Konfigurowanie tożsamości zarządzanych dla klastra usługi Azure Data Explorer

Tożsamość zarządzana z usługi Azure Active Directory umożliwia klastrowi łatwy dostęp do innych zasobów chronionych Azure AD, takich jak Azure Key Vault. Tożsamość jest zarządzana przez platformę Azure i nie wymaga aprowizowania ani rotacji żadnych wpisów tajnych. Konfiguracja tożsamości zarządzanej jest obecnie obsługiwana tylko w celu włączenia kluczy zarządzanych przez klienta dla klastra.

Aby zapoznać się z omówieniem tożsamości zarządzanych, zobacz Uwierzytelnianie przy użyciu tożsamości zarządzanych w klastrze usługi Azure Data Explorer.

Klaster usługi Azure Data Explorer może mieć dwa typy tożsamości:

• Tożsamość przypisana przez system: powiązana z klastrem i usunięta, jeśli zasób zostanie usunięty. Klaster może mieć tylko jedną tożsamość przypisaną przez system.
• Tożsamość przypisana przez użytkownika: autonomiczny zasób platformy Azure, który można przypisać do klastra. Klaster może mieć wiele tożsamości przypisanych przez użytkownika.

W tym artykule pokazano, jak dodawać i usuwać tożsamości zarządzane przypisane przez system i przypisane przez użytkownika dla klastrów usługi Azure Data Explorer.

Uwaga

Tożsamości zarządzane dla usługi Azure Data Explorer nie będą zachowywać się zgodnie z oczekiwaniami, jeśli klaster usługi Azure Data Explorer jest migrowany między subskrypcjami lub dzierżawami. Aplikacja będzie musiała uzyskać nową tożsamość, którą można wykonać, wyłączając i ponownie włączając tę funkcję. Zasady dostępu do zasobów podrzędnych będą również musiały zostać zaktualizowane, aby używać nowej tożsamości.

Dodawanie tożsamości przypisanej przez system

Przypisz tożsamość przypisaną przez system powiązaną z klastrem i zostanie usunięta, jeśli klaster zostanie usunięty. Klaster może mieć tylko jedną tożsamość przypisaną przez system. Utworzenie klastra z tożsamością przypisaną przez system wymaga ustawienia dodatkowej właściwości w klastrze. Dodaj tożsamość przypisaną przez system przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Dodawanie tożsamości przypisanej przez system przy użyciu Azure Portal

Zaloguj się w witrynie Azure Portal.

Nowy klaster usługi Azure Data Explorer

1. Tworzenie klastra usługi Azure Data Explorer

2. Na karcie >ZabezpieczeniaTożsamość przypisana przez system wybierz pozycję Włączone. Aby usunąć tożsamość przypisaną przez system, wybierz pozycję Wyłączone.

3. Wybierz pozycję Dalej: Tagi > lub Przejrzyj i utwórz, aby utworzyć klaster.

   

Istniejący klaster usługi Azure Data Explorer

1. Otwórz istniejący klaster usługi Azure Data Explorer.

2. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

3. Na karcie Przypisane przez systemokienka> Tożsamości:

   1. Przesuń suwak Stan do pozycji Włączone.
   2. Wybierz pozycję Zapisz
   3. W oknie podręcznym wybierz pozycję Tak

   

4. Po kilku minutach zostanie wyświetlony ekran:

   • Identyfikator obiektu — używany dla kluczy zarządzanych przez klienta
   • Uprawnienia — wybieranie odpowiednich przypisań ról

   

C#

Dodawanie tożsamości przypisanej przez system przy użyciu języka C #

Wymagania wstępne

Aby skonfigurować tożsamość zarządzaną przy użyciu klienta usługi Azure Data Explorer C#:

• Zainstaluj pakiet NuGet usługi Azure Data Explorer.
• Zainstaluj pakiet NuGet Microsoft.Identity.Client na potrzeby uwierzytelniania.
• Zainstaluj pakiet NuGet Microsoft.Rest.ClientRuntime na potrzeby uwierzytelniania.
• Utwórz aplikację Azure AD i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Dodasz przypisanie roli w zakresie subskrypcji i uzyskasz wymagane Directory (tenant) IDwartości , Application IDi Client Secret.

