Overzicht van beheerde identiteiten
Met een beheerde identiteit van Microsoft Entra-id heeft uw cluster toegang tot andere Microsoft Entra beveiligde resources, zoals Azure Storage. De identiteit wordt beheerd door het Azure-platform en u hoeft geen geheimen in te richten of te laten rouleren.
Typen beheerde identiteiten
Aan uw Azure Data Explorer-cluster kunnen twee typen identiteiten worden toegekend:
Door het systeem toegewezen identiteit: Gekoppeld aan uw cluster en verwijderd als uw resource wordt verwijderd. Een cluster kan slechts één door het systeem toegewezen identiteit hebben.
Door de gebruiker toegewezen identiteit: een zelfstandige Azure-resource die kan worden toegewezen aan uw cluster. Een cluster kan meerdere door de gebruiker toegewezen identiteiten hebben.
Verifiëren met beheerde identiteiten
Resources met één tenant Microsoft Entra kunnen alleen beheerde identiteiten gebruiken om te communiceren met resources in dezelfde tenant. Deze beperking beperkt het gebruik van beheerde identiteiten in bepaalde verificatiescenario's. U kunt bijvoorbeeld geen beheerde identiteit van Azure Data Explorer gebruiken om toegang te krijgen tot een Event Hub die zich in een andere tenant bevindt. Gebruik in dergelijke gevallen verificatie op basis van een accountsleutel.
Azure Data Explorer is geschikt voor meerdere tenants, wat betekent dat u toegang kunt verlenen tot beheerde identiteiten van verschillende tenants. Wijs hiervoor de relevante beveiligingsrollen toe. Wanneer u de rollen toewijst, raadpleegt u de beheerde identiteit zoals beschreven in Verwijzen naar beveiligingsprincipals.
Voer de volgende stappen uit om te verifiëren met beheerde identiteiten:
- Een beheerde identiteit configureren voor uw cluster
- Het beleid voor beheerde identiteit configureren
- Beheerde identiteit gebruiken in ondersteunde werkstromen
Een beheerde identiteit configureren voor uw cluster
Uw cluster heeft machtigingen nodig om te handelen namens de opgegeven beheerde identiteit. Deze toewijzing kan worden gegeven voor zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten. Zie Beheerde identiteiten configureren voor uw Azure Data Explorer-cluster voor instructies.
Het beleid voor beheerde identiteit configureren
Als u de beheerde identiteit wilt gebruiken, moet u het beleid voor beheerde identiteit configureren om deze identiteit toe te staan. Zie Beleid voor beheerde identiteiten voor instructies.
De beheerde opdrachten voor identiteitsbeleidsbeheer zijn:
- .alter policy managed_identity
- .alter-merge-beleid managed_identity
- .delete policy managed_identity
- .show policy managed_identity
De beheerde identiteit gebruiken in ondersteunde werkstromen
Nadat u de beheerde identiteit aan uw cluster hebt toegewezen en het relevante gebruik van het beleid voor beheerde identiteit hebt geconfigureerd, kunt u verificatie van beheerde identiteiten gaan gebruiken in de volgende werkstromen:
Externe tabellen: maak een externe tabel met verificatie van beheerde identiteiten. De verificatie wordt vermeld als onderdeel van de verbindingsreeks. Zie Opslag verbindingsreeks voor voorbeelden. Zie Externe tabellen verifiëren met beheerde identiteiten voor instructies voor het gebruik van externe tabellen met verificatie van beheerde identiteiten.
Continue export: voer een continue export uit namens een beheerde identiteit. Een beheerde identiteit is vereist als de externe tabel imitatieverificatie gebruikt of als de exportquery verwijst naar tabellen in andere databases. Als u een beheerde identiteit wilt gebruiken, voegt u de id van de beheerde identiteit toe aan de optionele parameters die in de
create-or-alteropdracht zijn opgegeven. Zie Verifiëren met beheerde identiteit voor continue export voor een stapsgewijze handleiding.Systeemeigen opname van Event Hubs: Gebruik een beheerde identiteit met systeemeigen opname van Event Hubs. Zie Gegevens van Event Hub opnemen in Azure Data Explorer voor meer informatie.
Python-invoegtoepassing: gebruik een beheerde identiteit om te verifiëren bij opslagaccounts van externe artefacten die worden gebruikt in de Python-invoegtoepassing. Houd er rekening mee dat het
SandboxArtifactsgebruik moet worden gedefinieerd in het beleid voor beheerde identiteit op clusterniveau. Zie Python-invoegtoepassing voor meer informatie.Opname op basis van SDK: wanneer u blobs in de wachtrij plaatst voor opname vanuit uw eigen opslagaccounts, kunt u beheerde identiteiten gebruiken als alternatief voor SAS-tokens (Shared Access Signature) en verificatiemethoden voor gedeelde sleutels. Zie Wachtrij-blobs voor opname met behulp van verificatie van beheerde identiteiten voor meer informatie.
Opnemen vanuit opslag: gegevens uit bestanden in cloudopslag opnemen in een doeltabel met behulp van verificatie van beheerde identiteiten. Zie Opnemen vanuit opslag voor meer informatie.
Gerelateerde inhoud
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor