Поделиться через


Настройка управляемых удостоверений для кластера Azure Data Explorer

Управляемое удостоверение из идентификатора Microsoft Entra позволяет кластеру получать доступ к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault. Удостоверения управляются платформой Azure, и для них не нужно подготавливать или изменять секреты.

В этой статье показано, как добавлять и удалять управляемые удостоверения в кластере. Подробнее управляемые удостоверения описаны в статье Общие сведения об управляемых удостоверениях.

Примечание.

Управляемые удостоверения для Azure Data Explorer не будут вести себя должным образом, если кластер Azure Data Explorer переносится между подписками или клиентами. Приложению потребуется получить новое удостоверение, которое можно сделать , удалив назначаемое системой удостоверение , а затем добавив удостоверение, назначаемое системой. Для использования нового удостоверения также необходимо будет обновить политики доступа к ресурсам нижестоящего уровня.

Примеры кода на основе предыдущих версий пакета SDK см. в архивной статье.

Типы управляемых удостоверений

Кластеру Azure Data Explorer могут быть предоставлены два типа удостоверений.

  • Назначаемое системой удостоверение: привязан к вашему кластеру и удаляется при удалении вашего ресурса. У кластера может быть только одно удостоверение, назначенное системой.

  • Назначаемое пользователем удостоверение: автономный ресурс Azure, который можно назначить вашему кластеру. Кластер может иметь несколько идентификаторов, назначаемых пользователем.

Добавление назначаемого системой удостоверения

Назначьте назначенное системой удостоверение, которое привязано к вашему кластеру и удаляется при удалении вашего кластера. У кластера может быть только одно удостоверение, назначенное системой. Для создания кластера с идентификатором, назначенным системой, необходимо установить дополнительное свойство в кластере. Добавьте назначенное системой удостоверение с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Добавление назначенного системой удостоверения с помощью портала Azure

Войдите на портал Azure.

Новый кластер Azure Data Explorer

  1. Создание кластера Azure Data Explorer

  2. На вкладке Безопасность>Удостоверение, назначенное системой выберите элемент Вкл. Чтобы удалить назначенного системой удостоверение, выберите Выкл.

  3. Выберите элемент Next : Tags (Далее: теги) > или Просмотр и создание, чтобы создать кластер.

    Добавить системный идентификатор в новый кластер.

Существующий кластер Azure Data Explorer

  1. Откройте существующий кластер Azure Data Explorer.

  2. На левой панели портала выберите Настройки > Идентификатор.

  3. На панели Удостоверение откройте вкладку >Назначено системой:

    1. Переместите ползунок Состояния в положение Вкл.
    2. Выберите Сохранить
    3. Во всплывающем окне выберите Да

    Добавление назначаемого системой удостоверения.

  4. Через несколько минут на экране появится следующее.

    • Идентификатор объекта — используется для ключей, управляемых клиентом.
    • Разрешения — выберите соответствующие назначения ролей.

    Назначаемое системой удостоверение включено.

Удаление удостоверения, назначаемого системой

Удаление назначаемого системой удостоверения также удаляет его из идентификатора Microsoft Entra. Удостоверения, назначенные системой, также автоматически удаляются из идентификатора Microsoft Entra при удалении ресурса кластера. Назначенное системой удостоверение можно удалить, отключив эту функцию. Удалите назначенного системой удостоверение с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Удаление назначенного системой удостоверения с помощью портала Azure

  1. Войдите на портал Azure.

  2. На левой панели портала выберите Настройки > Идентификатор.

  3. На панели Удостоверение откройте вкладку >Назначено системой:

    1. Переместите ползунок Состояния в положение Вкл.
    2. Выберите Сохранить
    3. Во всплывающем окне выберите Да, чтобы отключить идентификатор, назначенный системой. Панель Идентификатор вернется в то же состояние, что и до добавления идентификатора, назначенного системой.

    Идентификатор, назначенный системой, отключен.

Добавление назначаемого пользователем удостоверения

Назначьте кластеру управляемое удостоверение, назначенное пользователем. Кластер может иметь несколько идентификаторов, назначаемых пользователем. Для создания кластера с идентификатором, назначенным пользователем, необходимо установить дополнительное свойство в кластере. Добавьте назначенное пользователем удостоверение с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Добавление назначенного пользователем удостоверения с помощью портала Azure

  1. Войдите на портал Azure.

  2. Создайте назначаемый пользователем ресурс управляемой идентификации.

  3. Откройте существующий кластер Azure Data Explorer.

  4. На левой панели портала выберите Настройки > Идентификатор.

  5. На вкладке Назначено пользователем выберите Добавить.

  6. Найдите созданное ранее удостоверение и выберите его. Выберите Добавить.

    Добавьте идентификационные данные пользователя.

Удаление назначенного пользователем управляемого идентификатора из кластера

Удалите назначенное пользователем идентификатора с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Удаление назначенного пользователем управляемого идентификатора с помощью портала Azure

  1. Войдите на портал Azure.

  2. На левой панели портала выберите Настройки > Идентификатор.

  3. Выберите вкладку Назначено пользователем.

  4. Найдите созданное ранее удостоверение и выберите его. Выберите Удалить.

    Удалить назначенный пользователю идентификатор.

  5. Во всплывающем окне выберите Да, чтобы удалить идентификатор, назначенный пользователем. Панель Идентификатор вернется в то же состояние, что и до добавления идентификатора, назначенного пользователем.