Stellen Sie ABlobs für die Erfassung mit der Authentifizierung mithilfe verwalteter Identitäten in die Warteschlange.

  • Artikel

Wenn Sie Blobs für die Erfassung aus Ihren eigenen Speicherkonten in die Warteschlange stellen, können Sie verwaltete Identitäten als Alternative zu Authentifizierungsmethoden mit SAS-Token (Shared Access Signature) und gemeinsam verwendeten Schlüsseln nutzen. Verwaltete Identitäten sind eine sicherere Methode zum Erfassen von Daten, da Sie Ihre Kunden-SAS-Token oder gemeinsam verwendeten Schlüssel nicht für den Dienst freigeben müssen. Stattdessen wird Ihrem Cluster eine verwaltete Identität zugewiesen und Leseberechtigungen für das Speicherkonto erteilt, das zum Erfassen von Daten verwendet wird. Sie können diese Berechtigungen jederzeit widerrufen.

Hinweis

  • Diese Authentifizierungsmethode gilt nur für Azure-Blobs und Azure Data Lake-Dateien, die sich in kundeneigenen Speicherkonten befinden. Sie gilt nicht für lokale Dateien, die mithilfe des Kusto SDK hochgeladen wurden.
  • Es wird nur die Erfassung in der Warteschlange unterstützt. Inlineerfassung in Kusto-Abfragesprache und direkte Erfassung mit SDK-APIs werden nicht unterstützt.

Zuweisen einer verwalteten Identität zu Ihrem Cluster

Halten Sie sich an die Anweisungen in der Übersicht über verwaltete Identitäten, um Ihrem Cluster eine system- oder benutzerseitig zugewiesene verwaltete Identität hinzuzufügen. Wenn Ihrem Cluster bereits die gewünschte verwaltete Identität zugewiesen ist, kopieren Sie die Objekt-ID mithilfe der folgenden Schritte:

  1. Melden Sie sich beim Azure-Portal mit einem Konto an, das dem Azure-Abonnement zugeordnet ist, das Ihren Cluster enthält.

  2. Navigieren Sie zu Ihrem Cluster, und wählen Sie Identität aus.

  3. Wählen Sie den entsprechenden Identitätstyp, das System oder den zugewiesenen Benutzer aus, und kopieren Sie dann die Objekt-ID der erforderlichen Identität.

Screenshot der Übersichtsseite, die die ID des vom System verwalteten Identitätsobjekts anzeigt

Erteilen von Berechtigungen für die verwaltete Identität

  1. Navigieren Sie im Azure-Portal zum Speicherkonto, das die zu erfassenden Daten enthält.

  2. Wählen Sie Zugriffssteuerung und anschließend + Hinzufügen>Rollenzuweisung hinzufügen aus.

  3. Erteilen Sie der verwalteten Identität Storage Blob Data Reader oder Storage Blob Data Contributor , wenn Sie die DeleteSourceOnSuccess-Quelloption verwenden möchten, Berechtigungen für das Speicherkonto.

Wichtig

Das Erteilen von Berechtigungen vom Typ Besitzer oder Mitwirkender reicht nicht aus und führt dazu, dass bei der Erfassung ein Fehler auftritt.

Screenshot der Seite „Rollenzuweisung hinzufügen“, auf der die vom System zugewiesene Rolle für die Erfassung mit verwalteten Identitäten angezeigt wird

Festlegen der Richtlinie für verwaltete Identitäten in Azure Data Explorer

Um die verwaltete Identität zum Erfassen von Daten in Ihrem Cluster zu verwenden, lassen Sie die NativeIngestion Verwendungsoption für die ausgewählte verwaltete Identität zu. Native Erfassung bezieht sich auf die Möglichkeit, ein SDK für die Erfassung aus einer externen Quelle zu verwenden. Weitere Informationen zu den verfügbaren SDKs finden Sie unter Clientbibliotheken.

Die Nutzungsrichtlinie für verwaltete Identitäten kann auf Cluster- oder Datenbankebene des Zielclusters definiert werden.

Führen Sie den folgenden Befehl aus, um die Richtlinie auf Datenbankebene anzuwenden:

.alter-merge database <database name> policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

Führen Sie den folgenden Befehl aus, um die Richtlinie auf Clusterebene anzuwenden:

.alter-merge cluster policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

Ersetzen Sie durch <managed_identity_id> die Objekt-ID der erforderlichen verwalteten Identität.

Hinweis

Sie müssen über die All Database Admin Berechtigung für den Cluster verfügen, um die Richtlinie für verwaltete Identitäten zu bearbeiten.

Warteschlangenblobs für die Erfassung mit verwalteter Identität mithilfe des Kusto SDK

Beim Erfassen von Daten mithilfe eines Kusto SDK generieren Sie Ihren Blob-URI mit der Authentifizierung mithilfe verwalteter Identitäten, indem Sie an den nicht autorisierten Blob-URI ;managed_identity={objectId} anfügen. Wenn Sie Daten mit der systemseitig zugewiesenen verwalteten Identität des Clusters erfassen, können Sie ;managed_identity=system an den Blob-URI anfügen.

Wichtig

Sie müssen einen Erfassungsclient in der Warteschlange verwenden. Die Verwendung verwalteter Identitäten mit direkter Erfassung oder Inlineerfassung in Kusto-Abfragesprache wird nicht unterstützt.

Im Anschluss sehen Sie Beispiele für Blob-URIs für systemseitig und benutzerseitig zugewiesene verwaltete Identitäten:

  • Systemseitig zugewiesen: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=system
  • Benutzerseitig zugewiesen: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=6a5820b9-fdf6-4cc4-81b9-b416b444fd6d

Wichtig

  • Wenn Sie verwaltete Identitäten zum Erfassen von Daten mit dem C# SDK verwenden, müssen Sie eine Blobgröße in BlobSourceOptions angeben. Wenn die Größe nicht festgelegt ist, versucht das SDK, die Blobgröße auszufüllen, indem auf das Speicherkonto zugegriffen wird. Dieser Vorgang führt zu einem Fehler.
  • Der Parameter size muss der Größe der unformatierten (unkomprimierten) Daten entsprechen und nicht unbedingt der Blobgröße.
  • Wenn Sie die Größe zum Zeitpunkt der Erfassung nicht kennen, können Sie den Wert Null (0) angeben. Der Dienst versucht, die Größe mithilfe der verwalteten Identität für die Authentifizierung zu ermitteln.

Verwandte Inhalte