Udostępnij za pośrednictwem


Zasady tożsamości zarządzanej

Dotyczy: ✅Azure Data Explorer

ManagedIdentity to zasady kontrolujące, które tożsamości zarządzane mogą być używane do jakich celów. Można na przykład skonfigurować zasady, które umożliwiają używanie określonej tożsamości zarządzanej do uzyskiwania dostępu do konta magazynu do celów pozyskiwania.

Te zasady można włączyć na poziomach klastra i bazy danych. Zasady są addytywne, co oznacza, że dla każdej operacji, która obejmuje tożsamość zarządzaną, operacja będzie dozwolona, jeśli użycie jest dozwolone na poziomie klastra lub bazy danych.

Uprawnienia

Tworzenie lub zmienianie zasad tożsamości zarządzanej wymaga uprawnień AllDatabasesAdmin .

Obiekt zasad ManagedIdentity

Klaster lub baza danych może mieć skojarzone z nim zero lub więcej obiektów zasad ManagedIdentity. Każdy obiekt zasad ManagedIdentity ma następujące właściwości, które można definiować przez użytkownika: DisplayName i AllowedUsages. Inne właściwości są automatycznie wypełniane z tożsamości zarządzanej skojarzonej z określonym identyfikatorem ObjectId i wyświetlane dla wygody.

W poniższej tabeli opisano właściwości obiektu zasad ManagedIdentity:

Właściwość Type Wymagania opis
ObjectId string ✔️ Rzeczywisty identyfikator obiektu tożsamości zarządzanej lub zastrzeżone słowo kluczowe system odwołujące się do tożsamości zarządzanej przez system klastra, na którym jest uruchamiane polecenie.
ClientId string Nie dotyczy Identyfikator klienta tożsamości zarządzanej.
TenantId string Nie dotyczy Identyfikator dzierżawy tożsamości zarządzanej.
DisplayName string Nie dotyczy Nazwa wyświetlana tożsamości zarządzanej.
IsSystem bool Nie dotyczy Wartość logiczna wskazująca wartość true, jeśli tożsamość jest tożsamością zarządzaną przez system; wartość false, jeśli w przeciwnym razie.
AllowedUsages string ✔️ Lista wartości użycia dozwolonych rozdzielonych przecinkami dla tożsamości zarządzanej. Zobacz Użycie tożsamości zarządzanej.

Poniżej przedstawiono przykład obiektu zasad ManagedIdentity:

{
  "ObjectId": "<objectID>",
  "ClientId": "<clientID>",
  "TenantId": "<tenantID",
  "DisplayName": "myManagedIdentity",
  "IsSystem": false,
  "AllowedUsages": "NativeIngestion, ExternalTable"
}

Użycie tożsamości zarządzanej

Następujące wartości określają uwierzytelnianie przy usage użyciu skonfigurowanej tożsamości zarządzanej:

Wartość Opis
All Wszystkie bieżące i przyszłe użycie są dozwolone.
AutomatedFlows Uruchom zautomatyzowany przepływ zasad eksportu ciągłego lub aktualizacji w imieniu tożsamości zarządzanej.
AzureAI Uwierzytelnianie w usłudze Azure OpenAI przy użyciu wtyczki ai_embed_text z tożsamością zarządzaną.
DataConnection Uwierzytelnianie w połączeniach danych z centrum zdarzeń lub usługi Event Grid.
ExternalTable Uwierzytelnianie w tabelach zewnętrznych przy użyciu parametry połączenia skonfigurowanych przy użyciu tożsamości zarządzanej.
NativeIngestion Uwierzytelnianie w zestawie SDK na potrzeby pozyskiwania natywnego ze źródła zewnętrznego.
SandboxArtifacts Uwierzytelnianie w artefaktach zewnętrznych przywoływane w wtyczkach w trybie piaskownicy (np. Python) przy użyciu tożsamości zarządzanej. To użycie musi być zdefiniowane w zasadach tożsamości zarządzanej na poziomie klastra.
SqlRequest Uwierzytelnianie w zewnętrznej bazie danych przy użyciu wtyczki sql_request lub cosmosdb_request przy użyciu tożsamości zarządzanej.