マネージド ID の概要

Microsoft Entra ID からのマネージド ID を使用すると、クラスターは Azure Storage などの他のMicrosoft Entra保護されたリソースにアクセスできます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。

マネージド ID の種類

Azure Data Explorer クラスターには、次の 2 種類の ID を付与できます。

• システム割り当て ID:クラスターに関連付けられ、リソースが削除された場合は削除されます。 クラスターは 1 つのシステム割り当て ID しか持つことはできません。

• ユーザー割り当て ID: クラスターに割り当てることができるスタンドアロン Azure リソース。 クラスターは複数のユーザー割り当て ID を持つことができます。

マネージド ID による認証

シングルテナント Microsoft Entra リソースは、マネージド ID を使用して同じテナント内のリソースと通信することしかできません。 この制限により、特定の認証シナリオでのマネージド ID の使用が制限されます。 たとえば、Azure Data Explorer マネージド ID を使用して、別のテナントにあるイベント ハブにアクセスすることはできません。 このような場合は、アカウント キーベースの認証を使用します。

Azure Data Explorer はマルチテナント対応です。つまり、異なるテナントからマネージド ID へのアクセスを許可できます。 これを実現するには、関連する セキュリティ ロールを割り当てます。 ロールを割り当てる場合は、「 セキュリティ プリンシパルの参照」の説明に従ってマネージド ID を参照してください。

マネージド ID を使用して認証するには、こちらの手順に従います。

1. クラスターのマネージド ID を構成する
2. マネージド ID ポリシーを構成する
3. サポートされているワークフローでマネージド ID を使用する

クラスターのマネージド ID を構成する

クラスターには、特定のマネージド ID に代わって動作するためのアクセス許可が必要です。 この割り当ては、システム割り当てマネージド ID とユーザー割り当てマネージド ID の両方に指定することができます。 手順については、「Azure Data Explorer クラスターのマネージド ID の構成」を参照してください。

マネージド ID ポリシーを構成する

マネージド ID を使用するには、この ID を許可するマネージド ID ポリシーを構成する必要があります。 手順については、「マネージド ID ポリシー」を参照してください。

マネージド ID ポリシー管理コマンドは次のとおりです。

• .alter policy managed_identity
• .alter-merge policy managed_identity
• .delete ポリシー managed_identity
• .show policy managed_identity

サポートされているワークフローでマネージド ID を使用する

マネージド ID をクラスターに割り当て、関連するマネージド ID ポリシーの使用を構成したら、次のワークフローでマネージド ID 認証の使用を開始できます。

• 外部テーブル: マネージド ID 認証を使用して外部テーブルを作成します。 認証は、接続文字列の一部として表されます 例については、「ストレージの接続文字列」を参照してください。 マネージド ID 認証で外部テーブルを使用する手順については、「マネージド ID を使用して 外部テーブルを認証する」を参照してください。

• 連続エクスポート: マネージド ID に代わって連続エクスポートを実行します。 外部テーブルが偽装認証を使用している場合、またはエクスポート クエリが他のデータベースのテーブルを参照する場合は、マネージド ID が必要です。 マネージド ID を使用するには、 コマンドで指定された省略可能なパラメーターにマネージド ID 識別子を create-or-alter 追加します。 詳細なガイドについては、「 継続的エクスポートのためにマネージド ID を使用して認証する」を参照してください。

• Event Hubs ネイティブ インジェスト: イベント ハブのネイティブ インジェストでマネージド ID を使用します。 詳細については、イベント ハブから Azure Data Explorer へのデータの取り込みに関するページを参照してください。

• Python プラグイン: マネージド ID を使用して、Python プラグインで使用される外部アーティファクトのストレージ アカウントに対する認証を行います。 使用量は、クラスター レベルの SandboxArtifacts マネージド ID ポリシーで定義する必要があることに注意してください。 詳細については、「Python プラグイン」を参照してください。

• SDK ベースのインジェスト: 独自のストレージ アカウントからのインジェスト用に BLOB をキューに入れる場合は、Shared Access Signature (SAS) トークンと共有キー認証方法の代わりにマネージド ID を使用できます。 詳細については、「マネージド ID 認証を使用したインジェスト用のキュー BLOB」を参照してください。

• ストレージからの取り込み: マネージド ID 認証を使用して、クラウド ストレージ内のファイルからターゲット テーブルにデータを取り込みます。 詳細については、「 ストレージからの取り込み」を参照してください。

関連コンテンツ

• クラスターのマネージド ID の構成
• マネージド ID を使用して外部テーブルを認証する