Mengonfigurasi identitas terkelola untuk kluster Azure Data Explorer Anda

Identitas terkelola dari Azure Active Directory memungkinkan kluster Anda mengakses sumber daya yang dilindungi Azure AD lainnya dengan mudah seperti Azure Key Vault. Identitas dikelola oleh platform Azure dan tidak mengharuskan Anda untuk menyediakan atau memutar rahasia. Konfigurasi identitas terkelola saat ini hanya didukung untuk mengaktifkan kunci yang dikelola pelanggan untuk kluster Anda.

Untuk gambaran umum identitas terkelola, lihat Mengautentikasi menggunakan identitas terkelola di kluster Azure Data Explorer Anda.

Kluster Azure Data Explorer Anda dapat diberikan dua jenis identitas:

• Identitas yang ditetapkan sistem: Terkait dengan kluster Anda dan dihapus jika sumber daya Anda dihapus. Kluster hanya dapat memiliki satu identitas yang ditetapkan sistem.
• Identitas yang ditetapkan pengguna: Sumber daya Azure mandiri yang dapat ditetapkan ke kluster Anda. Kluster dapat memiliki beberapa identitas yang ditetapkan pengguna.

Artikel ini memperlihatkan kepada Anda cara menambahkan dan menghapus identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna untuk kluster Azure Data Explorer.

Catatan

Identitas terkelola untuk Azure Data Explorer tidak akan berperilaku seperti yang diharapkan jika kluster Azure Data Explorer Anda dimigrasikan di seluruh langganan atau penyewa. Aplikasi harus mendapatkan identitas baru, yang dapat dilakukan dengan menonaktifkan dan mengaktifkan kembali fitur. Kebijakan akses sumber daya hilir juga perlu diperbarui untuk menggunakan identitas baru.

Tambahkan identitas yang ditetapkan sistem

Tetapkan identitas yang ditetapkan sistem yang terkait dengan kluster Anda, dan dihapus jika kluster Anda dihapus. Kluster hanya dapat memiliki satu identitas yang ditetapkan sistem. Membuat kluster dengan identitas yang ditetapkan sistem memerlukan properti tambahan untuk diatur pada kluster. Tambahkan identitas yang ditetapkan sistem menggunakan templat portal Azure, C#, atau Resource Manager seperti yang dijelaskan di bawah ini.

Portal Azure

Menambahkan identitas yang ditetapkan sistem menggunakan portal Azure

Masuk ke portal Microsoft Azure.

Kluster Azure Data Explorer baru

1. Membuat kluster Azure Data Explorer

2. Di tab >KeamananIdentitas yang ditetapkan sistem, pilih Aktif. Untuk menghapus identitas yang ditetapkan sistem, pilih Nonaktif.

3. Pilih Berikutnya : Tag > atau Tinjau + buat untuk membuat kluster.

   

Kluster Azure Data Explorer yang sudah ada

1. Buka kluster Azure Data Explorer yang sudah ada.

2. Pilih Identitas Pengaturan> di panel kiri portal.

3. Di panel >Identitas Tab yang ditetapkan sistem:

   1. Pindahkan slider Status ke Aktif.
   2. Pilih Simpan
   3. Di jendela pop-up, pilih Ya

   

4. Setelah beberapa menit, layar menunjukkan:

   • ID Objek - Digunakan untuk kunci yang dikelola pelanggan
   • Izin - Pilih penetapan peran yang relevan

   

C#

Menambahkan identitas yang ditetapkan sistem menggunakan C #

Prasyarat

Untuk menyiapkan identitas terkelola menggunakan klien Azure Data Explorer C#:

• Instal paket Azure Data Explorer NuGet.
• Instal paket NuGet Microsoft.Identity.Client untuk autentikasi.
• Instal paket NuGet Microsoft.Rest.ClientRuntime untuk autentikasi.
• Buat aplikasi Azure AD dan perwakilan layanan yang dapat mengakses sumber daya. Anda menambahkan penetapan peran di cakupan langganan dan mendapatkan yang diperlukan Directory (tenant) ID, Application ID, dan Client Secret.

Membuat atau memperbarui kluster Anda

1. Buat atau perbarui kluster Anda menggunakan Identity properti :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(IdentityType.SystemAssigned)
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Jalankan perintah berikut untuk memeriksa apakah kluster Anda berhasil dibuat atau diperbarui dengan identitas:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Jika hasilnya berisi ProvisioningState dengan Succeeded nilai , maka kluster dibuat atau diperbarui, dan harus memiliki properti berikut:

   var principalGuid = clusterData.Identity.PrincipalId;
   var tenantGuid = clusterData.Identity.TenantId;
   

PrincipalId dan TenantId diganti dengan GUID. Properti TenantId mengidentifikasi penyewa Azure AD tempat identitas berada. PrincipalId adalah pengidentifikasi unik untuk identitas baru kluster. Di dalam Azure AD, perwakilan layanan memiliki nama yang sama dengan yang Anda berikan pada instans Azure Functions atau App Service Anda.

