Panoramica delle identità gestite
Un'identità gestita da Microsoft Entra ID consente al cluster di accedere ad altre risorse protette Microsoft Entra, ad esempio Archiviazione di Azure. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto.
Tipi di identità gestite
Il cluster di Azure Esplora dati può essere concesso due tipi di identità:
Identità assegnata dal sistema: associata al cluster ed eliminata se la risorsa viene eliminata. Un cluster può avere solo un'identità assegnata dal sistema.
Identità assegnata dall'utente: risorsa di Azure autonoma che può essere assegnata al cluster. Un cluster può avere più identità assegnate dall'utente.
Eseguire l'autenticazione con le identità gestite
Le risorse Microsoft Entra tenant singolo possono usare solo le identità gestite per comunicare con le risorse nello stesso tenant. Questa limitazione limita l'uso delle identità gestite in determinati scenari di autenticazione. Ad esempio, non è possibile usare un'identità gestita di Azure Esplora dati per accedere a un hub eventi situato in un tenant diverso. In questi casi, usare l'autenticazione basata su chiave account.
Azure Esplora dati è in grado di supportare più tenant, il che significa che è possibile concedere l'accesso alle identità gestite da tenant diversi. A tale scopo, assegnare i ruoli di sicurezza pertinenti. Quando si assegnano i ruoli, fare riferimento all'identità gestita come descritto in Riferimenti alle entità di sicurezza.
Per eseguire l'autenticazione con identità gestite, seguire questa procedura:
- Configurare un'identità gestita per il cluster
- Configurare i criteri di identità gestita
- Usare l'identità gestita nei flussi di lavoro supportati
Configurare un'identità gestita per il cluster
Il cluster deve disporre delle autorizzazioni per agire per conto dell'identità gestita specificata. Questa assegnazione può essere assegnata sia per le identità gestite assegnate dal sistema che per gli utenti. Per istruzioni, vedere Configurare le identità gestite per il cluster di Esplora dati di Azure.
Configurare i criteri di identità gestita
Per usare l'identità gestita, è necessario configurare i criteri di identità gestiti per consentire questa identità. Per istruzioni, vedere Criteri di identità gestita.
I comandi di gestione dei criteri di identità gestiti sono:
- Managed_identity di criteri con estensione alter
- Criteri di tipo alter-merge managed_identity
- Criteri di eliminazione managed_identity
- .show policy managed_identity
Usare l'identità gestita nei flussi di lavoro supportati
Dopo aver assegnato l'identità gestita al cluster e configurato l'utilizzo dei criteri di identità gestita pertinenti, è possibile iniziare a usare l'autenticazione gestita delle identità nei flussi di lavoro seguenti:
Tabelle esterne: creare una tabella esterna con l'autenticazione dell'identità gestita. L'autenticazione viene dichiarata come parte del stringa di connessione. Per esempi, vedere Archiviazione stringa di connessione. Per istruzioni sull'uso di tabelle esterne con l'autenticazione dell'identità gestita, vedere Autenticare tabelle esterne con identità gestite.
Esportazione continua: eseguire un'esportazione continua per conto di un'identità gestita. Un'identità gestita è necessaria se la tabella esterna usa l'autenticazione di rappresentazione o se la query di esportazione fa riferimento alle tabelle in altri database. Per usare un'identità gestita, aggiungere l'identificatore di identità gestita nei parametri facoltativi specificati nel
create-or-altercomando. Per una guida dettagliata, vedere Eseguire l'autenticazione con l'identità gestita per l'esportazione continua.Inserimento nativo di Hub eventi: usare un'identità gestita con l'inserimento nativo dell'hub eventi. Per altre informazioni, vedere Inserire dati dall'hub eventi in Azure Esplora dati.
Plug-in Python: usare un'identità gestita per eseguire l'autenticazione agli account di archiviazione degli artefatti esterni usati nel plug-in Python. Si noti che l'utilizzo
SandboxArtifactsdeve essere definito nei criteri di identità gestita a livello di cluster. Per altre informazioni, vedere Plug-in Python.Inserimento basato su SDK: durante l'accodamento dei BLOB per l'inserimento da account di archiviazione personalizzati, è possibile usare le identità gestite come alternativa ai token di firma di accesso condiviso e ai metodi di autenticazione delle chiavi condivise. Per altre informazioni, vedere BLOB di coda per l'inserimento tramite l'autenticazione di identità gestita.
Inserimento dall'archiviazione: inserire dati da file presenti in archiviazione cloud in una tabella di destinazione usando l'autenticazione di identità gestita. Per altre informazioni, vedere Inserimento dall'archiviazione.
Contenuti correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per