Yönetilen kimlik kimlik doğrulamasını kullanarak alım için kuyruk blobları

Blobları kendi depolama hesaplarınızdan almak üzere kuyruğa alırken, paylaşılan erişim imzası (SAS) belirteçlerine ve Paylaşılan Anahtarlar kimlik doğrulama yöntemlerine alternatif olarak yönetilen kimlikleri kullanabilirsiniz. Yönetilen kimlikler, müşteri SAS belirteçlerinizi veya paylaşılan anahtarlarınızı hizmetle paylaşmanızı gerektirmediğinden verileri almanın daha güvenli bir yoludur. Bunun yerine, kümenize yönetilen bir kimlik atanır ve verileri almak için kullanılan depolama hesabı için okuma izinleri verilir. Bu izinleri istediğiniz zaman iptal edebilirsiniz.

Not

  • Bu kimlik doğrulama yöntemi yalnızca müşteriye ait depolama hesaplarında bulunan Azure blobları ve Azure Data Lake dosyaları için geçerlidir. Kusto SDK'sı kullanılarak karşıya yüklenen yerel dosyalar için geçerli değildir.
  • Yalnızca kuyruğa alınmış alma desteklenir. sdk API'leri kullanılarak Kusto Sorgu Dili ve doğrudan alımda satır içi veri alımı desteklenmez.

Kümenize yönetilen kimlik atama

Kümenize Sistem veya Kullanıcı Tarafından Atanan yönetilen kimlik eklemek için Yönetilen kimliklere genel bakış'ı izleyin. Kümenizde istenen yönetilen kimlik zaten atanmışsa, aşağıdaki adımları kullanarak nesne kimliğini kopyalayın:

  1. Kümenizi içeren Azure aboneliğiyle ilişkili bir hesabı kullanarak Azure portalında oturum açın.

  2. Kümenize gidin ve Kimlik'i seçin.

  3. Sistem veya kullanıcı tarafından atanan uygun kimlik türünü seçin ve ardından gerekli kimliğin nesne kimliğini kopyalayın.

Sistem tarafından yönetilen kimlik nesnesi I D'yi gösteren genel bakış sayfasının ekran görüntüsü

Yönetilen kimliğe izin verme

  1. Azure portalında, almak istediğiniz verileri içeren depolama hesabına gidin.

  2. Erişim Denetimi'ni ve ardından + Rol Ataması Ekle'yi>seçin.

  3. DeleteSourceOnSuccess kaynak seçeneğini ve depolama hesabı izinlerini kullanmayı düşünüyorsanız yönetilen kimliğe Depolama Blobu Veri Okuyucusu veya Depolama Blob Verileri Katkıda Bulunanı verin.

Not

Sahip veya Katkıda Bulunan izinlerinin verilmesi yeterli değildir ve alımın başarısız olmasıyla sonuçlanır.

Yönetilen kimlikleri kullanarak alma için sistem tarafından atanan rolü gösteren rol ataması ekleme sayfasının ekran görüntüsü

Önemli

Ağ sorunları durumunda Azure Depolama bir Download Forbidden hata döndürebilir. Depolama hesabınıza erişmek için özel bir bağlantı kullanırsanız bu hata oluşabilir. Böyle durumlarda, izinler doğruysa depolama hesabınıza bağlantıyı doğrulayın.

Azure Veri Gezgini'de yönetilen kimlik ilkesini ayarlama

Kümenize veri almak için yönetilen kimliği kullanmak için, seçili yönetilen kimlik için kullanım seçeneğine izin verin NativeIngestion . Yerel veri alımı, bir dış kaynaktan alma için SDK'nın kullanılabilmesini ifade eder. Kullanılabilir SDK'lar hakkında daha fazla bilgi için bkz . İstemci kitaplıkları.

Kullanım Yönetilen Kimliği ilkesi, hedef kümenin küme veya veritabanı düzeyinde tanımlanabilir.

İlkeyi veritabanı düzeyinde uygulamak için aşağıdaki komutu çalıştırın:

.alter-merge database <database name> policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

İlkeyi küme düzeyinde uygulamak için aşağıdaki komutu çalıştırın:

.alter-merge cluster policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

değerini gerekli yönetilen kimliğin nesne kimliğiyle değiştirin <managed_identity_id> .

Not

Yönetilen Kimlik İlkesi'ni All Database Admin düzenlemek için küme üzerinde izniniz olmalıdır.

Kusto SDK kullanarak yönetilen kimlikle alım için kuyruk blobları

Kusto SDK kullanarak veri alırken, yetkisiz blob URI'sine ekleyerek ;managed_identity={objectId} yönetilen kimlik doğrulaması kullanarak blob URI'nizi oluşturun. Kümenizin sistem tarafından atanan yönetilen kimliğini kullanarak veri alırsanız blob URI'sine ekleyebilirsiniz ;managed_identity=system .

Önemli

Kuyruğa alınmış bir alım istemcisi kullanmanız gerekir. Kusto Sorgu Dili doğrudan alma veya satır içi alma ile yönetilen kimliklerin kullanılması desteklenmez.

Sistem ve kullanıcı tarafından atanan yönetilen kimlikler için blob URI örnekleri aşağıda verilmiştir.

  • Sistem tarafından atanan: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=system
  • Atanan kullanıcı: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=6a5820b9-fdf6-4cc4-81b9-b416b444fd6d

Önemli

  • C# SDK'sı ile veri almak için Yönetilen Kimlikler'i kullanırken içinde bir blob boyutu StorageSourceOptionssağlamanız gerekir. Boyut ayarlanmadıysa SDK, depolama hesabına erişerek blob boyutunu doldurmaya çalışır ve hataya neden olur.
  • boyut parametresi blob boyutu değil ham (sıkıştırılmamış) veri boyutu olmalıdır.
  • Alma sırasında boyutu bilmiyorsanız, sıfır (0) değerini belirtin. Hizmet, kimlik doğrulaması için yönetilen kimliği kullanarak boyutu bulmaya çalışır.