Używanie tożsamości zarządzanych do uzyskiwania dostępu do usługi Event Hubs z zadania usługi Azure Stream Analytics
Usługa Azure Stream Analytics obsługuje uwierzytelnianie tożsamości zarządzanej dla danych wejściowych i wyjściowych usługi Azure Event Hubs. Tożsamości zarządzane eliminują ograniczenia metod uwierzytelniania opartych na użytkownikach, takie jak konieczność ponownego uwierzytelnienia z powodu zmian haseł lub wygasania tokenów użytkownika, które występują co 90 dni. Po usunięciu konieczności ręcznego uwierzytelniania wdrożenia usługi Stream Analytics mogą być w pełni zautomatyzowane.
Tożsamość zarządzana to aplikacja zarządzana zarejestrowana w identyfikatorze Entra firmy Microsoft, która reprezentuje dane zadanie usługi Stream Analytics. Aplikacja zarządzana służy do uwierzytelniania w zasobie docelowym, w tym w centrach zdarzeń, które znajdują się za zaporą lub siecią wirtualną. Aby uzyskać więcej informacji na temat obejścia zapór, zobacz Zezwalanie na dostęp do przestrzeni nazw usługi Azure Event Hubs za pośrednictwem prywatnych punktów końcowych.
W tym artykule pokazano, jak włączyć tożsamość zarządzaną dla danych wejściowych lub wyjściowych centrum zdarzeń zadania usługi Stream Analytics za pośrednictwem witryny Azure Portal. Przed włączeniem tożsamości zarządzanej należy najpierw mieć zadanie usługi Stream Analytics i zasób usługi Event Hubs.
Tworzenie tożsamości zarządzanej
Najpierw utworzysz tożsamość zarządzaną dla zadania usługi Azure Stream Analytics.
W witrynie Azure Portal otwórz zadanie usługi Azure Stream Analytics.
W menu nawigacji po lewej stronie wybierz pozycję Tożsamość zarządzana znajdującą się w obszarze Konfiguruj. Następnie zaznacz pole wyboru obok pozycji Użyj tożsamości zarządzanej przypisanej przez system i wybierz pozycję Zapisz.
Jednostka usługi dla tożsamości zadania usługi Stream Analytics jest tworzona w identyfikatorze Entra firmy Microsoft. Cykl życia nowo utworzonej tożsamości jest zarządzany przez platformę Azure. Po usunięciu zadania usługi Stream Analytics skojarzona tożsamość (czyli jednostka usługi) jest automatycznie usuwana przez platformę Azure.
Podczas zapisywania konfiguracji identyfikator obiektu (OID) jednostki usługi jest wyświetlany jako identyfikator podmiotu zabezpieczeń, jak pokazano poniżej:
Jednostka usługi ma taką samą nazwę jak zadanie usługi Stream Analytics. Jeśli na przykład nazwa zadania to
MyASAJob
, nazwa jednostki usługi to równieżMyASAJob
.
Udzielanie uprawnień zadania usługi Stream Analytics w celu uzyskania dostępu do usługi Event Hubs
Aby zadanie usługi Stream Analytics mogło uzyskać dostęp do centrum zdarzeń przy użyciu tożsamości zarządzanej, utworzona jednostka usługi musi mieć specjalne uprawnienia do centrum zdarzeń.
Wybierz pozycję Kontrola dostępu (IAM).
Wybierz pozycję Dodaj>przypisanie roli, aby otworzyć stronę Dodawanie przypisania roli.
Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Uwaga
W przypadku udzielania dostępu do dowolnego zasobu należy udzielić najmniej potrzebnego dostępu. W zależności od tego, czy konfigurujesz usługę Event Hubs jako dane wejściowe lub wyjściowe, może nie być konieczne przypisanie roli właściciela danych usługi Azure Event Hubs, która przyznałaby więcej niż wymagany dostęp do zasobu usługi EventHub. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie aplikacji przy użyciu identyfikatora Entra firmy Microsoft w celu uzyskania dostępu do zasobów usługi Event Hubs
Ustawienie | Wartość |
---|---|
Rola | Właściciel danych usługi Azure Event Hubs |
Przypisz dostęp do | Użytkownik, grupa lub jednostka usługi |
Elementy członkowskie | <Nazwa zadania usługi Stream Analytics> |
Tę rolę można również przyznać na poziomie przestrzeni nazw usługi Event Hubs, co naturalnie propaguje uprawnienia do wszystkich utworzonych w niej centrów zdarzeń. Oznacza to, że wszystkie centra zdarzeń w przestrzeni nazw mogą być używane jako zasób uwierzytelniania tożsamości zarządzanej w zadaniu usługi Stream Analytics.
Uwaga
Ze względu na globalne opóźnienie replikacji lub buforowania może wystąpić opóźnienie, gdy uprawnienia zostaną odwołane lub przyznane. Zmiany powinny zostać odzwierciedlone w ciągu 8 minut.
Tworzenie danych wejściowych lub wyjściowych usługi Event Hubs
Po skonfigurowaniu tożsamości zarządzanej możesz dodać zasób centrum zdarzeń jako dane wejściowe lub wyjściowe do zadania usługi Stream Analytics.
Dodawanie usługi Event Hubs jako danych wejściowych
Przejdź do zadania usługi Stream Analytics i przejdź do strony Dane wejściowe w obszarze Topologia zadań.
Wybierz pozycję Dodaj centrum zdarzeń wejściowych > strumienia. W oknie właściwości wejściowych wyszukaj centrum zdarzeń i wybierz pozycję Tożsamość zarządzana z menu rozwijanego Tryb uwierzytelniania.
Wypełnij pozostałe właściwości i wybierz pozycję Zapisz.
Dodawanie usługi Event Hubs jako danych wyjściowych
Przejdź do zadania usługi Stream Analytics i przejdź do strony Dane wyjściowe w obszarze Topologia zadań.
Wybierz pozycję Dodaj > centrum zdarzeń. W oknie właściwości danych wyjściowych wyszukaj centrum zdarzeń i wybierz pozycję Tożsamość zarządzana z menu rozwijanego Tryb uwierzytelniania.
Wypełnij pozostałe właściwości i wybierz pozycję Zapisz.