Adicionar entidades de segurança de banco de dados para o Azure Data Explorer

O Azure Data Explorer é um serviço de exploração de dados rápido e altamente escalonável para dados de log e telemetria. Neste artigo, você aprenderá a adicionar entidades de banco de dados para o Azure Data Explorer usando C#, Python ou um modelo do ARM (Azure Resource Manager).

Pré-requisitos

Os pré-requisitos variam de acordo com o método usado para adicionar a entidade de segurança. Escolha a guia relevante para seu método preferido.

C#

A lista a seguir descreve os pré-requisitos para adicionar uma entidade de cluster com C#.

• Uma conta da Microsoft ou uma identidade de usuário Microsoft Entra. Uma assinatura do Azure não é necessária.
• Um cluster e um banco de dados do Azure Data Explorer. Crie um cluster e um banco de dados.
• Visual Studio 2022 Community Edition. Ative o desenvolvimento do Azure durante a instalação do Visual Studio.
• Um aplicativo Microsoft Entra e uma entidade de serviço que podem acessar recursos. Salve a ID do diretório (locatário),a ID do aplicativo e o segredo do cliente.
• Instale o Azure.ResourceManager.Kusto.
• Instale o pacote NuGet Azure.Identity para autenticação.

Python

A lista a seguir descreve os pré-requisitos para adicionar uma entidade de cluster com o Python.

• Uma conta da Microsoft ou uma identidade de usuário Microsoft Entra. Uma assinatura do Azure não é necessária.
• Um cluster e um banco de dados do Azure Data Explorer. Crie um cluster e um banco de dados.
• Um aplicativo Microsoft Entra e uma entidade de serviço que podem acessar recursos. Salve a ID do diretório (locatário),a ID do aplicativo e o segredo do cliente.
• Instale os pacotes azure-common e azure-mgmt-kusto .

ARM

A lista a seguir descreve os pré-requisitos para adicionar uma entidade de segurança de cluster com um modelo do ARM.

• Uma assinatura do Azure. Criar uma conta gratuita do Azure.
• Um cluster e um banco de dados do Azure Data Explorer. Crie um cluster e um banco de dados.

Adicionar uma entidade de segurança do banco de dados

C#

Execute o seguinte código para adicionar uma entidade de banco de dados:

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
//The cluster that is created as part of the Prerequisites
var clusterName = "mykustocluster";
var databaseName = "mykustodatabase";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var cluster = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value;
var database = (await cluster.GetKustoDatabaseAsync(databaseName)).Value;
var databasePrincipalAssignments = database.GetKustoDatabasePrincipalAssignments();
var databasePrincipalAssignmentName = "mykustodatabaseprincipalassignment";
var principalId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //User email, application ID, or security group name
var role = KustoDatabasePrincipalRole.Admin; //Admin, Ingestor, Monitor, User, UnrestrictedViewers, Viewer
var tenantIdForPrincipal = new Guid("xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx");
var principalType = KustoPrincipalAssignmentType.App; //User, App, or Group
var databasePrincipalAssignmentData = new KustoDatabasePrincipalAssignmentData
{
    DatabasePrincipalId = principalId, Role = role, PrincipalType = principalType, TenantId = tenantIdForPrincipal
};
await databasePrincipalAssignments.CreateOrUpdateAsync(
    WaitUntil.Completed, databasePrincipalAssignmentName, databasePrincipalAssignmentData
);

Configuração	Valor sugerido	Descrição do campo
tenantId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	ID do locatário. Também conhecida como ID do diretório.
subscriptionId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID da assinatura que você usa para a criação de recursos.
clientId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID do cliente do aplicativo que pode acessar recursos em seu locatário.
clientSecret	PlaceholderClientSecret	O segredo do cliente do aplicativo que pode acessar recursos em seu locatário.
resourceGroupName	testrg	O nome do grupo de recursos que contém o seu cluster.
clusterName	mykustocluster	O nome do seu cluster.
databaseName	mykustodatabase	O nome do banco de dados.
databasePrincipalAssignmentName	mykustodatabaseprincipalassignment	O nome do recurso da entidade de segurança do seu banco de dados.
principalId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID da entidade de segurança, que pode ser o email do usuário, a ID do aplicativo ou o nome do grupo de segurança.
função	Administrador	A função da entidade de segurança do seu banco de dados, que pode ser 'Admin', 'Ingestor', 'Monitor', 'User', 'UnrestrictedViewers' e 'Viewer'.
tenantIdForPrincipal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID do locatário da entidade de segurança.
principalType	Aplicativo	O tipo da entidade de segurança, que pode ser 'User', 'App' ou 'Group'

Python

O exemplo a seguir mostra como adicionar uma entidade de segurança do banco de dados programaticamente.

from azure.mgmt.kusto import KustoManagementClient
from azure.mgmt.kusto.models import DatabasePrincipalAssignment
from azure.common.credentials import ServicePrincipalCredentials

