允許跨租用戶查詢和命令
來自多個租用戶的主體可以在單一 Azure Data Explorer 叢集中執行查詢和命令。 在本文中,您將瞭解如何將叢集存取權授與另一個租使用者中的主體。
若要在叢集上設定 trustedExternalTenants ,請使用 ARM樣本、 AZ CLI、 PowerShell、 Azure 資源總管或傳送 API 要求。
下列範例示範如何在入口網站中定義受信任的租使用者,以及使用 API 要求。
注意
將執行查詢或命令的主體也必須具有相關的資料庫角色。 另請參閱 角色型訪問控制。 驗證受信任的外部租用戶之後,就會驗證正確的角色。
在 Azure 入口網站 中,移至您的 Azure Data Explorer 叢集頁面。
在左側功能表中的 [ 設定] 底下,選取 [ 安全性]。
定義所需的租用戶許可權。
![[安全性] 刀鋒視窗的螢幕快照。](../../media/define-trusted-external-tenants/trusted-external-tenants.png)
Syntax
允許特定租使用者
trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]
允許所有租使用者
trustedExternalTenants 陣列也支援所有租使用者 star ('*') 表示法,允許來自所有租用戶的查詢和命令。
trustedExternalTenants: [ { "value": "*" }]
注意
的 trustedExternalTenants 預設值是所有租使用者: [ { "value": "*" }]。 如果未在叢集建立時定義外部租用戶陣列,可以使用叢集更新作業加以覆寫。 空陣表示只允許叢集租使用者的身分識別對此叢集進行驗證。
深入瞭解 語法慣例。
範例
下列範例允許特定租使用者在叢集上執行查詢:
{
"properties": {
"trustedExternalTenants": [
{ "value": "tenantId1" },
{ "value": "tenantId2" },
...
]
}
}
下列範例允許所有租使用者在叢集上執行查詢:
{
"properties": {
"trustedExternalTenants": [ { "value": "*" } ]
}
}
更新叢集
使用下列作業更新叢集:
PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18
新增主體
更新 trustedExternalTenants 屬性之後,您可以從核准的租使用者授與主體的存取權。 使用 Azure 入口網站 來授與主體叢集層級許可權或資料庫許可權。 或者,若要授與資料庫、數據表、函式或具體化檢視層級的存取權,請使用 管理命令。
限制
這項功能的設定僅適用於嘗試連線到 Azure Data Explorer (使用者、應用程式、群組) Microsoft Entra 身分識別。 這不會影響交叉 Microsoft Entra 擷取。
![[安全性] 刀鋒視窗的螢幕快照。](../../media/define-trusted-external-tenants/trusted-external-tenants.png#lightbox)