Templat Azure Resource Manager

Menambahkan identitas yang ditetapkan sistem menggunakan templat Azure Resource Manager

Templat Azure Resource Manager dapat digunakan untuk mengotomatiskan penyebaran sumber daya Azure Anda. Untuk mempelajari selengkapnya tentang penyebaran ke Azure Data Explorer, lihat Membuat kluster dan database Azure Data Explorer dengan menggunakan templat Azure Resource Manager.

Menambahkan jenis yang ditetapkan sistem memberi tahu Azure untuk membuat dan mengelola identitas untuk kluster Anda. Sumber daya dari Microsoft.Kusto/clusters jenis apa pun dapat dibuat dengan identitas dengan menyertakan properti berikut dalam definisi sumber daya:

{
   "identity": {
      "type": "SystemAssigned"
   }
}

Contohnya:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Catatan

Kluster dapat memiliki identitas yang ditetapkan sistem dan ditetapkan pengguna secara bersamaan. Properti type akan menjadi SystemAssigned,UserAssigned

Ketika kluster dibuat, kluster memiliki properti tambahan berikut:

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

<TENANTID> dan <PRINCIPALID> diganti dengan GUID. Properti TenantId mengidentifikasi penyewa Azure AD tempat identitas berada. PrincipalId adalah pengidentifikasi unik untuk identitas baru kluster. Di dalam Azure AD, perwakilan layanan memiliki nama yang sama dengan yang Anda berikan pada instans Azure Functions atau App Service Anda.

Hapus identitas yang ditetapkan sistem

Menghapus identitas yang ditetapkan sistem juga akan menghapusnya dari Microsoft Azure AD. Identitas yang ditetapkan sistem juga secara otomatis dihapus dari Azure AD ketika sumber daya kluster dihapus. Identitas yang ditetapkan sistem dapat dihapus dengan menonaktifkan fitur. Hapus identitas yang ditetapkan sistem menggunakan templat portal Azure, C#, atau Resource Manager seperti yang dijelaskan di bawah ini.

Portal Azure

Menghapus identitas yang ditetapkan sistem menggunakan portal Azure

1. Masuk ke portal Microsoft Azure.

2. Pilih Identitas Pengaturan> di panel kiri portal.

3. Di panel >Identitas Tab yang ditetapkan sistem:

   1. Pindahkan slider Status ke Nonaktif.
   2. Pilih Simpan
   3. Di jendela pop-up, pilih Ya untuk menonaktifkan identitas yang ditetapkan sistem. Panel Identitas kembali ke kondisi yang sama seperti sebelum penambahan identitas yang ditetapkan sistem.

   

C#

Menghapus identitas yang ditetapkan sistem menggunakan C #

Jalankan yang berikut ini untuk menghapus identitas yang ditetapkan sistem:

var clusterPatch = new ClusterUpdate(identity: new Identity(IdentityType.None));
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);

Templat Azure Resource Manager

Menghapus identitas yang ditetapkan sistem menggunakan templat Azure Resource Manager

Jalankan yang berikut ini untuk menghapus identitas yang ditetapkan sistem:

{
   "identity": {
      "type": "None"
   }
}

Catatan

Jika kluster memiliki identitas yang ditetapkan sistem dan ditetapkan pengguna secara bersamaan, setelah penghapusan identitas yang ditetapkan sistem, type properti akan menjadi UserAssigned

Menambahkan identitas yang ditetapkan pengguna

Tetapkan identitas terkelola yang ditetapkan pengguna ke kluster Anda. Kluster dapat memiliki lebih dari satu identitas yang ditetapkan pengguna. Membuat kluster dengan identitas yang ditetapkan pengguna memerlukan properti tambahan untuk diatur pada kluster. Tambahkan identitas yang ditetapkan pengguna menggunakan templat portal Azure, C#, atau Resource Manager seperti yang dijelaskan di bawah ini.

Portal Azure

Menambahkan identitas yang ditetapkan pengguna menggunakan portal Azure

1. Masuk ke portal Microsoft Azure.

2. Buat sumber daya identitas terkelola yang ditetapkan pengguna.

3. Buka kluster Azure Data Explorer yang sudah ada.

4. Pilih Identitas Pengaturan> di panel kiri portal.

5. Di tab Ditetapkan pengguna , pilih Tambahkan.

6. Cari identitas yang Anda buat sebelumnya dan pilih identitas tersebut. Pilih Tambahkan.

   

C#

Menambahkan identitas yang ditetapkan pengguna menggunakan C #

Prasyarat

Untuk menyiapkan identitas terkelola menggunakan klien Azure Data Explorer C#:

• Instal paket Azure Data Explorer NuGet.
• Instal paket NuGet Microsoft.Identity.Client untuk autentikasi.
• Instal paket NuGet Microsoft.Rest.ClientRuntime untuk autentikasi.
• Buat aplikasi Azure AD dan perwakilan layanan yang dapat mengakses sumber daya. Anda menambahkan penetapan peran di cakupan langganan dan mendapatkan yang diperlukan Directory (tenant) ID, Application ID, dan Client Secret.

