Introducción Identidades administradas

Una identidad administrada del identificador de Microsoft Entra permite al clúster acceder a otros recursos protegidos Microsoft Entra, como Azure Storage. La plataforma Azure administra la identidad y no es necesario que lleve a cabo el aprovisionamiento ni la rotación de los secretos.

Tipos de identidades administradas

Se pueden conceder dos tipos de identidades al clúster de Azure Data Explorer:

• Identidad asignada por el sistema: está asociada al clúster y se elimina si se elimina el recurso. Un clúster solo puede tener una identidad asignada por el sistema.

• Identidad asignada por el usuario: un recurso de Azure independiente que puede asignarse al clúster. Un clúster puede tener varias identidades asignadas por el usuario.

Autenticación con identidades administradas

Los recursos de Microsoft Entra de inquilino único solo pueden usar identidades administradas para comunicarse con los recursos del mismo inquilino. Esta limitación restringe el uso de identidades administradas en determinados escenarios de autenticación. Por ejemplo, no puede usar una identidad administrada de Azure Data Explorer para acceder a un centro de eventos ubicado en un inquilino diferente. En tales casos, use la autenticación basada en clave de cuenta.

Azure Data Explorer es compatible con varios inquilinos, lo que significa que puede conceder acceso a identidades administradas de distintos inquilinos. Para ello, asigne los roles de seguridad pertinentes. Al asignar los roles, consulte la identidad administrada como se describe en Referencia a entidades de seguridad.

Para autenticarse con identidades administradas, siga estos pasos:

1. Configure una identidad administrada para el clúster
2. Configure la directiva de identidad administrada
3. Use una identidad administrada en los flujos de trabajo admitidos

Configuración de una identidad administrada para el clúster

El clúster necesita permisos para actuar en nombre de la identidad administrada dada. Esta asignación se puede dar para identidades administradas asignadas por el sistema y asignadas por el usuario. Para obtener instrucciones, consulte Configuración de identidades administradas para el clúster de Azure Data Explorer.

Configuración de la directiva de identidad administrada

Para usar la identidad administrada, debe configurar la directiva de identidad administrada para permitir esta identidad. Para obtener instrucciones, consulte Directiva de identidad administrada.

Los comandos de administración de directivas de identidad administrada son:

• .alter policy managed_identity
• Managed_identity de directiva .alter-merge
• Managed_identity de directiva .delete
• .show policy managed_identity

Uso de la identidad administrada en flujos de trabajo admitidos

Después de asignar la identidad administrada al clúster y configurar el uso de la directiva de identidad administrada pertinente, puede empezar a usar la autenticación de identidad administrada en los siguientes flujos de trabajo:

• Tablas externas: cree una tabla externa con autenticación con identidad administrada. La autenticación se indica como parte de la cadena de conexión. Para obtener ejemplos, consulte cadena de conexión de almacenamiento. Para obtener instrucciones para usar tablas externas con autenticación de identidad administrada, consulte Autenticación de tablas externas con identidades administradas.

• Exportación continua: ejecute una exportación continua en nombre de una identidad administrada. Se requiere una identidad administrada si la tabla externa usa la autenticación de suplantación o si la consulta de exportación hace referencia a tablas en otras bases de datos. Para usar una identidad administrada, agregue el identificador de identidad administrada en los parámetros opcionales especificados en el create-or-alter comando . Para obtener una guía paso a paso, consulte Autenticación con identidad administrada para la exportación continua.

• Ingesta nativa de Event Hubs: use una identidad administrada con ingesta nativa del centro de eventos. Para más información, consulte Ingesta de datos desde el centro de eventos en Azure Data Explorer.

• Complemento de Python: use una identidad administrada para autenticarse en cuentas de almacenamiento de artefactos externos que se usan en el complemento de Python. Tenga en cuenta que el SandboxArtifacts uso debe definirse en la directiva de identidad administrada de nivel de clúster. Para más información, consulte Complemento de Python.

• Ingesta basada en SDK: al poner en cola blobs para la ingesta desde sus propias cuentas de almacenamiento, puede usar identidades administradas como alternativa a los tokens de firma de acceso compartido (SAS) y los métodos de autenticación de claves compartidas. Para obtener más información, consulte Cómo poner en cola blobs para la ingesta mediante la autenticación de identidad administrada.

• Ingesta desde el almacenamiento: ingesta de datos de archivos ubicados en almacenamientos en la nube en una tabla de destino mediante la autenticación de identidad administrada. Para más información, consulte Ingesta desde el almacenamiento.

Contenido relacionado

• Configuración de las identidades administradas del clúster
• Autenticación de tablas externas con identidades administradas