Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Uma identidade gerenciada do Microsoft Entra ID permite que seu cluster acesse outros recursos protegidos pelo Microsoft Entra, como o Armazenamento do Azure. A identidade é gerenciada pela plataforma Azure e não exige que você provisione ou alterne nenhum segredo.
Tipos de identidades gerenciadas
Seu cluster do Azure Data Explorer pode receber dois tipos de identidades:
Identidade atribuída pelo sistema: vinculada ao cluster e excluída se o recurso for excluído. Um cluster só pode ter uma identidade atribuída ao sistema.
Identidade atribuída pelo usuário: um recurso autônomo do Azure que pode ser atribuído ao seu cluster. Um cluster pode ter várias identidades atribuídas pelo usuário.
Autenticar com identidades geridas
Os recursos do Microsoft Entra de locatário único só podem usar identidades gerenciadas para se comunicar com recursos no mesmo locatário. Essa limitação restringe o uso de identidades gerenciadas em determinados cenários de autenticação. Por exemplo, você não pode usar uma identidade gerenciada do Azure Data Explorer para acessar um hub de eventos localizado em um locatário diferente. Nesses casos, use a autenticação baseada em chave de conta.
O Azure Data Explorer é capaz de multilocatário, o que significa que você pode conceder acesso a identidades gerenciadas de diferentes locatários. Para fazer isso, atribua as funções de segurança relevantes. Ao atribuir as funções, consulte a identidade gerenciada conforme descrito em Referenciando entidades de segurança.
Para autenticar com identidades gerenciadas, siga estas etapas:
- Configurar uma identidade gerenciada para seu cluster
- Configurar a política de identidade gerenciada
- Usar identidade gerenciada em fluxos de trabalho suportados
Configurar uma identidade gerenciada para seu cluster
Seu cluster precisa de permissões para agir em nome da identidade gerenciada fornecida. Essa atribuição pode ser dada para identidades gerenciadas atribuídas pelo sistema e pelo usuário. Para obter instruções, consulte Configurar identidades gerenciadas para seu cluster do Azure Data Explorer.
Configurar a política de identidade gerenciada
Para usar a identidade gerenciada, você precisa configurar a política de identidade gerenciada para permitir essa identidade. Para obter instruções, consulte Política de identidade gerenciada.
Os comandos de gerenciamento de política de identidade gerenciada são:
- Política .alter managed_identity
- Política .alter-merge managed_identity
- Política .delete managed_identity
- Política .show managed_identity
Usar a identidade gerenciada em fluxos de trabalho suportados
Depois de atribuir a identidade gerenciada ao cluster e configurar o uso relevante da política de identidade gerenciada, você pode começar a usar a autenticação de identidade gerenciada nos seguintes fluxos de trabalho:
Tabelas externas: crie uma tabela externa com autenticação de identidade gerenciada. A autenticação é declarada como parte da cadeia de conexão. Para obter exemplos, consulte cadeia de conexão de armazenamento. Para obter instruções sobre como usar tabelas externas com autenticação de identidade gerenciada, consulte Autenticar tabelas externas com identidades gerenciadas.
Exportação contínua: execute uma exportação contínua em nome de uma identidade gerenciada. Uma identidade gerenciada será necessária se a tabela externa usar autenticação de representação ou se a consulta de exportação fizer referência a tabelas em outros bancos de dados. Para usar uma identidade gerenciada, adicione o identificador de identidade gerenciado nos parâmetros opcionais fornecidos no
create-or-altercomando. Para obter um guia passo a passo, consulte Autenticar com identidade gerenciada para exportação contínua.Ingestão nativa de Hubs de Eventos: use uma identidade gerenciada com ingestão nativa do hub de eventos. Para obter mais informações, consulte Ingerir dados do hub de eventos no Azure Data Explorer.
Plug-in Python: Use uma identidade gerenciada para autenticar em contas de armazenamento de artefatos externos que são usados no plug-in python. Observe que o
SandboxArtifactsuso precisa ser definido na política de identidade gerenciada no nível do cluster. Para obter mais informações, consulte Plug-in Python.Ingestão baseada em SDK: ao enfileirar blobs para ingestão de suas próprias contas de armazenamento, você pode usar identidades gerenciadas como uma alternativa aos tokens de assinatura de acesso compartilhado (SAS) e métodos de autenticação de chaves compartilhadas. Para obter mais informações, consulte Blobs de fila para ingestão usando autenticação de identidade gerenciada.
Ingerir a partir do armazenamento: ingira dados de arquivos localizados em armazenamentos em nuvem em uma tabela de destino usando autenticação de identidade gerenciada. Para obter mais informações, consulte Ingerir do armazenamento.
Plug-ins de solicitação SQL: use uma identidade gerenciada para autenticar em um banco de dados externo ao usar os plug-ins sql_request ou cosmosdb_request .
Política de aceleração de consulta: para acelerar tabelas externas que usam autenticação de representação, você deve configurar a política de aceleração de consulta para ser executada com uma identidade gerenciada. Nesse caso, a identidade gerenciada será usada para acessar os recursos externos da tabela. Para configurar a identidade gerenciada, adicione o identificador de identidade gerenciada no comando de tabela
alter policy query-accelerationexterna. Observe que oAutomatedFlowsuso precisa ser habilitado para o identificador de identidade gerenciado na política de identidade gerenciada no nível do cluster / banco de dados.