#Directory (tenant) ID
tenant_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Application ID
client_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Client Secret
client_secret = "xxxxxxxxxxxxxx"
subscription_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
credentials = ServicePrincipalCredentials(
        client_id=client_id,
        secret=client_secret,
        tenant=tenant_id
    )
kusto_management_client = KustoManagementClient(credentials, subscription_id)

resource_group_name = "testrg"
#The cluster and database that is created as part of the Prerequisites
cluster_name = "mykustocluster"
database_name = "mykustodatabase"
principal_assignment_name = "clusterPrincipalAssignment1"
#User email, application ID, or security group name
principal_id = "xxxxxxxx"
#AllDatabasesAdmin, AllDatabasesMonitor or AllDatabasesViewer
role = "AllDatabasesAdmin"
tenant_id_for_principal = tenantId
#User, App, or Group
principal_type = "App"

#Returns an instance of LROPoller, check https://learn.microsoft.com/python/api/msrest/msrest.polling.lropoller?view=azure-python
poller = kusto_management_client.database_principal_assignments.create_or_update(resource_group_name=resource_group_name, cluster_name=cluster_name, database_name=database_name, principal_assignment_name= principal_assignment_name, parameters=DatabasePrincipalAssignment(principal_id=principal_id, role=role, tenant_id=tenant_id_for_principal, principal_type=principal_type))

Configuração	Valor sugerido	Descrição do campo
tenant_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	ID do locatário. Também conhecida como ID do diretório.
subscription_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID da assinatura que você usa para a criação de recursos.
client_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID do cliente do aplicativo que pode acessar recursos em seu locatário.
client_secret	xxxxxxxxxxxxxx	O segredo do cliente do aplicativo que pode acessar recursos em seu locatário.
resource_group_name	testrg	O nome do grupo de recursos que contém o seu cluster.
cluster_name	mykustocluster	O nome do seu cluster.
database_name	mykustodatabase	O nome do banco de dados.
principal_assignment_name	databasePrincipalAssignment1	O nome do recurso da entidade de segurança do seu banco de dados.
principal_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID da entidade de segurança, que pode ser o email do usuário, a ID do aplicativo ou o nome do grupo de segurança.
função	Administrador	A função da entidade de segurança do seu banco de dados, que pode ser 'Admin', 'Ingestor', 'Monitor', 'User', 'UnrestrictedViewers' e 'Viewer'.
tenant_id_for_principal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	A ID do locatário da entidade de segurança.
principal_type	Aplicativo	O tipo da entidade de segurança, que pode ser 'User', 'App' ou 'Group'

Modelo de ARM

O exemplo a seguir mostra um modelo do Azure Resource Manager para adicionar uma entidade de segurança do banco de dados. Você pode editar e implantar o modelo no portal do Azure usando o formulário.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
		"principalAssignmentName": {
            "type": "string",
            "defaultValue": "principalAssignment1",
            "metadata": {
                "description": "Specifies the name of the principal assignment"
            }
        },
        "clusterName": {
            "type": "string",
            "defaultValue": "mykustocluster",
            "metadata": {
                "description": "Specifies the name of the cluster"
            }
        },
		"databaseName": {
            "type": "string",
            "defaultValue": "mykustodatabase",
            "metadata": {
                "description": "Specifies the name of the database"
            }
        },
		"principalIdForDatabase": {
            "type": "string",
            "metadata": {
                "description": "Specifies the principal id. It can be user email, application (client) ID, security group name"
            }
        },
		"roleForDatabasePrincipal": {
            "type": "string",
			"defaultValue": "Admin",
            "metadata": {
                "description": "Specifies the database principal role. It can be 'Admin', 'Ingestor', 'Monitor', 'User', 'UnrestrictedViewers', 'Viewer'"
            }
        },
		"tenantIdForDatabasePrincipal": {
            "type": "string",
            "metadata": {
                "description": "Specifies the tenantId of the database principal"
            }
        },
		"principalTypeForDatabase": {
            "type": "string",
			"defaultValue": "App",
            "metadata": {
                "description": "Specifies the principal type. It can be 'User', 'App', 'Group'"
            }
        }
    },
    "variables": {
    },
    "resources": [{
            "type": "Microsoft.Kusto/Clusters/Databases/principalAssignments",
            "apiVersion": "2019-11-09",
            "name": "[concat(parameters('clusterName'), '/', parameters('databaseName'), '/', parameters('principalAssignmentName'))]",
            "properties": {
                "principalId": "[parameters('principalIdForDatabase')]",
                "role": "[parameters('roleForDatabasePrincipal')]",
				"tenantId": "[parameters('tenantIdForDatabasePrincipal')]",
				"principalType": "[parameters('principalTypeForDatabase')]"
            }
        }
    ]
}

Conteúdo relacionado

• Adicionar entidades de segurança de cluster