配置 Azure 数据资源管理器群集的托管标识

项目
05/03/2023

借助 Azure Active Directory 中的托管标识，群集可轻松访问其他受 Azure AD 保护的资源，如 Azure 密钥保管库。标识由 Azure 平台托管，无需预配或轮换任何机密。当前支持托管标识配置只是为了为群集启用客户管理的密钥。

有关托管标识的概述，请参阅在 Azure 数据资源管理器群集中使用托管标识进行身份验证。

可授予 Azure 数据资源管理器群集两种类型的标识：

系统分配的标识：绑定到你的群集，在资源被删除时删除。一个群集只能有一个系统分配的标识。
用户分配的标识：可分配给群集的独立 Azure 资源。一个群集可具有多个用户分配的标识。

本文介绍如何为数据资源管理器群集添加和删除系统分配的和用户分配的托管标识。

注意

如果在订阅或租户之间迁移了 Azure 数据资源管理器群集，Azure 数据资源管理器的托管标识将不会按预期工作。应用需要获取新标识，这可以通过禁用并重新启用该功能来完成。还需要更新下游资源的访问策略才能使用新标识。

添加系统分配的标识

分配一个系统分配的标识，该标识绑定到群集，在群集被删除时删除。一个群集只能有一个系统分配的标识。使用系统分配的标识创建群集需要在该群集上设置一个额外的属性。使用 Azure 门户、C# 或资源管理器模板添加系统分配的标识，详情如下所示。

使用 Azure 门户添加系统分配的标识

登录到 Azure 门户。

新建 Azure 数据资源管理器群集

创建 Azure 数据资源管理器群集
在“安全性”选项卡 >“系统分配标识”中，选择“打开”。若要删除系统分配的标识，请选择“关闭”。
选择“下一步: 标记 >”或“查看 + 创建”，创建此群集。

现有的 Azure 数据资源管理器群集

打开现有的 Azure 数据资源管理器群集。
在门户的左窗格中，选择“设置”>“标识”。
在“标识”窗格 >“系统分配”选项卡中：
1. 将“状态”滑块移到“打开”。
2. 选择“保存”
3. 在弹出窗口中选择“是”
几分钟后，屏幕显示：
- 对象 ID - 用于客户管理的密钥
- 权限 - 选择相关角色分配

使用 C# 添加系统分配的标识

先决条件

若要使用 Azure 数据资源管理器 C# 客户端设置托管标识，请执行以下操作：

安装 Azure 数据资源管理器 NuGet 包。
安装 Microsoft.Identity.Client NuGet 包进行身份验证。
安装 Microsoft.Rest.ClientRuntime NuGet 包进行身份验证。
创建可访问资源的 Azure AD 应用程序和服务主体。我们在订阅范围添加角色分配，并获取所需的 Directory (tenant) ID、Application ID 和 Client Secret。

创建或更新群集

使用 Identity 属性创建或更新群集：

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";

var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
    .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
    .WithClientSecret(clientSecret)
    .Build();
var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
var resourceGroupName = "testrg";
var clusterName = "mykustocluster";
var clusterData = new Cluster(
    location: "Central US",
    sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
    identity: new Identity(IdentityType.SystemAssigned)
);

await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);

运行以下命令，检查是否已使用标识成功创建或更新群集：
```
clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
```
如果结果中包含具有 Succeeded 值的 ProvisioningState，则表示已创建或更新群集，群集应具有以下属性：
```
var principalGuid = clusterData.Identity.PrincipalId;
var tenantGuid = clusterData.Identity.TenantId;
```

PrincipalId 和 TenantId 已替换为 GUID。 TenantId 属性可标识该标识所属的 Azure AD 租户。 PrincipalId 是群集的新标识的唯一标识符。在 Azure AD 中，服务主体的名称与你为应用服务或 Azure Functions 实例提供的名称相同。

使用 Azure 资源管理器模板添加系统分配的标识

Azure 资源管理器模板可以用于自动化 Azure 资源部署。若要详细了解如何部署到 Azure 数据资源管理器，请参阅使用 Azure 资源管理器模板创建 Azure 数据资源管理器群集和数据库。

添加系统分配的类型将告知 Azure 要为群集创建和管理标识。在资源定义包括以下属性，可以创建 Microsoft.Kusto/clusters 类型的任何有标识资源：

{
   "identity": {
      "type": "SystemAssigned"
   }
}

例如：

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

注意

一个群集可同时具有系统分配的标识和用户分配的标识。 type 属性将为 SystemAssigned,UserAssigned

创建群集后，它具有以下附加属性：

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> 和 <PRINCIPALID> 已替换为 GUID。 TenantId 属性可标识该标识所属的 Azure AD 租户。 PrincipalId 是群集的新标识的唯一标识符。在 Azure AD 中，服务主体的名称与你为应用服务或 Azure Functions 实例提供的名称相同。

删除系统分配的标识

删除系统分配的标识也会将其从 Azure AD 中删除。删除群集资源时，也会自动从 Azure AD 中删除系统分配的标识。可以通过禁用该功能来删除系统分配的标识。使用 Azure 门户、C# 或资源管理器模板删除系统分配的标识，详情如下所示。

