Настройка управляемых удостоверений для кластера Azure Data Explorer

Управляемое удостоверение из Azure Active Directory позволяет вашему кластеру легко получать доступ к другим ресурсам, защищенным Azure AD, таким как Azure Key Vault. Удостоверение управляется платформой Azure и не требует предоставления или ротации каких-либо секретов. Конфигурация управляемого удостоверения в настоящее время поддерживается только для включения ключей, управляемых клиентом, для вашего кластера.

Общие сведения об управляемых удостоверениях см. в статье Проверка подлинности с использованием управляемых удостоверений в кластере Azure Data Explorer.

Кластеру Azure Data Explorer могут быть предоставлены два типа удостоверений.

• Назначаемое системой удостоверение: привязан к вашему кластеру и удаляется при удалении вашего ресурса. У кластера может быть только одно удостоверение, назначенное системой.
• Назначаемое пользователем удостоверение: автономный ресурс Azure, который можно назначить вашему кластеру. Кластер может иметь несколько идентификаторов, назначаемых пользователем.

В этой статье показано, как добавлять и удалять назначенные системой и пользователем управляемые удостоверения для кластеров Azure Data Explorer.

Примечание

Управляемые удостоверения для Azure Data Explorer не будут вести себя должным образом, если кластер Azure Data Explorer переносится между подписками или клиентами. Приложению потребуется получить новое удостоверение, что можно сделать, отключив и снова включив эту функцию. Для использования нового удостоверения также необходимо будет обновить политики доступа к ресурсам нижестоящего уровня.

Добавление назначаемого системой удостоверения

Назначьте назначенное системой удостоверение, которое привязано к вашему кластеру и удаляется при удалении вашего кластера. У кластера может быть только одно удостоверение, назначенное системой. Для создания кластера с идентификатором, назначенным системой, необходимо установить дополнительное свойство в кластере. Добавьте назначенное системой удостоверение с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Портал Azure

Добавление назначенного системой удостоверения с помощью портала Azure

Войдите на портал Azure.

Новый кластер Azure Data Explorer

1. Создание кластера Azure Data Explorer

2. На вкладке Безопасность>Удостоверение, назначенное системой выберите элемент Вкл. Чтобы удалить назначенного системой удостоверение, выберите Выкл.

3. Выберите элемент Next : Tags (Далее: теги) > или Просмотр и создание, чтобы создать кластер.

   

Существующий кластер Azure Data Explorer

1. Откройте существующий кластер Azure Data Explorer.

2. На левой панели портала выберите НастройкиИдентификатор.

3. На панели Удостоверение откройте вкладку >Назначено системой:

   1. Переместите ползунок Состояния в положение Вкл.
   2. Нажмите кнопку Сохранить.
   3. Во всплывающем окне выберите Да

   

4. Через несколько минут на экране появится следующее.

   • Идентификатор объекта — используется для ключей, управляемых клиентом.
   • Разрешения — выберите соответствующие назначения ролей.

   

C#

Добавление назначенного системой удостоверение с помощью C#

Предварительные условия

Чтобы настроить управляемое удостоверение с помощью клиента C# Azure Data Explorer, выполните следующие действия.

• Установите пакет NuGet для обозревателя данных Azure Data Explorer.
• Установите пакет NuGet Microsoft.Identity.Client для проверки подлинности.
• Установите пакет NuGet Microsoft.Rest.ClientRuntime для проверки подлинности.
• Создайте приложение Azure AD и субъект-службу, которые могут получать доступ к ресурсам. Вы добавляете назначение ролей в рамках подписки и получаете необходимые Directory (tenant) ID, Application ID и Client Secret.

Создайте или обновите свой кластер

1. Создайте или обновите свой кластер, используя свойство Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Выполните следующую команду, чтобы проверить, был ли ваш кластер успешно создан или обновлен с идентификатором:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Если результат содержит ProvisioningState со значением Succeeded, то кластер был создан или обновлен и должен иметь следующие свойства.

