受控識別原則
適用於: ✅Azure 數據總管
ManagedIdentity 是一項原則,可控制哪些受控識別可用於哪些用途。 例如,您可以設定原則,讓特定受控識別用於存取記憶體帳戶以供擷取之用。
此原則可以在叢集和資料庫層級啟用。 此原則是加總的,這表示對於涉及受控識別的每個作業而言,如果叢集或資料庫層級允許使用,則會允許此作業。
權限
建立或變更受控識別原則需要 AllDatabasesAdmin 許可權。
ManagedIdentity 原則物件
叢集或資料庫可能會有零或多個與叢集相關聯的ManagedIdentity原則物件。 每個 ManagedIdentity 原則物件都有下列使用者可定義的屬性: DisplayName 和 AllowedUsages。 其他屬性會自動從與指定的 ObjectId 相關聯的受控識別填入,並為了方便起見而顯示。
下表描述 ManagedIdentity 原則對象的屬性:
屬性 | 型別 | 必要 | 描述 |
---|---|---|---|
ObjectId | string |
✔️ | 受控識別的實際物件標識碼或保留關鍵詞 system ,以參考執行命令之叢集的系統受控識別。 |
ClientId | string |
不適用 | 受控識別的用戶端識別碼。 |
TenantId | string |
不適用 | 受控識別的租用戶識別碼。 |
DisplayName | string |
不適用 | 受控識別的顯示名稱。 |
IsSystem | bool |
不適用 | 布爾值,指出識別是否為系統受控識別,則為 true;否則為 false。 |
AllowedUsages | string |
✔️ | 受控識別的逗號分隔允許使用值清單。 請參閱 受控識別使用方式。 |
以下是 ManagedIdentity 原則物件的範例:
{
"ObjectId": "<objectID>",
"ClientId": "<clientID>",
"TenantId": "<tenantID",
"DisplayName": "myManagedIdentity",
"IsSystem": false,
"AllowedUsages": "NativeIngestion, ExternalTable"
}
受控識別使用方式
下列值會使用已設定的受控識別來指定 對 的驗證 usage
:
值 | Description |
---|---|
All |
允許所有目前和未來的使用方式。 |
AutomatedFlows |
代表受控識別執行連續匯出或更新原則自動化流程。 |
DataConnection |
向事件中樞或事件方格的數據連線進行驗證。 |
ExternalTable |
使用以受控識別設定的 連接字串 向外部數據表進行驗證。 |
NativeIngestion |
向 SDK 進行驗證,以從外部來源進行原生擷取。 |
SandboxArtifacts |
使用受控識別向沙盒化外掛程式 (例如 Python) 中所參考的外部成品進行驗證。 此使用方式必須在叢集層級受控識別原則上定義。 |
SqlRequest |
使用 具有受控識別的sql_request 或 cosmosdb_request 外掛程式向外部資料庫進行驗證。 |