Zezwalanie na zapytania i polecenia między dzierżawami

Podmioty zabezpieczeń z wielu dzierżaw mogą uruchamiać zapytania i polecenia w jednym klastrze usługi Azure Data Explorer. W tym artykule dowiesz się, jak udzielić klastrowi dostępu do podmiotów zabezpieczeń z innej dzierżawy.

Aby ustawić trustedExternalTenants klaster, użyj szablonów usługi ARM, interfejsu wiersza polecenia az, programu PowerShell, eksploratora zasobów platformy Azure lub wyślij żądanie interfejsu API.

W poniższych przykładach pokazano, jak zdefiniować zaufane dzierżawy w portalu i za pomocą żądania interfejsu API.

Uwaga

Podmiot zabezpieczeń, który będzie uruchamiał zapytania lub polecenia, musi również mieć odpowiednią rolę bazy danych. Zobacz również kontrolę dostępu opartą na rolach. Walidacja prawidłowych ról odbywa się po weryfikacji zaufanych dzierżaw zewnętrznych.

Portal

1. W witrynie Azure Portal przejdź do strony klastra usługi Azure Data Explorer.

2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Zabezpieczenia.

3. Zdefiniuj odpowiednie uprawnienia dzierżaw.

API

Składnia

Zezwalaj na określone dzierżawy

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Zezwalaj na wszystkie dzierżawy

Tablica trustedExternalTenants obsługuje również notację gwiazdek wszystkich dzierżaw ('*'), która umożliwia wykonywanie zapytań i poleceń ze wszystkich dzierżaw.

trustedExternalTenants: [ { "value": "*" }]

Uwaga

Wartością domyślną dla trustedExternalTenants parametru są wszystkie dzierżawy: [ { "value": "*" }]. Jeśli tablica dzierżaw zewnętrznych nie została zdefiniowana podczas tworzenia klastra, można ją zastąpić operacją aktualizacji klastra. Pusta tablica oznacza, że tylko tożsamości dzierżawy klastrów mogą uwierzytelniać się w tym klastrze.

Dowiedz się więcej na temat konwencji składni.

Przykłady

Poniższy przykład umożliwia określonym dzierżawcom uruchamianie zapytań w klastrze:

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

Poniższy przykład umożliwia wszystkim dzierżawcom uruchamianie zapytań w klastrze:

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Aktualizowanie klastra

Zaktualizuj klaster przy użyciu następującej operacji:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Dodawanie podmiotów zabezpieczeń

Po zaktualizowaniu trustedExternalTenants właściwości można udzielić dostępu do podmiotów zabezpieczeń z zatwierdzonych dzierżaw. Użyj witryny Azure Portal, aby przyznać główne uprawnienia na poziomie klastra lub uprawnienia bazy danych. Alternatywnie, aby udzielić dostępu do bazy danych, tabeli, funkcji lub zmaterializowanego poziomu widoku, użyj poleceń zarządzania.

Ograniczenia

Konfiguracja tej funkcji ma zastosowanie wyłącznie do tożsamości firmy Microsoft (użytkownicy, aplikacje, grupy) próbujących nawiązać połączenie z usługą Azure Data Explorer. Nie ma to wpływu na pozyskiwanie danych między firmą Microsoft.