Настройка управляемых идентичностей для кластера Azure Data Explorer

Управляемое удостоверение из Azure Active Directory позволяет кластеру легко получить доступ к другим ресурсам, защищенным Azure AD, таким как Azure Key Vault. Идентификация осуществляется платформой Azure, и вам не нужно подготавливать или изменять какие-либо секреты. В настоящее время конфигурация управляемого удостоверения поддерживается только для включения управляемых клиентом ключей для кластера.

Для обзора по управляемым удостоверениям смотрите раздел Аутентификация с помощью управляемых удостоверений в кластере Azure Data Explorer.

Кластер Azure Data Explorer может получить два типа удостоверений:

• назначаемое системой удостоверение: привязано к вашему кластеру и удаляется, если ваш ресурс удален. Кластер может иметь только одну идентичность, назначенную системой.
• Пользовательский идентификатор: автономный ресурс Azure, который можно связать с вашим кластером. Кластер может иметь несколько пользовательских удостоверений.

В этой статье описывается, как добавлять и удалять управляемые удостоверения, назначаемые системой и пользователем, для кластеров Azure Data Explorer.

Примечание.

Управляемые удостоверения для Azure Data Explorer не будут работать должным образом, если кластер Azure Data Explorer переносится между подписками или клиентами. Приложению потребуется получить новое удостоверение, что можно сделать, отключив и снова включив функцию. Политики доступа ресурсов нижнего уровня также должны быть обновлены для использования новой идентичности.

Добавить назначаемую системой идентификацию

Назначьте системное удостоверение, привязанное к вашему кластеру, которое удаляется вместе с ним, если кластер будет удалён. Кластер может иметь только одну системно назначаемую идентичность. Для создания кластера с удостоверением, автоматически назначаемым системой, необходимо установить дополнительное свойство для кластера. Добавьте назначаемое системой удостоверение с помощью портала Azure, C# или шаблона диспетчера ресурсов, как описано ниже.

Портал Azure

Добавление назначаемого системой удостоверения с помощью портала Azure

Войдите на портал Azure.

Новый кластер Azure Data Explorer

1. Создание кластера Azure Data Explorer

2. На вкладке Безопасность>назначенного системой удостоверениявыберите "В". Чтобы удалить назначенное системой удостоверение, выберите Off.

3. Выберите Далее: теги > или проверка и создание для создания кластера.

   

Существующий кластер Azure Data Explorer

1. Откройте существующий кластер Azure Data Explorer.

2. Выберите параметры >identity на левой панели портала.

3. На вкладке Удостоверение панели >системы назначена вкладка:

   1. Переместите ползунок состояния в On.
   2. Выберите Сохранить
   3. Во всплывающем окне выберите Да

   

4. Через несколько минут на экране показано:

   • идентификатор объекта — используется для ключей, управляемых клиентом
   • Права доступа — Выберите соответствующие назначения ролей

   

C#

Добавление системного удостоверения с помощью C#

Предпосылки

Чтобы настроить управляемую идентичность с использованием клиента C# для Azure Data Explorer, выполните следующие действия.

• Установите пакет NuGet для обозревателя данных Azure Data Explorer.
• Установите пакет NuGet Microsoft.Identity.Client для аутентификации.
• Установите пакет NuGet Microsoft.Rest.ClientRuntime для аутентификации.
• создание приложения Azure AD и субъекта-службы, которые могут получить доступ к ресурсам. Вы добавляете назначение ролей на уровне подписки и получаете необходимые Directory (tenant) ID, Application ID и Client Secret.

Создание или обновление кластера

1. Создайте или обновите кластер с помощью свойства Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Выполните следующую команду, чтобы проверить, был ли кластер успешно создан или обновлен с идентификатором.

