Konfigurace spravovaných identit pro cluster Azure Data Explorer

Přidání identity přiřazené systémem pomocí Azure Portal

Přihlaste se k webu Azure Portal.

Nový cluster Azure Data Explorer

1. Vytvoření clusteru Azure Data Explorer

2. Na kartě >ZabezpečeníIdentita přiřazená systémem vyberte Zapnuto. Pokud chcete odebrat identitu přiřazenou systémem, vyberte Vypnuto.

3. Vyberte Další: Značky > nebo Zkontrolovat a vytvořit a vytvořte cluster.

   

Existující cluster Azure Data Explorer

1. Otevřete existující cluster Azure Data Explorer.

2. V levém podokně portálu vyberte Identita nastavení>.

3. V podokně >Identita na kartě Přiřazený systém:

   1. Přesuňte posuvník Stav do polohy Zapnuto.
   2. Vyberte Uložit.
   3. V automaticky otevíraných oknech vyberte Ano.

   

4. Po několika minutách se na obrazovce zobrazí:

   • ID objektu – používá se pro klíče spravované zákazníkem.
   • Oprávnění – výběr relevantních přiřazení rolí

   

Přidání identity přiřazené systémem pomocí jazyka C #

Požadavky

Nastavení spravované identity pomocí klienta Azure Data Explorer jazyka C#:

• Nainstalujte balíček NuGet azure Data Explorer.
• Nainstalujte balíček NuGet Microsoft.Identity.Client pro ověřování.
• Nainstalujte balíček NuGet Microsoft.Rest.ClientRuntime pro ověřování.
• Vytvořte Azure AD aplikaci a instanční objekt, který má přístup k prostředkům. Přiřazení role přidáte v oboru předplatného a získáte požadované Directory (tenant) ID, Application IDa Client Secret.

Vytvoření nebo aktualizace clusteru

1. Vytvořte nebo aktualizujte cluster pomocí Identity vlastnosti:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Spuštěním následujícího příkazu zkontrolujte, jestli se cluster úspěšně vytvořil nebo aktualizoval pomocí identity:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Pokud výsledek obsahuje ProvisioningState s Succeeded hodnotou, cluster se vytvořil nebo aktualizoval a měl by mít následující vlastnosti:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId a TenantId jsou nahrazeny identifikátory GUID. Vlastnost TenantId identifikuje Azure AD tenanta, do kterého identita patří. Jedná se PrincipalId o jedinečný identifikátor nové identity clusteru. V Azure AD má instanční objekt stejný název, jaký jste zadali vaší instanci App Service nebo Azure Functions.

Přidání identity přiřazené systémem pomocí šablony Azure Resource Manager

K automatizaci nasazení prostředků Azure je možné použít šablonu Azure Resource Manager. Další informace o nasazení do Azure Data Explorer najdete v tématu Vytvoření clusteru a databáze Azure Data Explorer pomocí šablony Azure Resource Manager.

Přidání typu přiřazeného systémem říká Azure, že má vytvořit a spravovat identitu pro váš cluster. Jakýkoli prostředek typu Microsoft.Kusto/clusters je možné vytvořit s identitou tak, že do definice prostředku zahrnete následující vlastnost:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Příklad:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Po vytvoření má cluster následující další vlastnosti:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> a <PRINCIPALID> jsou nahrazeny identifikátory GUID. Vlastnost TenantId identifikuje Azure AD tenanta, do kterého identita patří. Jedná se PrincipalId o jedinečný identifikátor nové identity clusteru. V Azure AD má instanční objekt stejný název, jaký jste zadali vaší instanci App Service nebo Azure Functions.

Odebrání identity přiřazené systémem pomocí Azure Portal

1. Přihlaste se k webu Azure Portal.

2. V levém podokně portálu vyberte Identita nastavení>.

3. V podokně >Identita na kartě Přiřazený systém:

   1. Posuňte posuvník Stav do polohy Vypnuto.
   2. Vyberte Uložit.
   3. V automaticky otevíraných otevíraných Podokno Identita se vrátí do stejné podmínky jako před přidáním identity přiřazené systémem.

