Разрешение выполнения запросов и команд между арендаторами

Субъекты из нескольких клиентов могут выполнять запросы и команды в одном кластере Azure Data Explorer. В этой статье описано, как предоставить доступ к кластеру субъектам из другого арендатора.

Чтобы задать в кластереtrustedExternalTenants, используйте шаблоны ARM, AZ CLI, PowerShell, Обозреватель ресурсов Azure или отправьте запрос API.

В следующих примерах показано, как определить доверенных клиентов на портале и с помощью запроса API.

Примечание

Субъект, который будет выполнять запросы или команды, также должен иметь соответствующую роль базы данных. См. также управление доступом на основе ролей. Проверка ролей выполняется после проверки доверенных внешних арендаторов.

Портал

1. На портале Azure перейдите на страницу кластера Azure Data Explorer.

2. На вкладке Параметры в меню слева выберите элемент Безопасность.

3. Определите нужные разрешения арендаторов.

API

Синтаксис

Разрешение для определенных арендаторов

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Разрешить все арендаторы

Массив trustedExternalTenants также поддерживает нотацию с символом звездочки (*) для указания всех арендаторов, что позволяет принимать запросы и команды всех арендаторов.

trustedExternalTenants: [ { "value": "*" }]

Примечание

Значение по умолчанию для trustedExternalTenants: [ { "value": "*" }] (все арендаторы). Если массив внешних арендаторов не определен при создании кластера, его можно переопределить с помощью операции обновления кластера. Пустой массив означает, что только удостоверения арендатора кластера разрешены для проверки подлинности в этом кластере.

Дополнительные сведения о соглашениях о синтаксисе.

Примеры

В следующем примере определенным арендаторам предоставляется разрешение на выполнение запросов в кластере:

{
    "properties": { 
        "trustedExternalTenants": [
            { "value": "tenantId1" }, 
            { "value": "tenantId2" }, 
            ...
        ]
    }
}

В следующем примере всем арендаторам предоставляется разрешение на выполнение запросов в кластере:

{
    "properties": { 
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Обновление кластера

Обновите кластер с помощью следующей операции:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Добавление субъектов

После обновления trustedExternalTenants свойства можно предоставить доступ к субъектам из утвержденных клиентов. Используйте портал Azure, чтобы предоставить разрешения на уровне основного кластера или базы данных. Кроме того, чтобы предоставить доступ к базе данных, таблице, функции или материализованному уровню представления, используйте команды управления.

Ограничения

Конфигурация этой функции применяется только к Microsoft Entra удостоверениям (пользователи, приложения, группы), пытающимся подключиться к Azure Data Explorer. Это не влияет на прием Microsoft Entra.