要があります。これを行うには、 システム割り当て ID を削除 してから 、システム割り当て ID を追加します。 新しい ID を使用するには、ダウンストリーム リソースのアクセス ポリシーも更新する必要があります。

以前の SDK バージョンに基づくコード サンプルについては、 アーカイブされた記事を参照してください。

マネージド ID の種類

Azure Data Explorer クラスターには、次の 2 種類の ID を付与できます。

• システム割り当て ID:クラスターに関連付けられ、リソースが削除された場合は削除されます。 クラスターは 1 つのシステム割り当て ID しか持つことはできません。

• ユーザー割り当て ID: クラスターに割り当てることができるスタンドアロン Azure リソース。 クラスターは複数のユーザー割り当て ID を持つことができます。

システム割り当て ID を追加する

クラスターに関連付けられており、クラスターが削除されると削除されるシステム割り当て ID を割り当てます。 クラスターは 1 つのシステム割り当て ID しか持つことはできません。 システム割り当て ID を持つクラスターを作成するには、クラスター上で追加のプロパティを設定する必要があります。 以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してシステム割り当て ID を追加します。

Azure Portal

Azure portal を使用してシステム割り当て ID を追加する

Azure portal にサインインします。

新しい Azure Data Explorer クラスター

1. Azure Data Explorer クラスターを作成します

2. [セキュリティ] タブ >[システム割り当て ID] で、[オン] を選択します。 システム割り当て ID を削除するには、 [オフ] を選択します。

3. [次へ: タグ] > または [確認と作成] を選択して、クラスターを作成します。

   

既存の Azure Data Explorer クラスター

1. 既存の Azure Data Explorer クラスターを開きます。

2. ポータルの左ペインで、[設定][ID] を選択します。

3. [ID] ペイン >[システム割り当て] タブで、次のようにします。

   1. [状態] スライダーを [オン] に移動します。
   2. [保存] を選びます。
   3. ポップアップ ウィンドウで、 [はい] を選択します。

   

4. 数分後、画面に以下が表示されます。

   • オブジェクト ID - カスタマー マネージド キーに使用されます
   • アクセス許可 - 関連するロールの割り当てを選択します

   

C#

C# を使用してシステム割り当て ID を追加する

前提条件

Azure Data Explorer C# クライアントを使用してマネージド ID を設定するには、次のようにします。

• Azure Data Explorer NuGet パッケージをインストールします。
• 認証用の Azure.Identity NuGet パッケージ をインストールします。
• リソースにアクセスできるMicrosoft Entraアプリケーションとサービス プリンシパルを作成します。 サブスクリプションのスコープでロールの割り当てを追加し、必要な Directory (tenant) ID、Application ID、および Client Secret を取得します。

クラスターを作成または更新します

1. Identity プロパティを使用してクラスターを作成または更新します。

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. 次のコマンドを実行して、クラスターが ID とともに正常に作成または更新されたかどうかを確認します。

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   結果の ProvisioningState の値が Succeeded であれば、クラスターが作成または更新されたので、次のプロパティを持つはずです。

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId と TenantId は GUID で置き換えられます。 プロパティはTenantId、ID が属するMicrosoft Entraテナントを識別します。 PrincipalId は、クラスターの新しい ID の一意識別子です。 Microsoft Entra ID 内では、サービス プリンシパルには、App Service または Azure Functions インスタンスに指定したのと同じ名前が付けられます。

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、システム割り当て ID を追加する

Azure Resource Manager テンプレートを使って、Azure リソースのデプロイを自動化できます。 Azure Data Explorer へのデプロイの詳細については、「Azure Resource Manager テンプレートを使用して Azure Data Explorer クラスターとデータベースを作成する」を参照してください。

システム割り当てタイプを追加することで、Azure に対してクラスターの ID を作成して管理するように指示します。 種類が Microsoft.Kusto/clusters であるすべてのリソースは、リソース定義に次のプロパティを含めることにより、ID を使って作成できます。

{
   "identity": {
      "type": "SystemAssigned"
   }
}

次に例を示します。

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

注意

クラスターは、システム割り当て ID とユーザー割り当て ID の両方を同時に持つことができます。 type プロパティは SystemAssigned,UserAssigned になります。

クラスターが作成されると、次の追加プロパティを持ちます。

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> と <PRINCIPALID> は GUID で置き換えられます。 プロパティはTenantId、ID が属するMicrosoft Entraテナントを識別します。 PrincipalId は、クラスターの新しい ID の一意識別子です。 Microsoft Entra ID 内では、サービス プリンシパルには、App Service または Azure Functions インスタンスに指定したのと同じ名前が付けられます。

システム割り当て ID を削除する

システム割り当て ID を削除すると、Microsoft Entra ID からも削除されます。 クラスター リソースが削除されると、システム割り当て ID も Microsoft Entra ID から自動的に削除されます。 システム割り当て ID を削除するには、機能を無効にします。 以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してシステム割り当て ID を削除します。

Azure portal

Azure portal を使用してシステム割り当て ID を削除する

1. Azure portal にサインインします。

2. ポータルの左ペインで、 [設定]>[ID] を選択します。

3. [ID] ペイン >[システム割り当て] タブで、次のようにします。

   1. [状態] スライダーを [オフ] に移動します。
   2. [保存] を選びます。
   3. ポップアップ ウィンドウで [はい] を選択して、システム割り当て ID を無効にします。 [ID] ペインは、システム割り当て ID が追加される前と同じ状態に戻ります。

   

C#

C# を使用してシステム割り当て ID を削除する

システム割り当て ID を削除するには、次を実行します。

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、システム割り当て ID を削除する

システム割り当て ID を削除するには、次を実行します。

{
   "identity": {
      "type": "None"
   }
}

注意

クラスターにシステム割り当てとユーザー割り当て ID の両方が同時にある場合、システム割り当て ID の削除後、type プロパティは UserAssigned になります。

ユーザー割り当て ID を追加する

クラスターにユーザー割り当てマネージド ID を割り当てます。 クラスターは複数のユーザー割り当て ID を持つことができます。 ユーザー割り当て ID を持つクラスターを作成するには、クラスター上で追加のプロパティを設定する必要があります。 以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してユーザー割り当て ID を追加します。

Azure portal

Azure portal を使用してユーザー割り当て ID を追加する

1. Azure portal にサインインします。

2. ユーザー割り当てマネージド ID リソースを作成します。

3. 既存の Azure Data Explorer クラスターを開きます。

4. ポータルの左ペインで、[設定][ID] を選択します。

5. [ユーザー割り当て済み] タブで、 [追加] を選択します。

6. 先ほど作成した ID を検索して選択します。 [追加] を選択します。

   

C#

C# を使用してユーザー割り当て ID を追加する

前提条件

Azure Data Explorer C# クライアントを使用してマネージド ID を設定するには、次のようにします。

• Azure Data Explorer NuGet パッケージをインストールします。
• 認証用の Azure.Identity NuGet パッケージ をインストールします。
• リソースにアクセスできるMicrosoft Entraアプリケーションとサービス プリンシパルを作成します。 サブスクリプションのスコープでロールの割り当てを追加し、必要な Directory (tenant) ID、Application ID、および Client Secret を取得します。

クラスターを作成または更新します

1. Identity プロパティを使用してクラスターを作成または更新します。

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. 次のコマンドを実行して、クラスターが ID とともに正常に作成または更新されたかどうかを確認します。

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   結果の ProvisioningState の値が Succeeded であれば、クラスターが作成または更新されたので、次のプロパティを持つはずです。

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   PrincipalIdは、Microsoft Entra管理に使用される ID の一意識別子です。 ClientId は、ランタイム呼び出し中に使用される ID を指定するために使用される、アプリケーションの新しい ID の一意識別子です。

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、ユーザー割り当て ID を追加する

Azure Resource Manager テンプレートを使って、Azure リソースのデプロイを自動化できます。 Azure Data Explorer へのデプロイの詳細については、「Azure Resource Manager テンプレートを使用して Azure Data Explorer クラスターとデータベースを作成する」を参照してください。

種類が Microsoft.Kusto/clusters であるリソースは、リソース定義に次のプロパティを含めて、<RESOURCEID> を目的の ID のリソース ID と置き換えることで、ユーザー割り当て ID を使って作成できます。

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

次に例を示します。

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

クラスターが作成されると、次の追加プロパティを持ちます。

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalIdは、Microsoft Entra管理に使用される ID の一意識別子です。 ClientId は、ランタイム呼び出し中に使用される ID を指定するために使用される、アプリケーションの新しい ID の一意識別子です。

注意

クラスターは、システム割り当て ID とユーザー割り当て ID の両方を同時に持つことができます。 この場合、type プロパティは SystemAssigned,UserAssigned になります。

クラスターからユーザー割り当てマネージド ID を削除する

以下に詳細を示すとおり、Azure portal、C#、または Resource Manager テンプレートを使用してユーザー割り当て ID を削除します。

Azure portal

Azure portal を使用して、ユーザー割り当てマネージド ID を削除する

1. Azure portal にサインインします。

2. ポータルの左ペインで、 [設定]>[ID] を選択します。

3. [ユーザー割り当て済み] タブを選択します。

4. 先ほど作成した ID を検索して選択します。 [削除] を選択します。

   

5. ポップアップ ウィンドウで [はい] を選択して、ユーザー割り当て ID を削除します。 [ID] ペインは、ユーザー割り当て ID が追加される前と同じ状態に戻ります。

C#

C# を使用してユーザー割り当て ID を削除する

ユーザー割り当て ID を削除するには、次を実行します。

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

Resource Manager テンプレート

Azure Resource Manager テンプレートを使用して、ユーザー割り当て ID を削除する

ユーザー割り当て ID を削除するには、次を実行します。

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

注意

• ID を削除するには、値を null 値に設定します。 その他のすべての既存の ID は影響を受けません。
• すべてのユーザー割り当て ID を削除するには、type プロパティを None にします。
• クラスターにシステム割り当てとユーザー割り当ての両方の ID が同時にある場合、type プロパティは削除する ID により SystemAssigned,UserAssigned となるか、またはすべてのユーザー割り当て ID を削除する場合は SystemAssigned となります。

関連コンテンツ

• Azure で Azure Data Explorer クラスターをセキュリティで保護する
• 保存時の暗号化を有効にすることで、ディスク暗号化を使用してをクラスターをセキュリティで保護する。
• C# を使用してカスタマー マネージド キーを構成する
• Azure Resource Manager テンプレートを使用してカスタマー マネージド キーを構成する