Azure Data Explorer 대한 클러스터 보안 주체 추가

아티클
10/13/2023

Azure 데이터 탐색기는 로그 및 원격 분석 데이터에 사용 가능한 빠르고 확장성이 우수한 데이터 탐색 서비스입니다. 이 문서에서는 C#, Python 또는 ARM(Azure Resource Manager) 템플릿을 사용하여 Azure Data Explorer 클러스터 보안 주체를 추가하는 방법을 알아봅니다.

이전 SDK 버전을 기반으로 하는 코드 샘플은 보관된 문서를 참조하세요.

사전 요구 사항

필수 구성 요소는 보안 주체를 추가하는 데 사용되는 메서드에 따라 달라집니다. 원하는 방법에 대한 관련 탭을 선택합니다.

다음 목록에서는 C#을 사용하여 클러스터 보안 주체를 추가하기 위한 필수 구성 요소를 간략하게 설명합니다.

Microsoft 계정 또는 Microsoft Entra 사용자 ID. Azure 구독이 필요하지 않습니다.
Azure Data Explorer 클러스터 및 데이터베이스. 클러스터 및 데이터베이스를 만듭니다.
Visual Studio 2022 Community Edition. Visual Studio 설치 중에 Azure 개발을 켭니다.
리소스에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 주체입니다. 디렉터리(테넌트) ID, 애플리케이션 ID 및 클라이언트 암호를 저장합니다.
Azure.ResourceManager.Kusto를 설치합니다.
인증을 위해 Azure.Identity 를 설치합니다.

클러스터 보안 주체 추가

다음 코드를 실행하여 클러스터 주체를 추가합니다.

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
//The cluster that is created as part of the Prerequisites
var clusterName = "mykustocluster";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var cluster = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value;
var clusterPrincipalAssignments = cluster.GetKustoClusterPrincipalAssignments(); 
var clusterPrincipalAssignmentName = "mykustoclusterprincipalassignment";
var principalId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //User email, application ID, or security group name
var role = KustoClusterPrincipalRole.AllDatabasesAdmin; //AllDatabasesAdmin or AllDatabasesViewer
var tenantIdForPrincipal = new Guid("xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx");
var principalType = KustoPrincipalAssignmentType.App; //User, App, or Group
var clusterPrincipalAssignmentData = new KustoClusterPrincipalAssignmentData
{
    ClusterPrincipalId = principalId, Role = role, PrincipalType = principalType, TenantId = tenantIdForPrincipal
};
await clusterPrincipalAssignments.CreateOrUpdateAsync(
    WaitUntil.Completed, clusterPrincipalAssignmentName, clusterPrincipalAssignmentData
);

설정	제안 값	필드 설명
tenantId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	테넌트 ID 디렉터리 ID라고도 합니다.
subscriptionId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	리소스를 만드는 데 사용하는 구독 ID입니다.
clientId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	테넌트의 리소스에 액세스할 수 있는 애플리케이션의 클라이언트 ID입니다.
clientSecret	PlaceholderClientSecret	테넌트의 리소스에 액세스할 수 있는 애플리케이션의 클라이언트 암호입니다.
resourceGroupName	testrg	클러스터가 포함된 리소스 그룹의 이름입니다.
clusterName	mykustocluster	클러스터의 이름입니다.
clusterPrincipalAssignmentName	mykustoclusterprincipalassignment	클러스터 보안 주체 리소스의 이름입니다.
principalId	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	사용자 이메일, 애플리케이션 ID 또는 보안 그룹 이름이 될 수 있는 보안 주체 ID입니다.
역할(role)	AllDatabasesAdmin	'AllDatabasesAdmin', 'AllDatabasesMonitor' 또는 'AllDatabasesViewer'일 수 있는 클러스터 보안 주체의 역할입니다.
tenantIdForPrincipal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	보안 주체의 테넌트 ID입니다.
principalType	앱	'사용자', '앱' 또는 '그룹'이 될 수 있는 보안 주체의 유형입니다.

