Zasady tożsamości zarządzanej
Dotyczy: ✅Azure Data Explorer
ManagedIdentity to zasady kontrolujące, które tożsamości zarządzane mogą być używane do jakich celów. Można na przykład skonfigurować zasady, które umożliwiają używanie określonej tożsamości zarządzanej do uzyskiwania dostępu do konta magazynu do celów pozyskiwania.
Te zasady można włączyć na poziomach klastra i bazy danych. Zasady są addytywne, co oznacza, że dla każdej operacji, która obejmuje tożsamość zarządzaną, operacja będzie dozwolona, jeśli użycie jest dozwolone na poziomie klastra lub bazy danych.
Uprawnienia
Tworzenie lub zmienianie zasad tożsamości zarządzanej wymaga uprawnień AllDatabasesAdmin .
Obiekt zasad ManagedIdentity
Klaster lub baza danych może mieć skojarzone z nim zero lub więcej obiektów zasad ManagedIdentity. Każdy obiekt zasad ManagedIdentity ma następujące właściwości, które można definiować przez użytkownika: DisplayName i AllowedUsages. Inne właściwości są automatycznie wypełniane z tożsamości zarządzanej skojarzonej z określonym identyfikatorem ObjectId i wyświetlane dla wygody.
W poniższej tabeli opisano właściwości obiektu zasad ManagedIdentity:
Właściwość | Type | Wymagania | opis |
---|---|---|---|
ObjectId | string |
✔️ | Rzeczywisty identyfikator obiektu tożsamości zarządzanej lub zastrzeżone słowo kluczowe system odwołujące się do tożsamości zarządzanej przez system klastra, na którym jest uruchamiane polecenie. |
ClientId | string |
Nie dotyczy | Identyfikator klienta tożsamości zarządzanej. |
TenantId | string |
Nie dotyczy | Identyfikator dzierżawy tożsamości zarządzanej. |
DisplayName | string |
Nie dotyczy | Nazwa wyświetlana tożsamości zarządzanej. |
IsSystem | bool |
Nie dotyczy | Wartość logiczna wskazująca wartość true, jeśli tożsamość jest tożsamością zarządzaną przez system; wartość false, jeśli w przeciwnym razie. |
AllowedUsages | string |
✔️ | Lista wartości użycia dozwolonych rozdzielonych przecinkami dla tożsamości zarządzanej. Zobacz Użycie tożsamości zarządzanej. |
Poniżej przedstawiono przykład obiektu zasad ManagedIdentity:
{
"ObjectId": "<objectID>",
"ClientId": "<clientID>",
"TenantId": "<tenantID",
"DisplayName": "myManagedIdentity",
"IsSystem": false,
"AllowedUsages": "NativeIngestion, ExternalTable"
}
Użycie tożsamości zarządzanej
Następujące wartości określają uwierzytelnianie przy usage
użyciu skonfigurowanej tożsamości zarządzanej:
Wartość | Opis |
---|---|
All |
Wszystkie bieżące i przyszłe użycie są dozwolone. |
AutomatedFlows |
Uruchom zautomatyzowany przepływ zasad eksportu ciągłego lub aktualizacji w imieniu tożsamości zarządzanej. |
AzureAI |
Uwierzytelnianie w usłudze Azure OpenAI przy użyciu wtyczki ai_embed_text z tożsamością zarządzaną. |
DataConnection |
Uwierzytelnianie w połączeniach danych z centrum zdarzeń lub usługi Event Grid. |
ExternalTable |
Uwierzytelnianie w tabelach zewnętrznych przy użyciu parametry połączenia skonfigurowanych przy użyciu tożsamości zarządzanej. |
NativeIngestion |
Uwierzytelnianie w zestawie SDK na potrzeby pozyskiwania natywnego ze źródła zewnętrznego. |
SandboxArtifacts |
Uwierzytelnianie w artefaktach zewnętrznych przywoływane w wtyczkach w trybie piaskownicy (np. Python) przy użyciu tożsamości zarządzanej. To użycie musi być zdefiniowane w zasadach tożsamości zarządzanej na poziomie klastra. |
SqlRequest |
Uwierzytelnianie w zewnętrznej bazie danych przy użyciu wtyczki sql_request lub cosmosdb_request przy użyciu tożsamości zarządzanej. |