Usar identidades gerenciadas para acessar Hubs de Eventos de um trabalho do Azure Stream Analytics
O Azure Stream Analytics dá suporte à autenticação de Identidade Gerenciada para entrada e saída dos Hubs de Eventos do Azure. As identidades gerenciadas eliminam as limitações dos métodos de autenticação baseados no usuário, como a necessidade de autenticar novamente devido a alterações de senha ou expirações de token de usuário que ocorrem a cada 90 dias. Quando você remove a necessidade de autenticação manual, suas implantações do Stream Analytics podem ser totalmente automatizadas.
Uma identidade gerenciada é um aplicativo gerenciado registrado no Microsoft Entra ID que representa um determinado trabalho do Stream Analytics. O aplicativo gerenciado é usado para autenticar em um recurso de destino, incluindo hubs de eventos que estão atrás de um firewall ou rede virtual (VNet). Para obter mais informações sobre como ignorar firewalls, consulte Permitir acesso a namespaces de Hubs de Eventos do Azure por meio de pontos de extremidade privados.
Este artigo mostra como habilitar a Identidade Gerenciada para uma entrada ou saída de hub de eventos de um trabalho do Stream Analytics por meio do portal do Azure. Antes de habilitar a Identidade Gerenciada, você deve primeiro ter um trabalho do Stream Analytics e um recurso de Hubs de Eventos.
Criar uma identidade gerenciada
Primeiro, você cria uma identidade gerenciada para seu trabalho do Azure Stream Analytics.
No portal do Azure, abra seu trabalho do Azure Stream Analytics.
No menu de navegação esquerdo, selecione Identidade gerenciada localizada em Configurar. Em seguida, marque a caixa ao lado de Usar identidade gerenciada atribuída pelo sistema e selecione Salvar.
Uma entidade de serviço para a identidade do trabalho do Stream Analytics é criada no Microsoft Entra ID. O ciclo de vida da identidade recém-criada é gerenciado pelo Azure. Quando o trabalho do Stream Analytics é excluído, a identidade associada (ou seja, a entidade de serviço) é excluída automaticamente pelo Azure.
Quando você salva a configuração, a ID do objeto (OID) da entidade de serviço é listada como a ID da entidade de segurança, conforme mostrado abaixo:
A entidade de serviço tem o mesmo nome que o trabalho do Stream Analytics. Por exemplo, se o nome do seu trabalho for
MyASAJob
, o nome da entidade de serviço tambémMyASAJob
será .
Conceder permissões de trabalho do Stream Analytics para acessar Hubs de Eventos
Para que o trabalho do Stream Analytics acesse seu hub de eventos usando a identidade gerenciada, a entidade de serviço criada deve ter permissões especiais para o hub de eventos.
Selecione Controlo de acesso (IAM) .
Selecione Adicionar>atribuição de função para abrir a página Adicionar atribuição de função.
Atribua a seguinte função. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.
Nota
Ao dar acesso a qualquer recurso, você deve dar o acesso menos necessário. Dependendo se você estiver configurando Hubs de Eventos como entrada ou saída, talvez não seja necessário atribuir a função de Proprietário de Dados dos Hubs de Eventos do Azure, que concederia acesso mais do que necessário ao seu recurso do Eventhub. Para obter mais informações, consulte Autenticar um aplicativo com a ID do Microsoft Entra para acessar recursos de Hubs de Eventos
Definição | Value |
---|---|
Role | Proprietário de Dados dos Hubs de Eventos do Azure |
Atribuir acesso a | Usuário, grupo ou entidade de serviço |
Membros | <Nome do seu trabalho do Stream Analytics> |
Você também pode conceder essa função no nível de Namespace de Hubs de Eventos, que naturalmente propagará as permissões para todos os hubs de eventos criados sob ela. Ou seja, todos os hubs de eventos em um Namespace podem ser usados como um recurso de autenticação de identidade gerenciada em seu trabalho do Stream Analytics.
Nota
Devido à replicação global ou latência de cache, pode haver um atraso quando as permissões são revogadas ou concedidas. As alterações devem ser refletidas dentro de 8 minutos.
Criar uma entrada ou saída de Hubs de Eventos
Agora que sua identidade gerenciada está configurada, você está pronto para adicionar o recurso do hub de eventos como entrada ou saída ao seu trabalho do Stream Analytics.
Adicionar Hubs de Eventos como entrada
Vá para o trabalho do Stream Analytics e navegue até a página Entradas em Topologia do trabalho.
Selecione Adicionar Hub de Eventos de Entrada de Fluxo>. Na janela de propriedades de entrada, pesquise e selecione seu hub de eventos e selecione Identidade gerenciada no menu suspenso Modo de autenticação .
Preencha o restante das propriedades e selecione Salvar.
Adicionar Hubs de Eventos como saída
Vá para o trabalho do Stream Analytics e navegue até a página Saídas em Topologia do trabalho.
Selecione Adicionar > Hub de Eventos. Na janela de propriedades de saída, pesquise e selecione seu hub de eventos e selecione Identidade gerenciada no menu suspenso Modo de autenticação .
Preencha o restante das propriedades e selecione Salvar.