Tworzenie lub aktualizowanie klastra

1. Utwórz lub zaktualizuj klaster przy użyciu Identity właściwości :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Uruchom następujące polecenie, aby sprawdzić, czy klaster został pomyślnie utworzony lub zaktualizowany przy użyciu tożsamości:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Jeśli wynik zawiera ProvisioningStateSucceeded wartość, klaster został utworzony lub zaktualizowany i powinien mieć następujące właściwości:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId i TenantId są zastępowane identyfikatorami GUID. Właściwość TenantId identyfikuje dzierżawę Azure AD, do której należy tożsamość. Jest PrincipalId to unikatowy identyfikator nowej tożsamości klastra. W ramach Azure AD jednostka usługi ma taką samą nazwę, jaką nadaliśmy wystąpieniu App Service lub Azure Functions.

Szablon usługi Resource Manager

Dodawanie tożsamości przypisanej przez system przy użyciu szablonu usługi Azure Resource Manager

Szablon usługi Azure Resource Manager może służyć do automatyzowania wdrażania zasobów platformy Azure. Aby dowiedzieć się więcej na temat wdrażania w usłudze Azure Data Explorer, zobacz Tworzenie klastra i bazy danych usługi Azure Data Explorer przy użyciu szablonu usługi Azure Resource Manager.

Dodanie typu przypisanego przez system informuje platformę Azure o utworzeniu tożsamości klastra i zarządzaniu nią. Dowolny zasób typu Microsoft.Kusto/clusters można utworzyć z tożsamością, uwzględniając następującą właściwość w definicji zasobu:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Na przykład:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Uwaga

Klaster może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. Właściwość byłaby następująca type : SystemAssigned,UserAssigned

Po utworzeniu klastra ma następujące dodatkowe właściwości:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> i <PRINCIPALID> są zastępowane identyfikatorami GUID. Właściwość TenantId identyfikuje dzierżawę Azure AD, do której należy tożsamość. Jest PrincipalId to unikatowy identyfikator nowej tożsamości klastra. W ramach Azure AD jednostka usługi ma taką samą nazwę, jaką nadaliśmy wystąpieniu App Service lub Azure Functions.

Usuwanie tożsamości przypisanej przez system

Usunięcie tożsamości przypisanej przez system spowoduje również usunięcie jej z Azure AD. Tożsamości przypisane przez system są również automatycznie usuwane z Azure AD po usunięciu zasobu klastra. Tożsamość przypisana przez system można usunąć, wyłączając tę funkcję. Usuń tożsamość przypisaną przez system przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Usuwanie tożsamości przypisanej przez system przy użyciu Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

3. Na karcie Przypisane przez systemokienka> Tożsamości:

   1. Przesuń suwak Stan do pozycji Wyłączone.
   2. Wybierz pozycję Zapisz
   3. W oknie podręcznym wybierz pozycję Tak , aby wyłączyć tożsamość przypisaną przez system. Okienko Tożsamość przywraca ten sam warunek co przed dodaniu tożsamości przypisanej przez system.

   

C#

Usuwanie tożsamości przypisanej przez system przy użyciu języka C #

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez system:

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Szablon usługi Resource Manager

Usuwanie tożsamości przypisanej przez system przy użyciu szablonu usługi Azure Resource Manager

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez system:

{
   "identity": {
      "type": "None"
   }
}

Uwaga

Jeśli klaster miał jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika, po usunięciu type tożsamości przypisanej przez system właściwość będzie miała wartość UserAssigned

Dodawanie tożsamości przypisanej przez użytkownika

Przypisz tożsamość zarządzaną przypisaną przez użytkownika do klastra. Klaster może mieć więcej niż jedną tożsamość przypisaną przez użytkownika. Utworzenie klastra z tożsamością przypisaną przez użytkownika wymaga ustawienia dodatkowej właściwości w klastrze. Dodaj tożsamość przypisaną przez użytkownika przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Dodawanie tożsamości przypisanej przez użytkownika przy użyciu Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Utwórz zasób tożsamości zarządzanej przypisanej przez użytkownika.

3. Otwórz istniejący klaster usługi Azure Data Explorer.

4. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

5. Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.

6. Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz pozycję Dodaj.