使用 Azure 门户删除系统分配的标识

登录到 Azure 门户。
在门户的左窗格中，选择“设置”>“标识”。
在“标识”窗格 >“系统分配”选项卡中：
1. 将“状态”滑块移到“关闭”。
2. 选择“保存”
3. 在弹出窗口中选择“是”，禁用系统分配的标识。 “标识”窗格恢复到与添加系统分配标识之前相同的状况。

使用 C# 删除系统分配的标识

运行以下代码，删除系统分配的标识：

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

使用 Azure 资源管理器模板删除系统分配的标识

运行以下代码，删除系统分配的标识：

{
   "identity": {
      "type": "None"
   }
}

注意

如果此群集同时具有系统分配的标识和用户分配的标识，则删除系统分配的标识后，type 属性将为 UserAssigned

添加用户分配的标识

将用户分配的托管标识分配给群集。一个群集可拥有多个用户分配的标识。使用用户分配的标识创建群集需要在该群集上设置一个额外的属性。使用 Azure 门户、C# 或资源管理器模板添加用户分配的标识，详情如下所示。

使用 Azure 门户添加用户分配的标识

登录 Azure 门户。
创建用户分配的托管标识资源。
打开现有的 Azure 数据资源管理器群集。
在门户的左窗格中，选择“设置”>“标识”。
在“用户分配”选项卡中，选择“添加” 。
搜索之前创建的标识并选择它。选择添加。

使用 C# 添加用户分配的标识

先决条件

若要使用 Azure 数据资源管理器 C# 客户端设置托管标识，请执行以下操作：

安装 Azure 数据资源管理器 NuGet 包。
安装 Microsoft.Identity.Client NuGet 包进行身份验证。
安装 Microsoft.Rest.ClientRuntime NuGet 包进行身份验证。
创建可访问资源的 Azure AD 应用程序和服务主体。我们在订阅范围添加角色分配，并获取所需的 Directory (tenant) ID、Application ID 和 Client Secret。

创建或更新群集

使用 Identity 属性创建或更新群集：

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
    .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
    .WithClientSecret(clientSecret)
    .Build();
var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
var resourceGroupName = "testrg";
var clusterName = "mykustocluster";
var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
var clusterData = new Cluster(
    location: "Central US",
    sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
        }
    )
);
await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);

运行以下命令，检查是否已使用标识成功创建或更新群集：
```
clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
```
如果结果中包含具有 Succeeded 值的 ProvisioningState，则表示已创建或更新群集，群集应具有以下属性：
```
var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
var principalGuid = userIdentity.PrincipalId;
var clientGuid = userIdentity.ClientId;
```
PrincipalId 是用于 Azure AD 管理的标识的唯一标识符。 ClientId 是应用程序的新标识的唯一标识符，用于指定在运行时调用期间使用哪个标识。

使用 Azure 资源管理器模板添加用户分配的标识

通过在资源定义中包含以下属性，然后将 <RESOURCEID> 替换为所需标识的资源 ID，就可使用用户分配的标识创建任何 Microsoft.Kusto/clusters 类型的资源：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

例如：

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

创建群集后，它具有以下附加属性：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId 是用于 Azure AD 管理的标识的唯一标识符。 ClientId 是应用程序的新标识的唯一标识符，用于指定在运行时调用期间使用哪个标识。

注意

一个群集可同时具有系统分配的标识和用户分配的标识。在这种情况下，type 属性将为 SystemAssigned,UserAssigned。

从群集中删除用户分配的托管标识

使用 Azure 门户、C# 或资源管理器模板删除用户分配的标识，详情如下所示。

使用 Azure 门户删除用户分配的托管标识

登录到 Azure 门户。
在门户的左窗格中，选择“设置”>“标识”。
选择“用户分配”选项卡。
搜索之前创建的标识并选择它。选择“删除” 。
在弹出窗口中，选择“是”，删除用户分配的标识。 “标识”窗格会还原到与添加用户分配的标识之前相同的状态。

使用 C# 删除用户分配的标识

运行以下代码删除用户分配的标识：

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

使用 Azure 资源管理器模板删除用户分配的标识

运行以下代码删除用户分配的标识：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

注意

若要删除标识，请将其值设置为 null。所有其他现有标识不会受影响。
若要删除所有用户分配的标识，type 属性将为 None，
如果群集同时具有系统分配的标识和用户分配的标识，则 type 属性将是删除所需标识的 SystemAssigned,UserAssigned，或者是删除所有用户分配的标识的 SystemAssigned。

通过

配置 Azure 数据资源管理器群集的托管标识

添加系统分配的标识

使用 Azure 门户添加系统分配的标识

新建 Azure 数据资源管理器群集

现有的 Azure 数据资源管理器群集

使用 C# 添加系统分配的标识

先决条件

创建或更新群集

使用 Azure 资源管理器模板添加系统分配的标识

删除系统分配的标识

使用 Azure 门户删除系统分配的标识

使用 C# 删除系统分配的标识

使用 Azure 资源管理器模板删除系统分配的标识

添加用户分配的标识

使用 Azure 门户添加用户分配的标识

使用 C# 添加用户分配的标识

先决条件

创建或更新群集

使用 Azure 资源管理器模板添加用户分配的标识

从群集中删除用户分配的托管标识

使用 Azure 门户删除用户分配的托管标识

使用 C# 删除用户分配的标识

使用 Azure 资源管理器模板删除用户分配的标识

后续步骤

其他资源