   

Odebrání identity přiřazené systémem pomocí jazyka C #

Spuštěním následujícího příkazu odeberte identitu přiřazenou systémem:

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Odebrání identity přiřazené systémem pomocí šablony Azure Resource Manager

Spuštěním následujícího příkazu odeberte identitu přiřazenou systémem:

{
   "identity": {
      "type": "None"
   }
}

Přidání identity přiřazené uživatelem pomocí Azure Portal

1. Přihlaste se k webu Azure Portal.

2. Vytvořte prostředek spravované identity přiřazené uživatelem.

3. Otevřete existující cluster Azure Data Explorer.

4. V levém podokně portálu vyberte Identita nastavení>.

5. Na kartě Přiřazené uživatelem vyberte Přidat.

6. Vyhledejte identitu, kterou jste vytvořili dříve, a vyberte ji. Vyberte Přidat.

   

Přidání identity přiřazené uživatelem pomocí jazyka C #

Požadavky

Nastavení spravované identity pomocí klienta Azure Data Explorer C#:

• Nainstalujte balíček NuGet azure Data Explorer.
• Nainstalujte balíček NuGet Microsoft.Identity.Client pro ověřování.
• Nainstalujte balíček NuGet Microsoft.Rest.ClientRuntime pro ověřování.
• Vytvořte aplikaci Azure AD a instanční objekt, který má přístup k prostředkům. Přiřazení role přidáte v oboru předplatného a získáte požadované Directory (tenant) ID, Application IDa Client Secret.

Vytvoření nebo aktualizace clusteru

1. Vytvořte nebo aktualizujte cluster pomocí Identity vlastnosti :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Spuštěním následujícího příkazu zkontrolujte, jestli se cluster úspěšně vytvořil nebo aktualizoval pomocí identity:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Pokud výsledek obsahuje ProvisioningState s Succeeded hodnotou , cluster se vytvořil nebo aktualizoval a měl by mít následující vlastnosti:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   Je PrincipalId jedinečný identifikátor identity, který se používá pro správu Azure AD. Je ClientId jedinečný identifikátor nové identity aplikace, který se používá k určení identity, která se má použít během volání za běhu.

Přidání identity přiřazené uživatelem pomocí šablony Azure Resource Manager

K automatizaci nasazení prostředků Azure je možné použít šablonu Azure Resource Manager. Další informace o nasazení do Azure Data Explorer najdete v tématu Vytvoření clusteru a databáze Azure Data Explorer pomocí šablony Azure Resource Manager.

Libovolný prostředek typu Microsoft.Kusto/clusters je možné vytvořit s identitou přiřazenou uživatelem tak, že do definice prostředku zahrnete následující vlastnost a nahradíte <RESOURCEID> ID prostředku požadované identity:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Příklad:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Po vytvoření má cluster následující další vlastnosti:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

Je PrincipalId jedinečný identifikátor identity, který se používá pro správu Azure AD. Je ClientId jedinečný identifikátor nové identity aplikace, který se používá k určení identity, která se má použít během volání za běhu.

Odebrání spravované identity přiřazené uživatelem pomocí Azure Portal

1. Přihlaste se k webu Azure Portal.

2. V levém podokně portálu vyberte Identita nastavení>.

3. Vyberte kartu Přiřazené uživatelem .

4. Vyhledejte identitu, kterou jste vytvořili dříve, a vyberte ji. Vyberte Odebrat.

   

5. V automaticky otevíraných otevíraných oknech vyberte Ano a odeberte identitu přiřazenou uživatelem. Podokno Identita se vrátí do stejné podmínky jako před přidáním identity přiřazené uživatelem.

Odebrání identity přiřazené uživatelem pomocí jazyka C #

Spuštěním následujícího příkazu odeberte identitu přiřazenou uživatelem:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Odebrání identity přiřazené uživatelem pomocí šablony Azure Resource Manager

Spuštěním následujícího příkazu odeberte identitu přiřazenou uživatelem:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}