Общие сведения об управляемых удостоверениях

Управляемое удостоверение из идентификатора Microsoft Entra позволяет кластеру получать доступ к другим защищенным ресурсам Microsoft Entra, таким как служба хранилища Azure. Удостоверения управляются платформой Azure, и для них не нужно подготавливать или изменять секреты.

Типы управляемых удостоверений

Кластеру Azure Data Explorer могут быть предоставлены два типа удостоверений.

• Назначаемое системой удостоверение: привязан к вашему кластеру и удаляется при удалении вашего ресурса. У кластера может быть только одно удостоверение, назначенное системой.

• Назначаемое пользователем удостоверение: автономный ресурс Azure, который можно назначить вашему кластеру. Кластер может иметь несколько идентификаторов, назначаемых пользователем.

Аутентификация на основе управляемых удостоверений

Ресурсы Microsoft Entra с одним клиентом могут использовать только управляемые удостоверения для обмена данными с ресурсами в одном клиенте. Это ограничение ограничивает использование управляемых удостоверений в определенных сценариях проверки подлинности. Например, нельзя использовать управляемое удостоверение Azure Data Explorer для доступа к концентратору событий, расположенному в другом клиенте. В таких случаях используйте проверку подлинности на основе ключа учетной записи.

Azure Data Explorer поддерживает мультитенантный интерфейс, что означает, что вы можете предоставить доступ к управляемым удостоверениям из разных клиентов. Для этого назначьте соответствующие роли безопасности. При назначении ролей обратитесь к управляемому удостоверению, как описано в разделе "Ссылки на субъекты безопасности".

Для проверки подлинности с помощью управляемых удостоверений выполните следующие действия.

1. Настройте управляемое удостоверения для кластера.
2. Настройте политику управляемых удостоверений.
3. Используйте управляемое удостоверение в поддерживаемых рабочих процессах.

Настройка управляемого удостоверения для кластера

Кластеру требуются разрешения на выполнение действий от имени заданного управляемого удостоверения. Это назначение может быть задано как для назначаемых системой, так и для назначаемых пользователем управляемых удостоверений. Инструкции см. в разделе Настройка управляемых удостоверений для кластера Azure Data Explorer.

Настройка политики управляемых удостоверений

Для использования управляемого удостоверения необходимо настроить политику управляемых удостоверений, чтобы разрешить использовать это удостоверение. Инструкции см. в статье Политика управляемых удостоверений.

Ниже приведены команды управления политикой управляемых удостоверений:

• Managed_identity политики alter
• Политика слияния alter-merge managed_identity
• Managed_identity политики delete
• .show policy managed_identity

Использование управляемого удостоверения в поддерживаемых рабочих процессах

После назначения управляемого удостоверения кластеру и настройки соответствующего использования управляемой политики удостоверений можно приступать к использованию проверки подлинности с помощью управляемого удостоверения в следующих рабочих процессах:

• Внешние таблицы. Создание внешней таблицы с проверкой подлинности с помощью управляемого удостоверения. Проверка подлинности указывается в составе строки подключения Примеры см. в строка подключения хранилища. Инструкции по использованию внешних таблиц с проверкой подлинности управляемого удостоверения см. в статье "Проверка подлинности внешних таблиц с помощью управляемых удостоверений".

• Непрерывный экспорт: запуск непрерывного экспорта от имени управляемого удостоверения. Управляемое удостоверение требуется, если внешняя таблица использует проверку подлинности олицетворения или если экспорт ссылается на таблицы запросов в других базах данных. Чтобы использовать управляемое удостоверение, добавьте идентификатор управляемого удостоверения в необязательные параметры, заданные в команде create-or-alter . Пошаговые инструкции см. в руководстве по проверке подлинности с помощью управляемого удостоверения для непрерывного экспорта.

• Собственные приемы центров событий: используйте управляемое удостоверение с собственным приемом концентратора событий. Дополнительные сведения см. в статье Прием данных из концентратора событий в Azure Data Explorer.

• Подключаемый модуль Python. Используйте управляемое удостоверение для проверки подлинности в учетных записях хранения внешних артефактов, используемых в подключаемом модуле Python. Обратите внимание, что SandboxArtifacts использование должно быть определено в политике управляемого удостоверения на уровне кластера. Дополнительные сведения см. в статье Подключаемый модуль Python.

• Прием на основе пакета SDK. При очереди больших двоичных объектов для приема из собственных учетных записей хранения можно использовать управляемые удостоверения в качестве альтернативы маркерам подписанного URL-адреса (SAS) и методам проверки подлинности общих ключей. Дополнительные сведения см. в статье Помещение BLOB-объектов в очередь для приема с использованием проверки подлинности на основе управляемого удостоверения.

• Прием из хранилища: прием данных из файлов, расположенных в облачных хранилищах, в целевую таблицу с помощью проверки подлинности управляемого удостоверения. Дополнительные сведения см. в разделе "Прием из хранилища".

• Подключаемые модули запросов SQL: используйте управляемое удостоверение для проверки подлинности во внешней базе данных при использовании подключаемых модулей sql_request или cosmosdb_request .

Связанный контент

• Настройка управляемых удостоверений для кластера
• Проверка подлинности внешних таблиц с помощью управляемых удостоверений
• Примеры использования строка подключения хранилища для управляемого удостоверения