為您的 Azure 資料總管叢集設定受控識別

發行項
11/23/2024

來自 Microsoft Entra ID 的受控識別可讓您的叢集存取其他 Microsoft Entra 受保護的資源，例如 Azure 金鑰保存庫。身分識別由 Azure 平台負責管理，因此您不需要佈建或輪替任何密碼。

本文說明如何在叢集上新增和移除受控識別。如需受控識別的詳細資訊，請參閱受控識別概觀。

注意

如果您的 Azure 數據總管叢集跨訂用帳戶或租使用者移轉，Azure 數據總管的受控識別不會如預期般運作。應用程式必須取得新的身分識別，其可藉由移除系統指派的身分識別，然後新增系統指派的身分識別來完成。下游資源的存取原則也需要更新，才能使用新的身分識別。

如需以舊版 SDK 為基礎的程式代碼範例，請參閱封存一文。

受控識別的類型

Azure 數據總管叢集可以授與兩種類型的身分識別：

系統指派的身分識別：系結至您的叢集，並在資源遭到刪除時刪除。叢集只能有一個系統指派的身分識別。
使用者指派的身分識別：可指派給叢集的獨立 Azure 資源。叢集可以有多個使用者指派的身分識別。

新增系統指派的身分識別

指派系結至叢集的系統指派身分識別，並在刪除叢集時刪除。叢集只能有一個系統指派的身分識別。建立具有系統指派身分識別的叢集，需要在叢集上設定額外的屬性。使用 Azure 入口網站、C# 或 Resource Manager 範本新增系統指派的身分識別，如下所示。

使用 Azure 入口網站新增系統指派的身分識別

登入 Azure 入口網站。

新增 Azure 數據總管叢集

建立 Azure 數據總管叢集
在 [安全性] 索引標籤 >[系統指派的身分識別] 中，選取 [開啟]。若要移除系統指派的身分識別，請選取 [ 關閉]。
選取 [下一步：卷標 > ] 或 [檢閱 + 建立 ] 以建立叢集。

現有的 Azure 數據總管叢集

開啟現有的 Azure 數據總管叢集。
選取入口網站左窗格中的 [設定>身分識別]。
在 [身分識別] 窗格 >[系統指派] 索引標籤中：
1. 將 [ 狀態] 滑桿移至 [ 開啟]。
2. 選取儲存
3. 在彈出視窗中，選取 [ 是]
幾分鐘后，畫面會顯示：
- 物件識別碼 - 用於客戶管理的金鑰
- 許可權 - 選取相關的角色指派

使用 C 新增系統指派的身分識別#

必要條件

若要使用 Azure 數據總管 C# 用戶端設定受控識別：

安裝 Azure 資料總管 NuGet 套件。
安裝 Azure.Identity NuGet 套件以進行驗證。
建立可存取資源的Microsoft Entra 應用程式和服務主體。您可以在訂用帳戶範圍新增角色指派，並取得必要的 Directory (tenant) ID、 Application ID和 Client Secret。

建立或更新您的叢集

使用 Identity 屬性建立或更新您的叢集：

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var clusters = resourceGroup.GetKustoClusters();
var clusterName = "mykustocluster";
var clusterData = new KustoClusterData(
    location: AzureLocation.CentralUS,
    sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);

執行下列命令來檢查您的叢集是否已使用身分識別成功建立或更新：
```
clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
```
如果結果包含 ProvisioningState 值 Succeeded ，則叢集已建立或更新，且應該具有下列屬性：
```
var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
```
PrincipalId 和 TenantId 會取代為 GUID。屬性 TenantId 會識別身分識別所屬Microsoft Entra 租使用者。 PrincipalId是叢集新身分識別的唯一標識符。在 Microsoft Entra ID 內，服務主體的名稱與您提供給 App Service 或 Azure Functions 執行個體的名稱相同。

使用 Azure Resource Manager 樣本新增系統指派的身分識別

您可以使用 Azure Resource Manager 範本來將 Azure 資源的部署自動化。若要深入瞭解如何部署至 Azure 數據總管，請參閱使用 Azure Resource Manager 範本建立 Azure 數據總管叢集和資料庫。

新增系統指派的類型會告知 Azure 建立和管理叢集的身分識別。對於所有 Microsoft.Kusto/clusters 型別的資源來說，您可以在資源定義中加入以下屬性，以建立採用身分識別的資源：

{
   "identity": {
      "type": "SystemAssigned"
   }
}

例如：

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

注意

叢集可以同時擁有系統指派和使用者指派的身分識別。屬性 type 會是 SystemAssigned,UserAssigned

建立叢集時，其具有下列其他屬性：

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> 和 <PRINCIPALID> 會取代為 GUID。屬性 TenantId 會識別身分識別所屬Microsoft Entra 租使用者。 PrincipalId是叢集新身分識別的唯一標識符。在 Microsoft Entra ID 內，服務主體的名稱與您提供給 App Service 或 Azure Functions 執行個體的名稱相同。

