Udostępnij za pośrednictwem

Uruchamianie zadania eksportu ciągłego przy użyciu tożsamości zarządzanej

  • Artykuł

Dotyczy: azure Data Explorer

Zadanie eksportu ciągłego eksportuje dane do tabeli zewnętrznej z okresowo uruchamianym zapytaniem.

Zadanie eksportu ciągłego należy skonfigurować przy użyciu tożsamości zarządzanej w następujących scenariuszach:

  • Gdy tabela zewnętrzna używa uwierzytelniania personifikacji
  • Gdy zapytanie odwołuje się do tabel w innych bazach danych
  • Gdy zapytanie odwołuje się do tabel z włączonymi zasadami zabezpieczeń na poziomie wiersza

Zadanie eksportu ciągłego skonfigurowane przy użyciu tożsamości zarządzanej jest wykonywane w imieniu tożsamości zarządzanej.

Z tego artykułu dowiesz się, jak skonfigurować tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika oraz utworzyć zadanie eksportu ciągłego przy użyciu tej tożsamości.

Warunki wstępne

Konfigurowanie tożsamości zarządzanej

Istnieją dwa typy tożsamości zarządzanych:

  • przypisane przez system: tożsamość przypisana przez system jest połączona z klastrem i jest usuwana po usunięciu klastra. Tylko jedna tożsamość przypisana przez system jest dozwolona dla klastra.

  • przypisane przez użytkownika: tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Do klastra można przypisać wiele tożsamości przypisanych przez użytkownika.

Wybierz jedną z poniższych kart, aby skonfigurować preferowany typ tożsamości zarządzanej.

  1. Wykonaj kroki, aby Dodaj tożsamość przypisaną przez użytkownika.

  2. W witrynie Azure Portal w menu po lewej stronie zasobu tożsamości zarządzanej wybierz pozycję Właściwości. Skopiuj i zapisz identyfikator dzierżawy i identyfikator podmiotu zabezpieczeń do użycia w poniższych krokach.

    Zrzut ekranu przedstawiający obszar witryny Azure Portal z identyfikatorami tożsamości zarządzanej.

  3. Uruchom następujące polecenie .alter-merge policy managed_identity, zastępując <objectId> identyfikatorem obiektu tożsamości zarządzanej z poprzedniego kroku. To polecenie ustawia zasady tożsamości zarządzanej w klastrze, które umożliwiają używanie tożsamości zarządzanej z eksportem ciągłym.

    .alter-merge cluster policy managed_identity ```[
    {
      "ObjectId": "<objectId>",
      "AllowedUsages": "AutomatedFlows"
    }
]```

    Nuta

    Aby ustawić zasady dla określonej bazy danych, użyj database <DatabaseName> zamiast cluster.

  4. Uruchom następujące polecenie, aby udzielić tożsamości zarządzanej Database Viewer uprawnień do wszystkich baz danych używanych do eksportu ciągłego, takich jak baza danych zawierająca tabelę zewnętrzną.

    .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')

    Zastąp <DatabaseName> odpowiednią bazą danych, <objectId> tożsamości zarządzanej identyfikatorem podmiotu zabezpieczeń z kroku 2, a <tenantId> identyfikatorem identyfikatorem dzierżawy firmy Microsoft z kroku 2.

Konfigurowanie tabeli zewnętrznej

Tabele zewnętrzne odnoszą się do danych znajdujących się w usłudze Azure Storage, takich jak Azure Blob Storage, Azure Data Lake Storage Gen1, Azure Data Lake Storage Gen2 lub SQL Server.

Wybierz jedną z poniższych kart, aby skonfigurować zewnętrzną tabelę usługi Azure Storage lub programu SQL Server.

  1. Utwórz parametry połączenia na podstawie szablonów parametrów połączenia magazynu . Ten ciąg wskazuje zasób, aby uzyskać dostęp do informacji o uwierzytelnieniu i jego uwierzytelnieniu. W przypadku przepływów eksportu ciągłego zalecamy uwierzytelniania personifikacji.

  2. Uruchom polecenie .create lub .alter external table, aby utworzyć tabelę. Użyj parametrów połączenia z poprzedniego kroku jako argumentu storageConnectionString.

    Na przykład następujące polecenie tworzy MyExternalTable odwołujące się do danych w formacie CSV w mycontainermystorageaccount w usłudze Azure Blob Storage. Tabela zawiera dwie kolumny— jedną dla liczby całkowitej x i jedną dla ciągu s. Parametry połączenia kończą się ;impersonate, co wskazuje na użycie uwierzytelniania personifikacji w celu uzyskania dostępu do magazynu danych.

    .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
( 
    h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
)

  3. Przyznaj tożsamości zarządzanej uprawnienia do zapisu w odpowiednim zewnętrznym magazynie danych. Tożsamość zarządzana wymaga uprawnień do zapisu, ponieważ zadanie eksportu ciągłego eksportuje dane do magazynu danych w imieniu tożsamości zarządzanej.

    Zewnętrzny magazyn danych Wymagane uprawnienia Udzielanie uprawnień
    Azure Blob Storage Współautor danych obiektu blob usługi Storage przypisywanie roli platformy Azure
    Data Lake Storage Gen2 Współautor danych obiektu blob usługi Storage przypisywanie roli platformy Azure
    Data Lake Storage Gen1 Współautorów przypisywanie roli platformy Azure

Tworzenie zadania eksportu ciągłego

Wybierz jedną z poniższych kart, aby utworzyć zadanie eksportu ciągłego, które jest uruchamiane w imieniu przypisanej przez użytkownika lub przypisanej przez system tożsamości zarządzanej.

Uruchom polecenie .create-or-alter continuous-export z właściwością managedIdentity ustawioną na identyfikator obiektu tożsamości zarządzanej.

Na przykład następujące polecenie tworzy zadanie eksportu ciągłego o nazwie MyExport w celu wyeksportowania danych w MyTable do MyExternalTable w imieniu tożsamości zarządzanej przypisanej przez użytkownika. <objectId> powinien być identyfikatorem obiektu tożsamości zarządzanej.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

Powiązana zawartość