Compartilhar via


Política de identidade gerenciada

Aplica-se a: ✅Azure Data Explorer

ManagedIdentity é uma política que controla quais identidades gerenciadas podem ser usadas para quais finalidades. Por exemplo, você pode configurar uma política que permite que uma identidade gerenciada específica seja usada para acessar uma conta de armazenamento para fins de ingestão.

Essa política pode ser habilitada nos níveis de cluster e banco de dados. A política é aditiva, o que significa que, para cada operação que envolve uma identidade gerenciada, a operação será permitida se o uso for permitido no nível do cluster ou do banco de dados.

Permissões

Criar ou alterar uma política de identidade gerenciada requer permissões AllDatabasesAdmin .

O objeto de política ManagedIdentity

Um cluster ou banco de dados pode ter zero ou mais objetos de política ManagedIdentity associados a ele. Cada objeto de política ManagedIdentity tem as seguintes propriedades definidas pelo usuário: DisplayName e AllowedUsages. Outras propriedades são preenchidas automaticamente a partir da identidade gerenciada associada ao ObjectId especificado e exibidas para conveniência.

A tabela a seguir descreve as propriedades do objeto de política ManagedIdentity:

Propriedade Type Obrigatória Descrição
ObjectId string ✔️ A ID de objeto real da identidade gerenciada ou a palavra-chave system reserved para fazer referência à Identidade Gerenciada do Sistema do cluster no qual o comando é executado.
ClientId string Não aplicável A ID do cliente da identidade gerenciada.
TenantId string Não aplicável A ID do locatário da identidade gerenciada.
DisplayName string Não aplicável O nome de exibição da identidade gerenciada.
IsSystem bool Não aplicável Um valor booliano que indica true se a identidade for uma Identidade Gerenciada pelo Sistema; false se for o contrário.
AllowedUsages string ✔️ Uma lista de valores de uso permitidos separados por vírgulas para a identidade gerenciada. Consulte usos de identidade gerenciada.

Veja a seguir um exemplo de um objeto de política ManagedIdentity:

{
  "ObjectId": "<objectID>",
  "ClientId": "<clientID>",
  "TenantId": "<tenantID",
  "DisplayName": "myManagedIdentity",
  "IsSystem": false,
  "AllowedUsages": "NativeIngestion, ExternalTable"
}

Usos de identidade gerenciada

Os valores a seguir especificam a autenticação para um usage usando a identidade gerenciada configurada:

Valor Descrição
All Todos os usos atuais e futuros são permitidos.
AutomatedFlows Execute um fluxo automatizado de Exportação Contínua ou Política de Atualização em nome de uma identidade gerenciada.
AzureAI Autenticar em um serviço OpenAI do Azure usando o plug-in ai_embed_text com uma identidade gerenciada.
DataConnection Autenticar conexões de dados com um Hub de Eventos ou uma Grade de Eventos.
ExternalTable Autentique-se em tabelas externas usando cadeias de conexão configuradas com uma identidade gerenciada.
NativeIngestion Autentique-se em um SDK para ingestão nativa de uma fonte externa.
SandboxArtifacts Autentique em artefatos externos referenciados em plug-ins em área restrita (por exemplo, Python) com uma identidade gerenciada. Esse uso precisa ser definido na política de identidade gerenciada no nível do cluster.
SqlRequest Autenticar em um banco de dados externo usando o plug-in sql_request ou cosmosdb_request com uma identidade gerenciada.