Uso de identidades administradas para acceder a Event Hubs desde un trabajo de Azure Stream Analytics
Azure Stream Analytics admite la autenticación de identidad administrada tanto para la entrada como para la salida de Azure Event Hubs. Las identidades administradas eliminan las limitaciones de los métodos de autenticación basada en el usuario, como la necesidad de volver a realizar la autenticación debido a los cambios de contraseña o la expiración de tokens de usuario que se produce cada 90 días. Cuando se elimina la necesidad de autenticarse manualmente, las implementaciones de Stream Analytics se pueden automatizar completamente.
Una identidad administrada es una aplicación administrada registrada en Microsoft Entra ID que representa un trabajo de Stream Analytics determinado. La aplicación administrada se usa para autenticarse en un recurso de destino, incluidos los centros de eventos que están detrás de un firewall o una red virtual (VNet). Para más información sobre cómo pasar por alto los firewalls, consulte Permiso para acceder a los espacios de nombres de Azure Event Hubs a través de puntos de conexión privados.
En este artículo se muestra cómo habilitar la identidad administrada para la salida o entrada de un centro de eventos de un trabajo de Stream Analytics a través de Azure Portal. Antes de habilitar la identidad administrada, primero debe tener un trabajo de Stream Analytics y un recurso de Event Hubs.
Creación de una entidad administrada
En primer lugar, debe crear una identidad administrada para el trabajo de Azure Stream Analytics.
En Azure Portal, abra el trabajo de Azure Stream Analytics.
En el menú de navegación izquierdo, seleccione Identidad administrada en Configurar. A continuación, active la casilla situada junto a Usar la identidad administrada asignada por el sistema y seleccione Guardar.
Se crea una entidad de servicio para la identidad del trabajo de Stream Analytics en Microsoft Entra ID. El ciclo de vida de la identidad recién creada lo administrará Azure. Cuando se elimina el trabajo de Stream Analytics, Azure elimina automáticamente la identidad asociada (es decir, la entidad de servicio).
Cuando se guarda la configuración, el id. de objeto (OID) de la entidad de servicio aparece como id. de entidad de seguridad, tal como se muestra a continuación:
La entidad de servicio se llama igual que el trabajo de Stream Analytics. Por ejemplo, si el nombre del trabajo es
MyASAJob, el nombre de la entidad de servicio también seráMyASAJob.
Concesión de permisos al trabajo de Stream Analytics para acceder a Event Hubs
Para que el trabajo de Stream Analytics tenga acceso al centro de eventos con una identidad administrada, la entidad de servicio que creó debe tener permisos especiales para el centro de eventos.
Seleccione Access Control (IAM) .
Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.
Asigne el siguiente rol. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.
Nota
Al conceder acceso a cualquier recurso, debe proporcionar el acceso menos necesario. En función de si va a configurar Event Hubs como entrada o salida, es posible que no tenga que asignar el rol de Propietario de datos de Azure Event Hubs que concedería un acceso más del necesario al recurso de Eventhub. Para obtener más información, consulte Autenticación de una aplicación con Microsoft Entra ID para acceder a recursos de Event Hubs
| Configuración | Valor |
|---|---|
| Role | Propietario de los datos de Azure Event Hubs |
| Asignar acceso a | Usuario, grupo o entidad de servicio |
| Miembros | <Nombre del trabajo de Stream Analytics> |
También puede conceder este rol en el nivel de espacio de nombres de Event Hubs, que propagará de forma natural los permisos a todos los centros de eventos creados en él. Es decir, todos los centros de eventos de un espacio de nombres se pueden usar como recurso de autenticación de identidad administrada en el trabajo de Stream Analytics.
Nota
Debido a la replicación global o la latencia de almacenamiento en caché, puede haber un retraso cuando se revocan o se conceden permisos. Los cambios deben reflejarse en un plazo de ocho minutos.
Creación de una entrada o salida de Event Hubs
Ahora que la identidad administrada está configurada, está listo para agregar el recurso del centro de eventos como entrada o salida a su trabajo de Stream Analytics.
Adición de Event Hubs como entrada
Vaya al trabajo de Stream Analytics y navegue a la página Entradas en Topología de trabajo.
Seleccione Agregar entrada de flujo > Centro de eventos. En la ventana de propiedades de entrada, busque y seleccione el centro de eventos y seleccione Identidad administrada en el menú desplegable Modo de autenticación.
Rellene el resto de las propiedades y seleccione Guardar.
Adición de Event Hubs como salida
Vaya al trabajo de Stream Analytics y navegue a la página Salidas en Topología de trabajo.
Seleccione Agregar > Centro de eventos. En la ventana de propiedades de salida, busque y seleccione el centro de eventos y seleccione Identidad administrada en el menú desplegable Modo de autenticación.
Rellene el resto de las propiedades y seleccione Guardar.