クロステナント クエリとコマンドを許可する
- [アーティクル]
-
-
複数のテナントのプリンシパルは、1 つの Azure Data Explorer クラスターでクエリとコマンドを実行できます。 この記事では、別のテナントのプリンシパルにクラスターのアクセス権を付与する方法について説明します。
クラスターで trustedExternalTenants を設定するには、ARM テンプレート、AZ CLI、PowerShell、Azure Resource Explorer を使用するか、API 要求を送信します。
次の例は、ポータルで、または API 要求を使って、信頼できるテナントを定義する方法を示しています。
Note
クエリまたはコマンドを実行するプリンシパルには、関連するデータベース ロールも必要です。 ロールベースのアクセス制御に関する記事も参照してください。 正しいロールの検証は、信頼された外部テナントの検証後に行われます。
Azure portal で、Azure Data Explorer クラスターのページに移動します。
左側のメニューの [設定] の下にある [セキュリティ] をクリックします。
目的のテナントのアクセス許可を定義します。
![[セキュリティ] ブレードのスクリーンショット。](media/define-trusted-external-tenants/trusted-external-tenants.png)
構文
特定のテナントを許可する
trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]
すべてのテナントを許可する
trustedExternalTenants 配列は、すべてのテナントを示すスター ('*') 表記もサポートしています。これにより、すべてのテナントからのクエリとコマンドが許可されます。
trustedExternalTenants: [ { "value": "*" }]
Note
trustedExternalTenants の既定値は、すべてのテナント ([ { "value": "*" }]) です。 クラスターの作成時に外部テナント配列が定義されなかった場合、クラスターの更新操作でこれを上書きできます。 空の配列は、クラスター テナントの ID のみがこのクラスターに対する認証を許可されることを意味します。
構文規則について詳しく知る。
例
次の例では、特定のテナントがクラスターに対してクエリを実行できるようにします。
{
"properties": {
"trustedExternalTenants": [
{ "value": "tenantId1" },
{ "value": "tenantId2" },
...
]
}
}
次の例では、すべてのテナントがクラスターに対してクエリを実行できるようにします。
{
"properties": {
"trustedExternalTenants": [ { "value": "*" } ]
}
}
クラスターの更新
次の操作を使用してクラスターを更新します。
PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18
プリンシパルの追加
trustedExternalTenants プロパティを更新した後、承認されたテナントのプリンシパルにアクセス権を付与できます。 Azure portal を使用して、プリンシパルにクラスター レベルのアクセス許可またはデータベース アクセス許可を付与します。 または、データベース、テーブル、関数、または具体化されたビュー レベルへのアクセス権を付与するには、管理コマンドを使用します。
制限事項
この機能の構成は、Azure Data Explorer に接続しようとしている Microsoft Entra ID (ユーザー、アプリケーション、グループ) にのみ適用されます。 Microsoft Entra 間のインジェストには影響しません。
![[セキュリティ] ブレードのスクリーンショット。](media/define-trusted-external-tenants/trusted-external-tenants.png#lightbox)