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId и TenantId заменяются идентификаторами GUID. Свойство TenantId определяет клиент Azure AD, которому принадлежит удостоверение. PrincipalId — это уникальный идентификатор новой идентичности кластера. В Azure AD субъект-служба имеет то же имя, которое вы присвоили экземпляру Службы приложений или Функций Azure.

Шаблон Resource Manager

Добавление назначенного системой удостоверения с помощью шаблона Azure Resource Manager

Шаблон Azure Resource Manager можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения о развертывании в обозревателе данных Azure см. в разделе Создание кластера и базы данных Azure Data Explorer с помощью шаблона Azure Resource Manager.

Добавление назначенного системой типа указывает Azure создать удостоверение для вашего кластера и управлять им. Любой ресурс типа Microsoft.Kusto/clusters можно создать с помощью удостоверения, добавив следующее свойство в определение ресурса:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Пример.

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Примечание

Кластер может одновременно иметь как системные, так и пользовательские идентификаторы. Свойство type будет SystemAssigned,UserAssigned

Когда кластер создан, он имеет следующие дополнительные свойства.

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> и <PRINCIPALID> заменяются идентификаторами GUID. Свойство TenantId определяет клиент Azure AD, которому принадлежит удостоверение. PrincipalId — это уникальный идентификатор новой идентичности кластера. В Azure AD субъект-служба имеет то же имя, которое вы присвоили экземпляру Службы приложений или Функций Azure.

Удаление удостоверения, назначаемого системой

Если удалить назначаемое системой удостоверение, то оно также удаляется и из Azure AD. Идентификаторы, назначенные системой, также автоматически удаляются из Azure AD при удалении ресурса кластера. Назначенное системой удостоверение можно удалить, отключив эту функцию. Удалите назначенного системой удостоверение с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Портал Azure

Удаление назначенного системой удостоверения с помощью портала Azure

1. Войдите на портал Azure.

2. На левой панели портала выберите Настройки>Идентификатор.

3. На панели Удостоверение откройте вкладку >Назначено системой:

   1. Переместите ползунок Состояния в положение Вкл.
   2. Нажмите кнопку Сохранить.
   3. Во всплывающем окне выберите Да, чтобы отключить идентификатор, назначенный системой. Панель Идентификатор вернется в то же состояние, что и до добавления идентификатора, назначенного системой.

   

C#

Удаление назначенного системой идентификатора с помощью C#

Выполните следующее, чтобы удалить идентификатор, назначенный системой.

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Шаблон Resource Manager

Удаление назначенного системой удостоверения с помощью шаблона Azure Resource Manager

Выполните следующее, чтобы удалить идентификатор, назначенный системой.

{
   "identity": {
      "type": "None"
   }
}

Примечание

Если в кластере одновременно были назначены как системой, так и пользователем удостоверения, после удаления назначенного системой идентификатора свойство type будет UserAssigned.

Добавление назначаемого пользователем удостоверения

Назначьте кластеру управляемое удостоверение, назначенное пользователем. Кластер может иметь несколько идентификаторов, назначаемых пользователем. Для создания кластера с идентификатором, назначенным пользователем, необходимо установить дополнительное свойство в кластере. Добавьте назначенное пользователем удостоверение с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Портал Azure

Добавление назначенного пользователем удостоверения с помощью портала Azure

1. Войдите на портал Azure.

2. Создайте назначаемый пользователем ресурс управляемой идентификации.

3. Откройте существующий кластер Azure Data Explorer.

4. На левой панели портала выберите НастройкиИдентификатор.

5. На вкладке Назначено пользователем выберите Добавить.

6. Найдите созданное ранее удостоверение и выберите его. Выберите Добавить.

   

C#

Добавить назначенное пользователем удостоверение с помощью C#

Предварительные условия

Чтобы настроить управляемое удостоверение с помощью клиента C# Azure Data Explorer, выполните следующие действия.