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Если результат содержит ProvisioningState со значением Succeeded, кластер был создан или обновлен и должен иметь следующие свойства:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId и TenantId заменяются идентификаторами GUID. Свойство TenantId идентифицирует тенант Azure AD, которому принадлежит идентификация. PrincipalId — это уникальный идентификатор новой идентичности кластера. В Azure AD служебный принципал имеет то же имя, которое вы предоставили вашему App Service или экземпляру Azure Functions.

Шаблон Resource Manager

Добавьте удостоверение, назначенное системой, с помощью шаблона Azure Resource Manager

Шаблон Azure Resource Manager можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения о развертывании в обозревателе данных Azure см. в разделе Создание кластера и базы данных Azure Data Explorer с помощью шаблона Azure Resource Manager.

Добавление типа, назначенного системой, указывает Azure создать удостоверение для вашего кластера и управлять им. Любой ресурс типа Microsoft.Kusto/clusters можно создать с идентификатором, добавив следующее свойство в определение ресурса.

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Рассмотрим пример.

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Примечание.

Кластер может одновременно иметь удостоверения, назначенные системой и назначаемые пользователем. Свойство type будет SystemAssigned,UserAssigned

При создании кластера он имеет следующие дополнительные свойства:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> и <PRINCIPALID> заменяются идентификаторами GUID. Свойство TenantId определяет клиент Azure AD, которому принадлежит удостоверение. PrincipalId — это уникальный идентификатор новой идентичности кластера. В Azure AD основной объект службы имеет такое же имя, как то, которое вы дали вашему App Service или экземпляру Azure Functions.

Удалить системное удостоверение

Удаление удостоверения, назначенного системой, также приведет к его удалению из Azure AD. Назначаемые системой удостоверения также автоматически удаляются из Azure AD при удалении ресурса кластера. Системное удостоверение можно удалить, отключив функцию. Удалите удостоверение, назначаемое системой, с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Портал Azure

Удаление назначаемого системой удостоверения с помощью портала Azure

1. Войдите на портал Azure.

2. Выберите параметры >identity на левой панели портала.

3. На панели Удостоверение, во вкладке >назначенная системой:

   1. Переместите ползунок статуса в выключено.
   2. Выберите Сохранить
   3. Во всплывающем окне выберите Да, чтобы отключить системную идентификацию. Панель удостоверения возвращается к тому же состоянию, что и до добавления удостоверения, назначаемого системой.

   

C#

Удаление назначаемого системой удостоверения с помощью C#

Выполните следующее, чтобы удалить системно назначенное удостоверение личности.

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Шаблон Resource Manager

Удаление назначаемого системой удостоверения с помощью шаблона Azure Resource Manager

Выполните следующую команду, чтобы удалить системное удостоверение.

{
   "identity": {
      "type": "None"
   }
}

Примечание.

Если в кластерe одновременно назначены системные и пользовательские удостоверения, то после удаления системного удостоверения свойство type станет UserAssigned.

Добавить назначенное пользователем удостоверение

Назначьте кластеру управляемую идентификацию, назначаемую пользователем. Кластер может иметь несколько идентификаторов, назначенных пользователем. Для создания кластера с идентификацией, назначенной пользователем, необходимо установить дополнительное свойство для кластера. Добавьте назначаемую пользователем идентичность с помощью портала Azure, C# или шаблона Resource Manager, как описано ниже.

Портал Azure

Добавьте назначенное пользователем удостоверение через портал Azure

1. Войдите на портал Azure.

2. Создайте ресурс управляемой идентичности, назначенной пользователем,.

3. Откройте существующий кластер Azure Data Explorer.

4. Выберите параметры >identity на левой панели портала.

5. На вкладке , назначенной пользователем, выберите Добавить.

6. Найдите созданный ранее идентификатор и выберите его. Выберите Добавить.

   

C#

Добавление идентификатора, назначенного пользователем, с помощью C#

Предпосылки

Чтобы настроить управляемое удостоверение с помощью клиента C# Azure Data Explorer, выполните следующие действия.

