Konfigurera hanterade identiteter för ditt Azure Data Explorer-kluster

Lägga till en systemtilldelad identitet med hjälp av Azure Portal

Logga in på Azure-portalen.

Nytt Azure Data Explorer-kluster

1. Skapa ett Azure Data Explorer-kluster

2. På fliken >SäkerhetSystemtilldelad identitet väljer du På. Om du vill ta bort den systemtilldelade identiteten väljer du Av.

3. Välj Nästa: Taggar > eller Granska + skapa för att skapa klustret.

   

Befintligt Azure Data Explorer-kluster

1. Öppna ett befintligt Azure Data Explorer-kluster.

2. Välj Inställningar>Identitet i den vänstra rutan i portalen.

3. I identitetsfönstret>Systemtilldelad flik:

   1. Flytta skjutreglaget Status till På.
   2. Välj Spara
   3. I popup-fönstret väljer du Ja

   

4. Efter några minuter visas följande på skärmen:

   • Objekt-ID – används för kundhanterade nycklar
   • Behörigheter – Välj relevanta rolltilldelningar

   

Lägga till en systemtilldelad identitet med C#

Förutsättningar

Så här konfigurerar du en hanterad identitet med hjälp av Azure Data Explorer C#-klienten:

• Installera Azure Data Explorer NuGet-paketet.
• Installera NuGet-paketet Azure.Identity för autentisering.
• Skapa ett Microsoft Entra program och tjänstens huvudnamn som kan komma åt resurser. Du lägger till rolltilldelning i prenumerationsomfånget och får nödvändiga Directory (tenant) ID, Application IDoch Client Secret.

Skapa eller uppdatera klustret

1. Skapa eller uppdatera klustret med hjälp av Identity egenskapen :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Kör följande kommando för att kontrollera om klustret har skapats eller uppdaterats med en identitet:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Om resultatet innehåller ProvisioningState med Succeeded värdet skapades eller uppdaterades klustret och bör ha följande egenskaper:

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId och TenantId ersätts med GUID. Egenskapen TenantId identifierar den Microsoft Entra klientorganisation som identiteten tillhör. PrincipalId är en unik identifierare för klustrets nya identitet. I Microsoft Entra-ID har tjänstens huvudnamn samma namn som du gav till din App Service- eller Azure Functions-instans.

Lägga till en systemtilldelad identitet med hjälp av en Azure Resource Manager-mall

En Azure Resource Manager-mall kan användas för att automatisera distributionen av dina Azure-resurser. Mer information om hur du distribuerar till Azure Data Explorer finns i Skapa ett Azure Data Explorer-kluster och en databas med hjälp av en Azure Resource Manager-mall.

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för klustret. Alla resurser av typen Microsoft.Kusto/clusters kan skapas med en identitet genom att inkludera följande egenskap i resursdefinitionen:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Exempel:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

När klustret skapas har det följande ytterligare egenskaper:

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> och <PRINCIPALID> ersätts med GUID. Egenskapen TenantId identifierar den Microsoft Entra klientorganisation som identiteten tillhör. PrincipalId är en unik identifierare för klustrets nya identitet. I Microsoft Entra-ID har tjänstens huvudnamn samma namn som du gav till din App Service- eller Azure Functions-instans.

Ta bort en systemtilldelad identitet med hjälp av Azure Portal

1. Logga in på Azure-portalen.

2. Välj Inställningar>Identitet i den vänstra rutan i portalen.

3. I identitetsfönstret>Systemtilldelad flik:

   1. Flytta skjutreglaget Status till Av.
   2. Välj Spara
   3. I popup-fönstret väljer du Ja för att inaktivera den systemtilldelade identiteten. Identitetsfönstret återgår till samma villkor som innan den systemtilldelade identiteten läggs till.

   

Ta bort en systemtilldelad identitet med C#

Kör följande för att ta bort den systemtilldelade identiteten:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

Ta bort en systemtilldelad identitet med hjälp av en Azure Resource Manager-mall

Kör följande för att ta bort den systemtilldelade identiteten:

{
   "identity": {
      "type": "None"
   }
}

Lägg till en användartilldelad identitet med hjälp av Azure Portal

1. Logga in på Azure-portalen.

2. Skapa en användartilldelad hanterad identitetsresurs.

3. Öppna ett befintligt Azure Data Explorer-kluster.

4. Välj Inställningar>Identitet i det vänstra fönstret i portalen.

5. På fliken Användartilldelade väljer du Lägg till.

6. Sök efter den identitet som du skapade tidigare och välj den. Välj Lägg till.

   

Lägga till en användartilldelad identitet med C#

Förutsättningar

Så här konfigurerar du en hanterad identitet med hjälp av Azure Data Explorer C#-klienten:

• Installera Azure Data Explorer NuGet-paketet.
• Installera Azure.Identity NuGet-paketet för autentisering.
• Skapa ett Microsoft Entra program och tjänstens huvudnamn som kan komma åt resurser. Du lägger till rolltilldelning i prenumerationsomfånget och får nödvändiga Directory (tenant) ID, Application IDoch Client Secret.

Skapa eller uppdatera klustret

1. Skapa eller uppdatera klustret med hjälp av Identity egenskapen :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.CentralUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Kör följande kommando för att kontrollera om klustret har skapats eller uppdaterats med en identitet:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Om resultatet innehåller med Succeeded värdet skapades eller uppdaterades ProvisioningState klustret och bör ha följande egenskaper:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   PrincipalId är en unik identifierare för den identitet som används för Microsoft Entra administration. ClientId är en unik identifierare för programmets nya identitet som används för att ange vilken identitet som ska användas under körningsanrop.

Lägga till en användartilldelad identitet med hjälp av en Azure Resource Manager-mall

En Azure Resource Manager-mall kan användas för att automatisera distributionen av dina Azure-resurser. Mer information om hur du distribuerar till Azure Data Explorer finns i Skapa ett Azure Data Explorer-kluster och en databas med hjälp av en Azure Resource Manager-mall.

Alla resurser av typen Microsoft.Kusto/clusters kan skapas med en användartilldelad identitet genom att inkludera följande egenskap i resursdefinitionen och ersätta <RESOURCEID> med resurs-ID:t för den önskade identiteten:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Exempel:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

När klustret skapas har det följande ytterligare egenskaper:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId är en unik identifierare för den identitet som används för Microsoft Entra administration. ClientId är en unik identifierare för programmets nya identitet som används för att ange vilken identitet som ska användas under körningsanrop.

Ta bort en användartilldelad hanterad identitet med hjälp av Azure Portal

1. Logga in på Azure-portalen.

2. Välj Inställningar>Identitet i det vänstra fönstret i portalen.

3. Välj fliken Användartilldelade .

4. Sök efter den identitet som du skapade tidigare och välj den. Välj Ta bort.

   

5. I popup-fönstret väljer du Ja för att ta bort den användartilldelade identiteten. Identitetsfönstret återgår till samma villkor som innan den användartilldelade identiteten läggs till.

Ta bort en användartilldelad identitet med C#

Kör följande för att ta bort den användartilldelade identiteten:

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

Ta bort en användartilldelad identitet med hjälp av en Azure Resource Manager-mall

Kör följande för att ta bort den användartilldelade identiteten:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}