• Установите пакет NuGet для обозревателя данных Azure Data Explorer.
• Установите пакет NuGet Microsoft.Identity.Client для проверки подлинности.
• Установите пакет NuGet Microsoft.Rest.ClientRuntime для проверки подлинности.
• Создайте приложение Azure AD и субъект-службу, которые могут получать доступ к ресурсам. Вы добавляете назначение ролей в рамках подписки и получаете необходимые Directory (tenant) ID, Application ID и Client Secret.

Создайте или обновите свой кластер

1. Создайте или обновите свой кластер, используя свойство Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Выполните следующую команду, чтобы проверить, был ли ваш кластер успешно создан или обновлен с идентификатором:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Если результат содержит ProvisioningState со значением Succeeded, то кластер был создан или обновлен и должен иметь следующие свойства.

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId — это уникальный идентификатор удостоверения, который используется для администрирования Azure AD. ClientId — это уникальный идентификатор нового идентификатора приложения, который используется для указания, какой идентификатор использовать во время вызовов времени выполнения.

Шаблон Resource Manager

Добавление назначенного пользователем удостоверения с помощью шаблона Azure Resource Manager

Шаблон Azure Resource Manager можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения о развертывании в обозревателе данных Azure см. в разделе Создание кластера и базы данных Azure Data Explorer с помощью шаблона Azure Resource Manager.

Любой ресурс типа Microsoft.Kusto/clusters может быть создан с идентификатором, назначенным пользователем, включив следующее свойство в определение ресурса, заменив <RESOURCEID> идентификатором ресурса желаемого идентификатора:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Пример.

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Когда кластер создан, он имеет следующие дополнительные свойства.

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId — это уникальный идентификатор удостоверения, который используется для администрирования Azure AD. ClientId — это уникальный идентификатор нового идентификатора приложения, который используется для указания, какой идентификатор использовать во время вызовов времени выполнения.

Примечание

Кластер может одновременно иметь как системные, так и пользовательские идентификаторы. В этом случае свойство type будет иметь значение SystemAssigned,UserAssigned.

Удаление назначенного пользователем управляемого идентификатора из кластера

Удалите назначенное пользователем идентификатора с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Портал Azure

Удаление назначенного пользователем управляемого идентификатора с помощью портала Azure

1. Войдите на портал Azure.

2. На левой панели портала выберите Настройки>Идентификатор.

3. Выберите вкладку Назначено пользователем.

4. Найдите созданное ранее удостоверение и выберите его. Щелкните Удалить.

   

5. Во всплывающем окне выберите Да, чтобы удалить идентификатор, назначенный пользователем. Панель Идентификатор вернется в то же состояние, что и до добавления идентификатора, назначенного пользователем.

C#

Удаление назначенного пользователем идентификатора с помощью C#

Выполните следующее, чтобы удалить идентификатор, назначенный пользователем.

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Шаблон Resource Manager

Удаление назначенного пользователем идентификатора с помощью шаблона Azure Resource Manager

Выполните следующее, чтобы удалить идентификатор, назначенный пользователем.

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Примечание

• Чтобы удалить удостоверения, установите для них значение null. Все остальные существующие идентификаторы не будут затронуты.
• Чтобы удалить все присвоенные пользователем идентификаторы, свойство type будет None,
• Если бы в кластере были одновременно назначены как системой, так и пользователем идентификаторы, свойство type будет SystemAssigned,UserAssigned с идентификаторами, которые необходимо удалить, или SystemAssigned для удаления всех идентификаторов, назначенных пользователем.

Дальнейшие действия

• Защита кластеров Azure Data Explorer в Azure
• Защитите свой кластер с помощью шифрования дисков, включив шифрование хранимых данных.
• Настроить ключи, управляемые клиентом, с помощью C#
• Настройка ключей, управляемых клиентом, с помощью шаблона Azure Resource Manager