Configuración de identidades administradas para el clúster de Azure Data Explorer

Adición de una identidad asignada por el sistema mediante Azure Portal

Inicie sesión en Azure Portal.

Nuevo clúster de Azure Data Explorer

1. Creación de un clúster de Azure Data Explorer

2. En la pestaña Seguridad > >Identidad asignada por el sistema, seleccione Activado. Para quitar la identidad asignada por el sistema, seleccione Desactivado.

3. Seleccione Siguiente: Etiquetas > o Revisar y crear para crear el clúster.

   

Clúster de Azure Data Explorer existente

1. Abra un clúster de Azure Data Explorer existente.

2. Seleccione Configuración>Identidad en el panel izquierdo del portal.

3. En el panel Identidad pestaña >Asignado por el sistema:

   1. Mueva el control deslizante Estado a Activado.
   2. Seleccione Guardar.
   3. En la ventana emergente, seleccione Sí.

   

4. Después de unos minutos, la pantalla muestra:

   • Id. de objeto: se usa para las claves administradas por el cliente
   • Permisos: seleccionar las asignaciones de roles correspondientes

   

Adición de una identidad asignada por el sistema mediante C#

Prerrequisitos

Para configurar una identidad administrada mediante el cliente de C# de Azure Data Explorer:

• Instale el paquete NuGet de Azure Data Explorer.
• Instale el paquete NuGet Microsoft.Identity.Client para la autenticación.
• Instale el paquete NuGet Microsoft.Rest.ClientRuntime para la autenticación.
• Cree una aplicación de Azure AD y una entidad de servicio con acceso a los recursos. La asignación de roles se agrega en el ámbito de la suscripción y se obtienen los objetos Directory (tenant) ID, Application ID y Client Secretnecesarios.

Creación o actualización del clúster

1. Cree o actualice el clúster mediante la propiedad Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Ejecute el siguiente comando para comprobar si el clúster se creó o actualizó correctamente con una identidad:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, el clúster se creó o actualizó y debe tener las siguientes propiedades:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId y TenantId se reemplazan por GUID. La propiedad TenantId identifica el inquilino de Azure AD al que pertenece la identidad. PrincipalId es un identificador único para la nueva identidad del clúster. En Azure AD, la entidad de servicio tiene el mismo nombre que asignó a la instancia de App Service o Azure Functions.

Adición de identidad asignada por el sistema mediante una plantilla de Azure Resource Manager

Se puede utilizar una plantilla de Azure Resource Manager para automatizar la implementación de los recursos de Azure. Para obtener información sobre la implementación en Azure Data Explorer, consulte Creación de un clúster y una base de datos de Azure Data Explorer mediante una plantilla de Azure Resource Manager.

Al agregar el tipo asignado por el sistema se indica a Azure que debe crear y administrar la identidad del clúster. Se puede crear cualquier recurso de tipo Microsoft.Kusto/clusters con una identidad mediante la inclusión de la siguiente propiedad en la definición de recursos:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Por ejemplo:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Cuando se crea el clúster, tiene las siguientes propiedades adicionales:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> y <PRINCIPALID> se reemplazan por GUID. La propiedad TenantId identifica el inquilino de Azure AD al que pertenece la identidad. PrincipalId es un identificador único para la nueva identidad del clúster. En Azure AD, la entidad de servicio tiene el mismo nombre que asignó a la instancia de App Service o Azure Functions.

Eliminación de una identidad asignada por el sistema mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. Seleccione Configuración>Identidad en el panel izquierdo del portal.

3. En el panel Identidad pestaña >Asignado por el sistema:

   1. Mueva el control deslizante Estado a Desactivado.
   2. Seleccione Guardar.
   3. En la ventana emergente, seleccione Sí para deshabilitar la identidad asignada por el sistema. El panel Identidad se revierte a la misma condición que antes de la adición de la identidad asignada por el sistema.

   

Eliminación de una identidad asignada por el sistema mediante C#

Ejecute el comando siguiente para quitar la identidad asignada por el sistema:

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Eliminación de una identidad asignada por el sistema mediante una plantilla de Azure Resource Manager

Ejecute el comando siguiente para quitar la identidad asignada por el sistema:

{
   "identity": {
      "type": "None"
   }
}

Adición de una identidad asignada por el usuario mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. Cree un recurso de identidad administrada asignada por el usuario.

3. Abra un clúster de Azure Data Explorer existente.

4. Seleccione Configuración>Identidad en el panel izquierdo del portal.

5. En la pestaña Usuario asignado, seleccione Agregar.

6. Busque la identidad que creó anteriormente y selecciónela. Seleccione Agregar.

   

Adición de una identidad asignada por el usuario con C#

Prerrequisitos

Para configurar una identidad administrada mediante el cliente de C# de Azure Data Explorer:

• Instale el paquete NuGet de Azure Data Explorer.
• Instale el paquete NuGet Microsoft.Identity.Client para la autenticación.
• Instale el paquete NuGet Microsoft.Rest.ClientRuntime para la autenticación.
• Cree una aplicación de Azure AD y una entidad de servicio con acceso a los recursos. La asignación de roles se agrega en el ámbito de la suscripción y se obtienen los objetos Directory (tenant) ID, Application ID y Client Secretnecesarios.

Creación o actualización del clúster

1. Cree o actualice el clúster mediante la propiedad Identity:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Ejecute el siguiente comando para comprobar si el clúster se creó o actualizó correctamente con una identidad:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, el clúster se creó o actualizó y debe tener las siguientes propiedades:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId es un identificador único de la identidad que se usa para la administración de Azure AD. ClientId es un identificador único de la nueva identidad de la aplicación que se usa para especificar qué identidad utilizar durante las llamadas en tiempo de ejecución.

Adición de una identidad asignada por el usuario mediante una plantilla de Azure Resource Manager

Se puede utilizar una plantilla de Azure Resource Manager para automatizar la implementación de los recursos de Azure. Para obtener información sobre la implementación en Azure Data Explorer, consulte Creación de un clúster y una base de datos de Azure Data Explorer mediante una plantilla de Azure Resource Manager.

Se puede crear cualquier recurso de tipo Microsoft.Kusto/clusters con una identidad asignada por el usuario; para ello, incluya la siguiente propiedad en la definición del recurso y reemplace <RESOURCEID> por el identificador de recurso de la identidad deseada:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Por ejemplo:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Cuando se crea el clúster, tiene las siguientes propiedades adicionales:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId es un identificador único de la identidad que se usa para la administración de Azure AD. ClientId es un identificador único de la nueva identidad de la aplicación que se usa para especificar qué identidad utilizar durante las llamadas en tiempo de ejecución.

Eliminación de una identidad administrada asignada por el usuario mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. Seleccione Configuración>Identidad en el panel izquierdo del portal.

3. Seleccione la pestaña Usuario asignado.

4. Busque la identidad que creó anteriormente y selecciónela. Seleccione Quitar.

   

5. En la ventana emergente, seleccione Sí para eliminar la identidad asignada por el usuario. El panel Identidad se revierte a la misma condición que antes de la adición de la identidad asignada por el usuario.

Eliminación de una identidad asignada por el usuario con C#

Ejecute el código siguiente para eliminar la identidad asignada por el usuario:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Eliminación de una identidad asignada por el usuario mediante una plantilla de Azure Resource Manager

Ejecute el código siguiente para eliminar la identidad asignada por el usuario:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}