Permitir comandos y consultas entre inquilinos

Artículo
08/14/2024

Las entidades de seguridad de varios inquilinos pueden ejecutar consultas y comandos en un único clúster de Azure Data Explorer. En este artículo, obtendrá información sobre cómo conceder acceso al clúster a las entidades de seguridad de otro inquilino.

Para establecer el trustedExternalTenantsen el clúster, use Plantillas de ARM, CLI de AZ, PowerShell, Azure Resource Explorer, o envíe una solicitud de API.

En los ejemplos siguientes se muestra cómo definir inquilinos de confianza en el portal y con una solicitud de API.

Nota:

La entidad de seguridad que ejecutará las consultas o los comandos también debe tener el rol de base de datos pertinente. Consulte también control de acceso basado en rol. La validación de los roles correctos tiene lugar después de la validación de los inquilinos externos de confianza.

Portal
API

En Azure Portal, vaya a la página del clúster de Azure Data Explorer.
En el menú de la izquierda, en Configuración, seleccione Seguridad.
Defina los permisos de inquilinos que desee.

Sintaxis

Permitir inquilinos específicos

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Permitir todos los inquilinos

La matriz trustedExternalTenants admite también la notación para todos los inquilinos ("*"), que permite las consultas y los comandos desde todos los inquilinos.

trustedExternalTenants: [ { "value": "*" }]

Nota:

El valor predeterminado para trustedExternalTenants es todos los inquilinos: [ { "value": "*" }]. Si la matriz de inquilinos externos no se definió en la creación del clúster, se puede invalidar con una operación de actualización del clúster. Una matriz vacía significa que las identidades del inquilino de clústeres son las únicas que pueden autenticarse en este clúster.

Obtenga más información sobre las convenciones de sintaxis.

Ejemplos

En el ejemplo siguiente se permite que algunos inquilinos concretos ejecuten consultas en el clúster:

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

En el ejemplo siguiente se permite que todos los inquilinos ejecuten consultas en el clúster:

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Actualización del clúster

Actualice el clúster con la siguiente operación:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Incorporación de entidades de seguridad

Tras actualizar la propiedad trustedExternalTenants, podrá dar acceso a las entidades de seguridad de los inquilinos autorizados. Use Azure Portal para otorgar a una entidad de seguridad permisos de nivel de clúster o permisos de base de datos. Como alternativa, para dar acceso a un nivel de base de datos, tabla, función o vista materializada, use comandos de administración.

Limitaciones

La configuración de esta característica se aplica únicamente a las identidades de Microsoft Entra (Usuarios, Aplicaciones, Grupos) que intentan conectarse a Azure Data Explorer. No tiene ninguna repercusión en la ingesta cruzada de Microsoft Entra.

Compartir a través de