Delen via

Een beheerde identiteit gebruiken om een continue exporttaak uit te voeren

  • Artikel

Van toepassing op: ✅Azure Data Explorer-

Een taak voor continue export gegevens exporteert naar een externe tabel met een periodiek uitgevoerde query.

De taak voor continue export moet worden geconfigureerd met een beheerde identiteit in de volgende scenario's:

  • Wanneer de externe tabel imitatieverificatie gebruikt
  • Wanneer de query verwijst naar tabellen in andere databases
  • Wanneer de query verwijst naar tabellen met een ingeschakeld beveiligingsbeleid op rijniveau

Een continue exporttaak die is geconfigureerd met een beheerde identiteit, wordt uitgevoerd namens de beheerde identiteit.

In dit artikel leert u hoe u een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit configureert en een continue exporttaak maakt met die identiteit.

Voorwaarden

Een beheerde identiteit configureren

Er zijn twee typen beheerde identiteiten:

  • door het systeem toegewezen: er is een door het systeem toegewezen identiteit verbonden met uw cluster en wordt verwijderd wanneer het cluster wordt verwijderd. Per cluster is slechts één door het systeem toegewezen identiteit toegestaan.

  • door de gebruiker toegewezen: een door de gebruiker toegewezen beheerde identiteit is een zelfstandige Azure-resource. Meerdere door de gebruiker toegewezen identiteiten kunnen worden toegewezen aan uw cluster.

Selecteer een van de volgende tabbladen om uw voorkeurstype beheerde identiteit in te stellen.

  1. Volg de stappen om een door de gebruiker toegewezen identiteit toe te .

  2. Selecteer in azure Portal in het linkermenu van uw beheerde identiteitsresource Eigenschappen. Kopieer en sla de tenant-id en principal-id op voor gebruik in de volgende stappen.

    Schermopname van het gebied van Azure Portal met id's voor beheerde identiteiten.

  3. Voer de volgende .alter-merge policy managed_identity opdracht uit, waarbij u <objectId> vervangt door de id van het beheerde identiteitsobject uit de vorige stap. Met deze opdracht wordt een beheerd identiteitsbeleid ingesteld op het cluster waarmee de beheerde identiteit kan worden gebruikt met continue export.

    .alter-merge cluster policy managed_identity ```[
    {
      "ObjectId": "<objectId>",
      "AllowedUsages": "AutomatedFlows"
    }
]```

    Notitie

    Als u het beleid voor een specifieke database wilt instellen, gebruikt u database <DatabaseName> in plaats van cluster.

  4. Voer de volgende opdracht uit om de beheerde identiteit Database Viewer machtigingen te verlenen voor alle databases die worden gebruikt voor continue export, zoals de database die de externe tabel bevat.

    .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')

    Vervang <DatabaseName> door de relevante database, <objectId> door de beheerde identiteit principal-id uit stap 2 en <tenantId> door de Microsoft Entra-id tenant-id uit stap 2.

Een externe tabel instellen

Externe tabellen verwijzen naar gegevens die zich in Azure Storage bevinden, zoals Azure Blob Storage, Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2 of SQL Server.

Selecteer een van de volgende tabbladen om een externe tabel van Azure Storage of SQL Server in te stellen.

  1. Maak een verbindingsreeks op basis van de -opslagverbindingsreekssjablonen. Deze tekenreeks geeft de resource aan die toegang heeft tot en de verificatiegegevens. Voor continue exportstromen raden we imitatieverificatie aan.

  2. Voer de opdracht .create of .alter external table uit om de tabel te maken. Gebruik de verbindingsreeks uit de vorige stap als het argument storageConnectionString.

    Met de volgende opdracht maakt u bijvoorbeeld MyExternalTable die verwijst naar gegevens in CSV-indeling in mycontainer van mystorageaccount in Azure Blob Storage. De tabel heeft twee kolommen, één voor een geheel getal x en één voor een tekenreeks s. De verbindingsreeks eindigt met ;impersonate, wat aangeeft dat imitatieverificatie moet worden gebruikt voor toegang tot het gegevensarchief.

    .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
( 
    h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
)

  3. Verdeel de beheerde identiteit schrijfmachtigingen over het relevante externe gegevensarchief. De beheerde identiteit heeft schrijfmachtigingen nodig omdat de taak voor continue export gegevens exporteert naar het gegevensarchief namens de beheerde identiteit.

    Extern gegevensarchief Vereiste machtigingen De machtigingen verlenen
    Azure Blob Storage Inzender voor opslagblobgegevens Een Azure-rol toewijzen
    Data Lake Storage Gen2 Inzender voor opslagblobgegevens Een Azure-rol toewijzen
    Data Lake Storage Gen1 Donateur Een Azure-rol toewijzen

Een doorlopende exporttaak maken

Selecteer een van de volgende tabbladen om een doorlopende exporttaak te maken die wordt uitgevoerd namens een door de gebruiker toegewezen of door het systeem toegewezen beheerde identiteit.

Voer de opdracht .create-or-alter continuous-export uit met de eigenschap managedIdentity ingesteld op de object-id van de beheerde identiteit.

Met de volgende opdracht maakt u bijvoorbeeld een doorlopende exporttaak met de naam MyExport om de gegevens in MyTable te exporteren naar MyExternalTable namens een door de gebruiker toegewezen beheerde identiteit. <objectId> moet een object-id van een beheerde identiteit zijn.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

Verwante inhoud