• Установите пакет NuGet для обозревателя данных Azure Data Explorer.
• Установите пакет NuGet Microsoft.Identity.Client для аутентификации.
• Установите пакет NuGet Microsoft.Rest.ClientRuntime для аутентификации.
• создание приложения Azure AD и субъекта-службы, которые могут получить доступ к ресурсам. Вы добавляете назначение ролей на уровне подписки и получаете необходимые Directory (tenant) ID, Application ID и Client Secret.

Создание или обновление кластера

1. Создайте или обновите кластер с помощью свойства Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Выполните следующую команду, чтобы проверить, был ли ваш кластер успешно создан или обновлен с использованием идентификации.

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Если результат содержит ProvisioningState со значением Succeeded, кластер был создан или обновлен и должен иметь следующие свойства:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId — это уникальный идентификатор удостоверения, используемого для администрирования Azure AD. ClientId — это уникальный идентификатор новой идентичности приложения, который используется для указания, какая идентичность будет применяться во время вызовов среды выполнения.

Шаблон Resource Manager

Назначение пользовательской удостоверяющей личности с использованием шаблона Azure Resource Manager

Шаблон Azure Resource Manager можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения о развертывании в обозревателе данных Azure см. в разделе Создание кластера и базы данных Azure Data Explorer с помощью шаблона Azure Resource Manager.

Любой ресурс типа Microsoft.Kusto/clusters можно создать с удостоверением, назначаемым пользователем, включив следующее свойство в определение ресурса, заменив <RESOURCEID> идентификатором ресурса требуемого удостоверения:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Рассмотрим пример.

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

При создании кластера он имеет следующие дополнительные свойства:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId — это уникальный идентификатор удостоверения, используемого для администрирования Azure AD. ClientId — это уникальный идентификатор новой идентичности приложения, который используется для указания, какое удостоверение использовать во время выполнения вызовов.

Примечание.

Кластер может одновременно иметь как системные, так и пользовательские удостоверения. В этом случае свойство type будет иметь значение SystemAssigned,UserAssigned.

Удалить управляемое удостоверение, назначенное пользователем, из кластера

Удалите пользовательскую назначенную идентичность с помощью портала Azure, C# или шаблона Resource Manager, следуя описанным ниже инструкциям.

Портал Azure

Удалите управляемое удостоверение, назначенное пользователем, с помощью портала Azure

1. Войдите на портал Azure.

2. Выберите Настройки >Идентификация на левой панели портала.

3. Выберите вкладку Назначено пользователем.

4. Найдите удостоверение, созданное ранее, и выберите его. Выберите Удалить.

   

5. Во всплывающем окне выберите Да, чтобы удалить назначенное пользователем удостоверение. Панель идентификации возвращается к тому же состоянию, что и до добавления идентификации, назначаемой пользователем.

C#

Удаление идентификации, назначенной пользователем, с помощью C#

Выполните следующую команду, чтобы удалить пользовательское назначенное удостоверение:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Шаблон Resource Manager

Удалите назначенное пользователем удостоверение с помощью шаблона Azure Resource Manager

Выполните следующее, чтобы удалить пользовательскую назначенную идентичность:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Примечание.

• Чтобы удалить идентификаторы, присвойте им значение NULL. Все остальные существующие идентичности не будут затронуты.
• Чтобы удалить все назначенные пользователем удостоверения, свойство type должно быть None.
• Если в кластере одновременно назначены системой и назначаемые пользователем удостоверения, свойство type будет SystemAssigned,UserAssigned с удостоверениями, которые нужно удалить, или SystemAssigned, чтобы удалить все удостоверения, назначенные пользователем.

Дальнейшие действия

• Безопасные кластеры Azure Data Explorer в Azure
• Защитите ваш кластер, используя шифрование дисков, активировав шифрование данных в состоянии покоя.
• настройка ключей, управляемых клиентом, с помощью C#
• настройка управляемых клиентом ключей с помощью шаблона Azure Resource Manager