Utiliser une identité managée pour exécuter une stratégie de mise à jour
S’applique à : ✅Azure Data Explorer
La stratégie de mise à jour doit être configurée avec une identité managée dans les scénarios suivants :
- Lorsque la requête de stratégie de mise à jour référence des tables dans d’autres bases de données
- Lorsque la requête de stratégie de mise à jour référence des tables avec une stratégie de sécurité au niveau des lignes activée
Une stratégie de mise à jour configurée avec une identité managée est effectuée pour le compte de l’identité managée.
Dans cet article, vous allez apprendre à configurer une identité managée affectée par le système ou affectée par l’utilisateur et à créer une stratégie de mise à jour à l’aide de cette identité.
Prérequis
- Un cluster et une base de données créent un cluster et une base de données.
- Autorisations AllDatabasesAdmin sur la base de données.
Configurer une identité managée
Il existe deux types d’identités managées :
Affecté par le système : une identité affectée par le système est connectée à votre cluster et est supprimée lorsque le cluster est supprimé. Une seule identité affectée par le système est autorisée par cluster.
Affecté par l’utilisateur : une identité managée affectée par l’utilisateur est une ressource Azure autonome. Plusieurs identités affectées par l’utilisateur peuvent être affectées à votre cluster.
Sélectionnez l’un des onglets suivants pour configurer votre type d’identité managée préféré.
Suivez les étapes pour ajouter une identité affectée par l’utilisateur.
Dans le Portail Azure, dans le menu de gauche de votre ressource d’identité managée, sélectionnez Propriétés. Copiez et enregistrez l’ID de locataire et l’ID de principal à utiliser dans les étapes suivantes.
Exécutez la stratégie .alter-merge suivante managed_identity commande, en
<objectId>
remplaçant par l’ID de principal d’identité managée de l’étape précédente. Cette commande définit une stratégie d’identité managée sur le cluster qui permet à l’identité managée d’être utilisée avec la stratégie de mise à jour..alter-merge cluster policy managed_identity ```[ { "ObjectId": "<objectId>", "AllowedUsages": "AutomatedFlows" } ]```
Remarque
Pour définir la stratégie sur une base de
cluster
données spécifique, utilisezdatabase <DatabaseName>
plutôt que .Exécutez la commande suivante pour accorder les autorisations de la visionneuse de base de données d’identité managée sur toutes les bases de données référencées par la requête de stratégie de mise à jour.
.add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
Remplacez
<DatabaseName>
par la base de données appropriée,<objectId>
par l’ID de principal d’identité managée de l’étape 2 et<tenantId>
par l’ID de locataire Microsoft Entra de l’étape 2.
Créer une stratégie de mise à jour
Sélectionnez l’un des onglets suivants pour créer une stratégie de mise à jour qui s’exécute pour le compte d’une identité managée affectée par l’utilisateur ou affectée par le système.
Exécutez la commande .alter table policy update avec la ManagedIdentity
propriété définie sur l’ID d’objet d’identité managée.
Par exemple, la commande suivante modifie la stratégie de mise à jour de la table MyTable
dans la base de données MyDatabase
. Il est important de noter que les paramètres et Query
les Source
deux doivent uniquement référencer des objets dans la même base de données où la stratégie de mise à jour est définie. Toutefois, le code contenu dans la fonction spécifiée dans le Query
paramètre peut interagir avec les tables situées dans d’autres bases de données. Par exemple, la fonction MyUpdatePolicyFunction()
peut accéder OtherTable
au OtherDatabase
nom d’une identité managée affectée par l’utilisateur. <objectId>
doit être un ID d’objet d’identité managée.
.alter table MyDatabase.MyTable policy update
```
[
{
"IsEnabled": true,
"Source": "MyTable",
"Query": "MyUpdatePolicyFunction()",
"IsTransactional": false,
"PropagateIngestionProperties": false,
"ManagedIdentity": "<objectId>"
}
]
```