Membuat atau memperbarui kluster Anda

1. Buat atau perbarui kluster Anda menggunakan Identity properti :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var userIdentityResourceId = $"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>";
   var clusterData = new Cluster(
       location: "Central US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       identity: new Identity(
           IdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
           {
               { userIdentityResourceId, new IdentityUserAssignedIdentitiesValue() }
           }
       )
   );
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Jalankan perintah berikut untuk memeriksa apakah kluster Anda berhasil dibuat atau diperbarui dengan identitas:

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Jika hasilnya berisi ProvisioningState dengan Succeeded nilai , maka kluster dibuat atau diperbarui, dan harus memiliki properti berikut:

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId;
   var clientGuid = userIdentity.ClientId;
   

   PrincipalId adalah pengidentifikasi unik untuk identitas yang digunakan untuk administrasi Azure AD. ClientId adalah pengidentifikasi unik untuk identitas baru aplikasi yang digunakan untuk menentukan identitas mana yang akan digunakan selama panggilan runtime.

Templat Azure Resource Manager

Menambahkan identitas yang ditetapkan pengguna menggunakan templat Azure Resource Manager

Templat Azure Resource Manager dapat digunakan untuk mengotomatiskan penyebaran sumber daya Azure Anda. Untuk mempelajari selengkapnya tentang penyebaran ke Azure Data Explorer, lihat Membuat kluster dan database Azure Data Explorer dengan menggunakan templat Azure Resource Manager.

Sumber daya jenis Microsoft.Kusto/clusters apa pun dapat dibuat dengan identitas yang ditetapkan pengguna dengan menyertakan properti berikut dalam definisi sumber daya, mengganti <RESOURCEID> dengan ID sumber daya dari identitas yang diinginkan:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

Contohnya:

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Ketika kluster dibuat, kluster memiliki properti tambahan berikut:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId adalah pengidentifikasi unik untuk identitas yang digunakan untuk administrasi Azure AD. ClientId adalah pengidentifikasi unik untuk identitas baru aplikasi yang digunakan untuk menentukan identitas mana yang akan digunakan selama panggilan runtime.

Catatan

Kluster dapat memiliki identitas yang ditetapkan sistem dan ditetapkan pengguna secara bersamaan. Dalam kasus ini, properti type akan menjadi SystemAssigned,UserAssigned.

Menghapus identitas terkelola yang ditetapkan pengguna dari kluster

Hapus identitas yang ditetapkan pengguna menggunakan templat portal Azure, C#, atau Resource Manager seperti yang dijelaskan di bawah ini.

Portal Azure

Menghapus identitas terkelola yang ditetapkan pengguna menggunakan portal Azure

1. Masuk ke portal Microsoft Azure.

2. Pilih Identitas Pengaturan> di panel kiri portal.

3. Memilih tab Pengguna yang ditetapkan.

4. Cari identitas yang Anda buat sebelumnya dan pilih identitas tersebut. Pilih Hapus.

   

5. Di jendela pop-up, pilih Ya untuk menghapus identitas yang ditetapkan pengguna. Panel Identitas kembali ke kondisi yang sama seperti sebelum penambahan identitas yang ditetapkan pengguna.

C#

Menghapus identitas yang ditetapkan pengguna menggunakan C #

Jalankan yang berikut ini untuk menghapus identitas yang ditetapkan pengguna:

var clusterUpdate = new ClusterUpdate(
    identity: new Identity(
        IdentityType.UserAssigned,
        userAssignedIdentities: new Dictionary<string, IdentityUserAssignedIdentitiesValue>(1)
        {
            { userIdentityResourceId, null }
        }
    )
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterUpdate);

Templat Azure Resource Manager

Menghapus identitas yang ditetapkan pengguna menggunakan templat Azure Resource Manager

Jalankan yang berikut ini untuk menghapus identitas yang ditetapkan pengguna:

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

Catatan

• Untuk menghapus identitas, atur nilainya ke null. Semua identitas lain yang ada tidak akan terpengaruh.
• Untuk menghapus semua identitas yang ditetapkan pengguna, type properti akan menjadi None,
• Jika kluster memiliki identitas yang ditetapkan sistem dan ditetapkan pengguna secara bersamaan, type properti akan dengan SystemAssigned,UserAssigned identitas untuk dihapus, atau SystemAssigned untuk menghapus semua identitas yang ditetapkan pengguna.

Langkah berikutnya

• Mengamankan kluster Azure Data Explorer di Azure
• Amankan kluster Anda menggunakan Enkripsi Disk dengan mengaktifkan enkripsi saat tidak aktif.
• Mengonfigurasi kunci yang dikelola pelanggan menggunakan C #
• Mengonfigurasi kunci yang dikelola pelanggan menggunakan templat Azure Resource Manager