Compartilhar via


Configurar identidades gerenciadas para o cluster do Azure Data Explorer

Uma identidade gerenciada de Microsoft Entra ID permite que o cluster acesse outros recursos protegidos Microsoft Entra, como o Azure Key Vault. A identidade é gerenciada pela plataforma do Azure e não exige provisionamento nem alternância de segredo.

Este artigo mostra como adicionar e remover identidades gerenciadas em seu cluster. Para obter mais informações sobre identidades gerenciadas, confira Visão geral de identidades gerenciadas.

Observação

As identidades gerenciadas do Azure Data Explorer se comportarão conforme o esperado se o cluster Azure Data Explorer for migrado entre assinaturas ou locatários. O aplicativo precisará obter uma nova identidade, o que pode ser feito removendo uma identidade atribuída pelo sistema e adicionando uma identidade atribuída pelo sistema. As políticas de acesso dos recursos de downstream também precisarão ser atualizadas para usar a nova identidade.

Para obter exemplos de código com base em versões anteriores do SDK, consulte o artigo arquivado.

Tipos de identidades gerenciadas

Seu cluster do Azure Data Explorer cluster pode ser concedido a dois tipos de identidades:

  • Identidade atribuída pelo sistema: vinculada ao cluster e excluída se o recurso for excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema.

  • Uma Identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu aplicativo. Um aplicativo pode ter várias identidades atribuídas pelo usuário.

Adicionar uma identidade atribuída pelo sistema

Atribua uma identidade atribuída pelo sistema que está vinculada ao seu cluster e é excluída se o seu cluster for excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema. Criar um cluster com uma identidade atribuída pelo sistema requer uma propriedade adicional a ser definida no cluster. Adicione a identidade atribuída pelo sistema usando o modelo portal do Azure, C# ou Resource Manager, conforme detalhado abaixo.

Criar identidade atribuída pelo sistema no portal do Azure

Entre no portal do Azure.

Novo cluster do Azure Data Explorer

  1. Criar um cluster do Azure Data Explorer

  2. Na guia Segurança>Identidade atribuída pelo sistema, selecione Ligar. Para remover a identidade atribuída pelo sistema, selecione Desligar.

  3. Selecione Avançar: Marcas> ou Examinar + criar para criar o cluster.

    Adicione a identidade atribuída ao sistema ao novo cluster.

Cluster existente do Azure Data Explorer

  1. Abra o cluster existente do Azure Data Explorer.

  2. Selecione Configurações>Identidade no painel esquerdo do portal.

  3. No painel Identidade>guia Atribuído ao sistema:

    1. Mova o controle deslizante Status para Ligar.
    2. Selecione Salvar
    3. Na janela pop-up, selecione Sim

    Adicionar a identidade atribuída pelo sistema.

  4. Após alguns minutos, a tela mostra:

    • ID do objeto – Usada para chaves gerenciadas pelo cliente
    • Permissões – Selecione as atribuição de função relevantes

    Identidade atribuída pelo sistema ligada.

Remover a identidade atribuída pelo sistema

A remoção de uma identidade atribuída pelo sistema também a excluirá de Microsoft Entra ID. As identidades atribuídas pelo sistema também são removidas automaticamente da ID de Microsoft Entra quando o recurso de cluster é excluído. Uma identidade atribuída pelo sistema pode ser removida ao desativar o recurso. Remova a identidade atribuída pelo sistema usando o modelo portal do Azure, C# ou Resource Manager, conforme detalhado abaixo.

Remover uma identidade atribuída pelo sistema usando o portal do Azure

  1. Entre no portal do Azure.

  2. Selecione Configurações>Identidade no painel esquerdo do portal.

  3. No painel Identidade>guia Atribuído ao sistema:

    1. Mova o controle deslizante Status para Desligado.
    2. Selecione Salvar
    3. Na janela pop-up, selecione Sim para desativar a identidade atribuída pelo sistema. O painel Identidade reverte para a mesma condição que antes da adição da identidade atribuída pelo sistema.

    Identidade atribuída pelo sistema desligada.

Adicionar uma identidade atribuída pelo usuário

Atribuir uma identidade gerenciada atribuída pelo usuário ao seu cluster. Um cluster pode ter mais de uma identidade atribuída pelo usuário. Criar um cluster com uma identidade designada pelo usuário requer uma propriedade adicional a ser definida no cluster. Adicione a identidade atribuída pelo usuário usando o modelo portal do Azure, C# ou Resource Manager, conforme detalhado abaixo.

Criar identidade atribuída ao usuário no portal do Azure

  1. Entre no portal do Azure.

  2. Criar um recurso de identidade gerenciada atribuída pelo usuário.

  3. Abra o cluster existente do Azure Data Explorer.

  4. Selecione Configurações>Identidade no painel esquerdo do portal.

  5. Na guia Usuário atribuído, selecione Adicionar.

  6. Procure a identidade que você criou anteriormente e selecione-a. Selecione Adicionar.

    Adicione a identidade atribuída pelo usuário.

Remover uma identidade gerenciada atribuída ao usuário de um cluster

Remova a identidade atribuída pelo usuário usando o modelo portal do Azure, C# ou Resource Manager, conforme detalhado abaixo.

Remover uma identidade gerenciada atribuída ao usuário usando o portal do Azure

  1. Entre no portal do Azure.

  2. Selecione Configurações>Identidade no painel esquerdo do portal.

  3. Selecione a guia Atribuído pelo usuário.

  4. Procure a identidade que você criou anteriormente e selecione-a. Selecione Remover.

    Remova a identidade atribuída pelo usuário.

  5. Na janela pop-up, selecione Sim para remover a identidade atribuída pelo usuário. O painel Identidade reverte para a mesma condição que antes da adição da identidade atribuída pelo usuário.