다음 코드를 실행하여 클러스터 주체를 추가합니다.

from azure.mgmt.kusto import KustoManagementClient
from azure.mgmt.kusto.models import ClusterPrincipalAssignment
from azure.common.credentials import ServicePrincipalCredentials

#Directory (tenant) ID
tenant_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Application ID
client_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
#Client Secret
client_secret = "xxxxxxxxxxxxxx"
subscription_id = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"
credentials = ServicePrincipalCredentials(
        client_id=client_id,
        secret=client_secret,
        tenant=tenant_id
    )
kusto_management_client = KustoManagementClient(credentials, subscription_id)

resource_group_name = "testrg"
#The cluster that is created as part of the Prerequisites
cluster_name = "mykustocluster"
principal_assignment_name = "clusterPrincipalAssignment1"
#User email, application ID, or security group name
principal_id = "xxxxxxxx"
#AllDatabasesAdmin, AllDatabasesMonitor or AllDatabasesViewer
role = "AllDatabasesAdmin"
tenant_id_for_principal = tenantId
#User, App, or Group
principal_type = "App"

#Returns an instance of LROPoller, check https://learn.microsoft.com/python/api/msrest/msrest.polling.lropoller?view=azure-python
poller = kusto_management_client.cluster_principal_assignments.create_or_update(resource_group_name=resource_group_name, cluster_name=cluster_name, principal_assignment_name= principal_assignment_name, parameters=ClusterPrincipalAssignment(principal_id=principal_id, role=role, tenant_id=tenant_id_for_principal, principal_type=principal_type))

설정	제안 값	필드 설명
tenant_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	테넌트 ID 디렉터리 ID라고도 합니다.
subscription_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	리소스를 만드는 데 사용하는 구독 ID입니다.
client_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	테넌트의 리소스에 액세스할 수 있는 애플리케이션의 클라이언트 ID입니다.
client_secret	xxxxxxxxxxxxxx	테넌트의 리소스에 액세스할 수 있는 애플리케이션의 클라이언트 암호입니다.
resource_group_name	testrg	클러스터가 포함된 리소스 그룹의 이름입니다.
cluster_name	mykustocluster	클러스터의 이름입니다.
principal_assignment_name	clusterPrincipalAssignment1	클러스터 보안 주체 리소스의 이름입니다.
principal_id	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	사용자 이메일, 애플리케이션 ID 또는 보안 그룹 이름이 될 수 있는 보안 주체 ID입니다.
역할(role)	AllDatabasesAdmin	'AllDatabasesAdmin', 'AllDatabasesMonitor' 또는 'AllDatabasesViewer'일 수 있는 클러스터 보안 주체의 역할입니다.
tenant_id_for_principal	xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx	보안 주체의 테넌트 ID입니다.
principal_type	앱	'사용자', '앱' 또는 '그룹'이 될 수 있는 보안 주체의 유형입니다.

다음 예에서는 클러스터 보안 주체를 추가하기 위한 Azure Resource Manager 템플릿을 보여 줍니다. 양식을 사용하여 Azure Portal에서 템플릿을 편집 및 배포할 수 있습니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
		"clusterPrincipalAssignmentName": {
            "type": "string",
            "defaultValue": "principalAssignment1",
            "metadata": {
                "description": "Specifies the name of the principal assignment"
            }
        },
        "clusterName": {
            "type": "string",
            "defaultValue": "mykustocluster",
            "metadata": {
                "description": "Specifies the name of the cluster"
            }
        },
		"principalIdForCluster": {
            "type": "string",
            "metadata": {
                "description": "Specifies the principal id. It can be user email, application (client) ID, security group name"
            }
        },
		"roleForClusterPrincipal": {
            "type": "string",
			"defaultValue": "AllDatabasesViewer",
            "metadata": {
                "description": "Specifies the cluster principal role. It can be 'AllDatabasesAdmin', 'AllDatabasesMonitor' or 'AllDatabasesViewer'"
            }
        },
		"tenantIdForClusterPrincipal": {
            "type": "string",
            "metadata": {
                "description": "Specifies the tenantId of the principal"
            }
        },
		"principalTypeForCluster": {
            "type": "string",
			"defaultValue": "User",
            "metadata": {
                "description": "Specifies the principal type. It can be 'User', 'App', 'Group'"
            }
        }
    },
    "variables": {
    },
    "resources": [{
            "type": "Microsoft.Kusto/Clusters/principalAssignments",
            "apiVersion": "2019-11-09",
            "name": "[concat(parameters('clusterName'), '/', parameters('clusterPrincipalAssignmentName'))]",
            "properties": {
                "principalId": "[parameters('principalIdForCluster')]",
                "role": "[parameters('roleForClusterPrincipal')]",
				"tenantId": "[parameters('tenantIdForClusterPrincipal')]",
				"principalType": "[parameters('principalTypeForCluster')]"
            }
        }
    ]
}

다음을 통해 공유

Azure Data Explorer 대한 클러스터 보안 주체 추가

사전 요구 사항

클러스터 보안 주체 추가

피드백

추가 리소스

다음을 통해 공유

Azure Data Explorer 대한 클러스터 보안 주체 추가

사전 요구 사항

클러스터 보안 주체 추가

관련 콘텐츠

피드백

추가 리소스