   

C#

Dodawanie tożsamości przypisanej przez użytkownika przy użyciu języka C #

Wymagania wstępne

Aby skonfigurować tożsamość zarządzaną przy użyciu klienta usługi Azure Data Explorer C#:

• Zainstaluj pakiet NuGet usługi Azure Data Explorer.
• Zainstaluj pakiet NuGet Microsoft.Identity.Client na potrzeby uwierzytelniania.
• Zainstaluj pakiet NuGet Microsoft.Rest.ClientRuntime na potrzeby uwierzytelniania.
• Utwórz aplikację Azure AD i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Dodasz przypisanie roli w zakresie subskrypcji i uzyskasz wymagane Directory (tenant) IDwartości , Application IDi Client Secret.

Tworzenie lub aktualizowanie klastra

1. Utwórz lub zaktualizuj klaster przy użyciu Identity właściwości :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Uruchom następujące polecenie, aby sprawdzić, czy klaster został pomyślnie utworzony lub zaktualizowany przy użyciu tożsamości:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Jeśli wynik zawiera ProvisioningStateSucceeded wartość, klaster został utworzony lub zaktualizowany i powinien mieć następujące właściwości:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   Jest PrincipalId to unikatowy identyfikator tożsamości używanej do administrowania Azure AD. Jest ClientId to unikatowy identyfikator nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Szablon usługi Resource Manager

Dodawanie tożsamości przypisanej przez użytkownika przy użyciu szablonu usługi Azure Resource Manager

Szablon usługi Azure Resource Manager może służyć do automatyzowania wdrażania zasobów platformy Azure. Aby dowiedzieć się więcej na temat wdrażania w usłudze Azure Data Explorer, zobacz Tworzenie klastra i bazy danych usługi Azure Data Explorer przy użyciu szablonu usługi Azure Resource Manager.

Dowolny zasób typu Microsoft.Kusto/clusters można utworzyć przy użyciu tożsamości przypisanej przez użytkownika, uwzględniając następującą właściwość w definicji zasobu, zastępując ciąg <RESOURCEID> identyfikatorem zasobu żądanej tożsamości:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Na przykład:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Po utworzeniu klastra ma następujące dodatkowe właściwości:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

Jest PrincipalId to unikatowy identyfikator tożsamości używanej do administrowania Azure AD. Jest ClientId to unikatowy identyfikator nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Uwaga

Klaster może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku type właściwość to SystemAssigned,UserAssigned.

Usuwanie tożsamości zarządzanej przypisanej przez użytkownika z klastra

Usuń tożsamość przypisaną przez użytkownika przy użyciu szablonu Azure Portal, C# lub Resource Manager, jak opisano poniżej.

Witryna Azure Portal

Usuwanie tożsamości zarządzanej przypisanej przez użytkownika przy użyciu Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Ustawienia>Tożsamość w lewym okienku portalu.

3. Wybierz kartę Przypisane przez użytkownika .

4. Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz pozycję Usuń.

   

5. W oknie podręcznym wybierz pozycję Tak , aby usunąć tożsamość przypisaną przez użytkownika. Okienko Tożsamość przywraca ten sam warunek co przed dodaniu tożsamości przypisanej przez użytkownika.

C#

Usuwanie tożsamości przypisanej przez użytkownika przy użyciu języka C #

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez użytkownika:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Szablon usługi Resource Manager

Usuwanie tożsamości przypisanej przez użytkownika przy użyciu szablonu usługi Azure Resource Manager

Uruchom następujące polecenie, aby usunąć tożsamość przypisaną przez użytkownika:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Uwaga

• Aby usunąć tożsamości, ustaw ich wartości na null. Nie będzie to miało wpływu na wszystkie inne istniejące tożsamości.
• Aby usunąć wszystkie tożsamości przypisane przez użytkownika, type właściwość to None,
• Jeśli klaster miał jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika, type właściwość będzie SystemAssigned,UserAssigned miała tożsamości do usunięcia lub SystemAssigned usunięcia wszystkich tożsamości przypisanych przez użytkownika.

Następne kroki

• Zabezpieczanie klastrów usługi Azure Data Explorer na platformie Azure
• Zabezpiecz klaster przy użyciu szyfrowania dysków, włączając szyfrowanie magazynowane.
• Konfigurowanie kluczy zarządzanych przez klienta przy użyciu języka C #
• Konfigurowanie kluczy zarządzanych przez klienta przy użyciu szablonu usługi Azure Resource Manager