Visão geral de identidades gerenciadas

Uma identidade gerenciada pelo Microsoft Entra ID permite que seu cluster acesse outros recursos protegidos pelo Microsoft Entra, como o Armazenamento do Azure. A identidade é gerenciada pela plataforma do Azure e não exige provisionamento nem alternância de segredo.

Tipos de identidades gerenciadas

Seu cluster do Azure Data Explorer cluster pode ser concedido a dois tipos de identidades:

• Identidade atribuída pelo sistema: vinculada ao cluster e excluída se o recurso for excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema.

• Uma Identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu aplicativo. Um aplicativo pode ter várias identidades atribuídas pelo usuário.

Autenticar com identidades gerenciadas

Os recursos do Microsoft Entra de locatário único só podem usar identidades gerenciadas para se comunicar com recursos no mesmo locatário. Essa limitação restringe o uso de identidades gerenciadas em determinados cenários de autenticação. Por exemplo, você não pode usar uma identidade gerenciada do Azure Data Explorer para acessar um hub de eventos localizado em um locatário diferente. Nesses casos, use autenticação baseada em chave de conta.

O Azure Data Explorer é multilocatário, o que significa que você pode conceder acesso a identidades gerenciadas de diferentes locatários. Para fazer isso, atribua as funções de segurança relevantes. Ao atribuir as funções, consulte a identidade gerenciada conforme descrito em Referenciando entidades de segurança.

Para autenticar com identidades gerenciadas, siga estas etapas:

1. Configurar uma identidade gerenciada para o cluster
2. Configurar a política de identidade gerenciada
3. Usar identidade gerenciada em fluxos de trabalho com suporte

Configurar uma identidade gerenciada para o cluster

O cluster precisa de permissões para agir em nome da identidade gerenciada fornecida. Essa atribuição pode ser fornecida para identidades gerenciadas atribuídas pelo sistema e pelo usuário. Para obter instruções, confira Configurar identidades gerenciadas para o cluster do Azure Data Explorer.

Configurar a política de identidade gerenciada

Para usar a identidade gerenciada, você precisa configurar a política de identidade gerenciada para permitir essa identidade. Para obter instruções, confira Política de identidade gerenciada.

Os comandos de gerenciamento de política de identidade gerenciada são:

• .alterar política managed_identity
• .alter-merge política managed_identity
• .delete política managed_identity
• .show política managed_identity

Use a identidade gerenciada em fluxos de trabalho suportados

Depois de atribuir a identidade gerenciada ao cluster e configurar o uso relevante da política de identidade gerenciada, você pode começar a usar a autenticação de identidade gerenciada nos seguintes fluxos de trabalho:

• Tabelas externas: crie uma tabela externa com autenticação de identidade gerenciada. A autenticação é declarada como parte da cadeia de conexão. Para exemplos, veja cadeia de conexão de armazenamento. Para obter instruções sobre como usar tabelas externas com autenticação de identidade gerenciada, veja Autenticar tabelas externas com identidades gerenciadas.

• Exportação contínua: execute uma exportação contínua em nome de uma identidade gerenciada. Uma identidade gerenciada será necessária se a tabela externa usar autenticação de representação ou se a consulta de exportação fizer referência a tabelas em outros bancos de dados. Para usar uma identidade gerenciada, adicione o identificador de identidade gerenciada nos parâmetros opcionais fornecidos no comando create-or-alter. Para obter um guia passo a passo, veja Autenticar com identidade gerenciada para exportação contínua.

• Ingestão nativa do Hubs de Eventos do Azure: use uma identidade gerenciada com ingestão nativa do Event Hub. Para obter mais informações, confira Ingerir dados de um hub de eventos no Azure Data Explorer.

• Plug-in do Python: use uma identidade gerenciada para fazer a autenticação em contas de armazenamento de artefatos externos que são usados no plug-in do Python. Observe que o uso SandboxArtifacts precisa ser definido na política de identidade gerenciada no nível do cluster. Para obter mais informações, confira Plug-in do Python.

• Ingestão baseada em SDK: ao enfileirar blobs para ingestão de suas próprias contas de armazenamento, você pode usar identidades gerenciadas como uma alternativa aos tokens de assinatura de acesso compartilhado (SAS) e métodos de autenticação de chaves compartilhadas. Para obter mais informações, confira Enfileirar os blogs para ingestão usando a autenticação de identidade gerenciada.

• Ingerir do armazenamento: Ingerir dados de arquivos localizados em armazenamentos em nuvem em uma tabela de destino usando autenticação de identidade gerenciada. Para obter mais informações, veja Ingerir do armazenamento.

• Plugins de solicitação SQL: Use uma identidade gerenciada para autenticar em um banco de dados externo ao usar os plugins sql_request ou cosmosdb_request.

Conteúdo relacionado

• Configurar identidades gerenciadas no seu cluster
• Autenticar tabelas externas com identidades gerenciadas
• Exemplos de uso de cadeia de conexão de armazenamento para identidade gerenciada