Partilhar via


Descrição geral das identidades geridas

Uma identidade gerida do Microsoft Entra ID permite que o cluster aceda a outros recursos protegidos Microsoft Entra, como o Armazenamento do Azure. A identidade é gerida pela plataforma do Azure e não precisa que o utilizador aprovisione ou rode nenhuns segredos.

Tipos de identidades geridas

O cluster do Azure Data Explorer pode receber dois tipos de identidades:

  • Identidade atribuída pelo sistema: associada ao cluster e eliminada se o recurso for eliminado. Um cluster só pode ter uma identidade atribuída pelo sistema.

  • Identidade atribuída pelo utilizador: um recurso autónomo do Azure que pode ser atribuído ao cluster. Um cluster pode ter várias identidades atribuídas pelo utilizador.

Autenticar com identidades geridas

Os recursos de Microsoft Entra de inquilino único só podem utilizar identidades geridas para comunicar com recursos no mesmo inquilino. Esta limitação restringe a utilização de identidades geridas em determinados cenários de autenticação. Por exemplo, não pode utilizar uma identidade gerida do Azure Data Explorer para aceder a um hub de eventos localizado num inquilino diferente. Nesses casos, utilize a autenticação baseada na chave de conta.

O Azure Data Explorer é compatível com vários inquilinos, o que significa que pode conceder acesso a identidades geridas de diferentes inquilinos. Para tal, atribua as funções de segurança relevantes. Ao atribuir as funções, veja a identidade gerida, conforme descrito em Referenciar principais de segurança.

Para autenticar com identidades geridas, siga estes passos:

  1. Configurar uma identidade gerida para o cluster
  2. Configurar a política de identidade gerida
  3. Utilizar a identidade gerida em fluxos de trabalho suportados

Configurar uma identidade gerida para o cluster

O cluster precisa de permissões para agir em nome da identidade gerida especificada. Esta atribuição pode ser atribuída para identidades geridas atribuídas pelo sistema e atribuídas pelo utilizador. Para obter instruções, veja Configurar identidades geridas para o cluster do Azure Data Explorer.

Configurar a política de identidade gerida

Para utilizar a identidade gerida, tem de configurar a política de identidade gerida para permitir esta identidade. Para obter instruções, veja Política de Identidade Gerida.

Os comandos de gestão de políticas de identidade gerida são:

Utilizar a identidade gerida em fluxos de trabalho suportados

Depois de atribuir a identidade gerida ao cluster e configurar a utilização da política de identidade gerida relevante, pode começar a utilizar a autenticação de identidade gerida nos seguintes fluxos de trabalho:

  • Tabelas Externas: crie uma tabela externa com autenticação de identidade gerida. A autenticação é indicada como parte do cadeia de ligação. Por exemplo, veja cadeia de ligação de armazenamento. Para obter instruções sobre como utilizar tabelas externas com autenticação de identidade gerida, veja Authenticate external tables with managed identities (Autenticar tabelas externas com identidades geridas).

  • Exportação Contínua: execute uma exportação contínua em nome de uma identidade gerida. É necessária uma identidade gerida se a tabela externa utilizar a autenticação de representação ou se a consulta de exportação referenciar tabelas noutras bases de dados. Para utilizar uma identidade gerida, adicione o identificador de identidade gerida nos parâmetros opcionais indicados no create-or-alter comando. Para obter um guia passo a passo, veja Autenticar com a identidade gerida para exportação contínua.

  • Ingestão Nativa dos Hubs de Eventos: utilize uma identidade gerida com a ingestão nativa do hub de eventos. Para obter mais informações, veja Ingerir dados do hub de eventos para o Azure Data Explorer.

  • Plug-in Python: utilize uma identidade gerida para autenticar em contas de armazenamento de artefactos externos que são utilizados no plug-in python. Tenha em atenção que a SandboxArtifacts utilização tem de ser definida na política de identidade gerida ao nível do cluster. Para obter mais informações, veja Plug-in Python.

  • Ingestão baseada em SDK: ao colocar blobs em fila para ingestão a partir das suas próprias contas de armazenamento, pode utilizar identidades geridas como alternativa a tokens de assinatura de acesso partilhado (SAS) e métodos de autenticação de Chaves Partilhadas. Para obter mais informações, veja Blobs de fila para ingestão com a autenticação de identidade gerida.

  • Ingerir do armazenamento: ingerir dados de ficheiros localizados em armazenamentos na cloud numa tabela de destino através da autenticação de identidade gerida. Para obter mais informações, veja Ingestão do armazenamento.