Permitir consultas e comandos entre locatários

Artigo
08/15/2024

Entidades de segurança de vários locatários podem executar consultas e comandos em um único cluster do Azure Data Explorer. Neste artigo, você aprenderá a conceder acesso ao cluster a entidades de segurança de outro locatário.

Para definir o trustedExternalTenants no cluster, use Modelos do ARM, CLI do AZ, PowerShell, Azure Resource Explorer ou envie uma solicitação de API.

Os exemplos a seguir mostram como definir locatários confiáveis no portal e com uma solicitação de API.

Observação

A entidade que executará consultas ou comandos também precisa ter uma função de banco de dados relevante. Consulte também controle de acesso baseado em função. A validação das funções corretas ocorre após a validação de locatários externos confiáveis.

Portal
API

No portal do Azure, acesse a página do cluster do Azure Data Explorer.
Selecione Segurança no menu à esquerda em Configurações.
Defina as permissões de locatários desejadas.

Sintaxe

Permitir locatários específicos

trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]

Permitir todos os locatários

A matriz trustedExternalTenants também dá suporte à notação de asterisco de todos os locatários ('*'), que permite consultas e comandos de todos os locatários.

trustedExternalTenants: [ { "value": "*" }]

Observação

O valor padrão para trustedExternalTenants é todos os locatários: [ { "value": "*" }]. Se a matriz de locatários externos não tiver sido definida na criação do cluster, ela poderá ser substituída por uma operação de atualização de cluster. Uma matriz vazia significa que somente identidades do locatário de clusters têm permissão para autenticar nesse cluster.

Saiba mais sobre as convenções de sintaxe.

Exemplos

O seguinte exemplo permite que locatários específicos executem consultas no cluster:

{
    "properties": {
        "trustedExternalTenants": [
            { "value": "tenantId1" },
            { "value": "tenantId2" },
            ...
        ]
    }
}

O seguinte exemplo permite que todos os locatários executem consultas no cluster:

{
    "properties": {
        "trustedExternalTenants": [  { "value": "*" }  ]
    }
}

Atualize o cluster

Atualize o cluster usando a seguinte operação:

PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18

Adicionar entidades de segurança

Depois de atualizar a propriedade trustedExternalTenants, você poderá conceder acesso a entidades de segurança dos locatários aprovados. Use o portal do Azure para conceder a uma entidade de segurança permissões de nível de cluster ou permissões de banco de dados. Como alternativa, para dar acesso a um banco de dados, tabela, função ou nível de exibição materializado, use comandos de gerenciamento.

Limitações

A configuração desse recurso se aplica exclusivamente às identidades do Microsoft Entra (Usuários, Aplicativos, Grupos) que tentam se conectar ao Azure Data Explorer. Ela não tem impacto na ingestão cruzada do Microsoft Entra.

Compartilhar via