拿掉系統指派的身分識別

拿掉系統指派的身分識別，也會從 entra 識別碼Microsoft將其刪除。刪除叢集資源時，系統指派的身分識別也會從Microsoft Entra ID 自動移除。藉由停用此功能，即可移除系統指派的身分識別。使用 Azure 入口網站、C# 或 Resource Manager 範本移除系統指派的身分識別，如下所示。

使用 Azure 入口網站移除系統指派的身分識別

登入 Azure 入口網站。
選取入口網站左窗格中的 [設定>身分識別]。
在 [身分識別] 窗格 >[系統指派] 索引標籤中：
1. 將 [ 狀態] 滑桿移至 [ 關閉]。
2. 選取儲存
3. 在彈出視窗中，選取 [ 是 ] 以停用系統指派的身分識別。 [ 身分識別] 窗格會還原為與新增系統指派身分識別之前相同的條件。

使用 C 移除系統指派的身分識別#

執行下列命令以移除系統指派的身分識別：

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

使用 Azure Resource Manager 樣本移除系統指派的身分識別

執行下列命令以移除系統指派的身分識別：

{
   "identity": {
      "type": "None"
   }
}

注意

如果叢集同時擁有系統指派和使用者指派的身分識別，則遵循系統指派的身分識別移除之後，屬性 type 將會是 UserAssigned

新增使用者指派的身分識別

將使用者指派的受控識別指派給您的叢集。叢集可以有多個使用者指派的身分識別。建立具有使用者指派身分識別的叢集，需要在叢集上設定額外的屬性。使用 Azure 入口網站、C# 或 Resource Manager 範本新增使用者指派的身分識別，如下所示。

使用 Azure 入口網站新增使用者指派的身分識別

登入 Azure 入口網站。
建立使用者指派的受控識別資源。
開啟現有的 Azure 數據總管叢集。
選取入口網站左窗格中的 [設定>身分識別]。
在 [ 使用者指派] 索引 標籤中，選取 [ 新增]。
搜尋您之前建立的身分識別，並加以選取。選取 [新增]。

使用 C 新增使用者指派的身分識別#

必要條件

若要使用 Azure 數據總管 C# 用戶端設定受控識別：

安裝 Azure 資料總管 NuGet 套件。
安裝 Azure.Identity NuGet 套件以進行驗證。
建立可存取資源的Microsoft Entra 應用程式和服務主體。您可以在訂用帳戶範圍新增角色指派，並取得必要的 Directory (tenant) ID、 Application ID和 Client Secret。

建立或更新您的叢集

使用 Identity 屬性建立或更新您的叢集：

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
var clientSecret = "PlaceholderClientSecret"; //Client Secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var clusters = resourceGroup.GetKustoClusters();
var clusterName = "mykustocluster";
var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
var clusterData = new KustoClusterData(
    location: AzureLocation.CentralUS,
    sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
    }
};
await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);

執行下列命令來檢查您的叢集是否已使用身分識別成功建立或更新：
```
clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
```
如果結果包含 ProvisioningState 值 Succeeded ，則叢集已建立或更新，且應該具有下列屬性：
```
var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
var clientGuid = userIdentity.ClientId.GetValueOrDefault();
```
針對用於 Microsoft Entra 管理的身分識別，PrincipalId 是唯一識別碼。 ClientId是應用程式新身分識別的唯一標識碼，用於指定運行時間呼叫期間要使用的身分識別。

使用 Azure Resource Manager 樣本新增使用者指派的身分識別

類型的任何資源 Microsoft.Kusto/clusters 都可以使用使用者指派的身分識別來建立，方法是在資源定義中包含下列屬性，並將取代 <RESOURCEID> 為所需身分識別的資源識別碼：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

例如：

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

建立叢集時，其具有下列其他屬性：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

針對用於 Microsoft Entra 管理的身分識別，PrincipalId 是唯一識別碼。 ClientId是應用程式新身分識別的唯一標識碼，用於指定運行時間呼叫期間要使用的身分識別。

注意

叢集可以同時擁有系統指派和使用者指派的身分識別。在此情況下，type 屬性將會是 SystemAssigned,UserAssigned。

從叢集移除使用者指派的受控識別

使用 Azure 入口網站、C# 或 Resource Manager 範本移除使用者指派的身分識別，如下所示。

使用 Azure 入口網站移除使用者指派的受控識別

登入 Azure 入口網站。
選取入口網站左窗格中的 [設定>身分識別]。
選取 [使用者指派的] 索引標籤。
搜尋您之前建立的身分識別，並加以選取。選取 [移除]。
在彈出視窗中，選取 [ 是 ] 以移除使用者指派的身分識別。 [ 身分識別] 窗格會還原為與新增使用者指派身分識別之前相同的條件。

使用 C 移除使用者指派的身分識別#

執行下列命令以移除使用者指派的身分識別：

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

使用 Azure Resource Manager 樣本移除使用者指派的身分識別

執行下列命令以移除使用者指派的身分識別：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}

注意

若要移除身分識別，請將其值設定為 null。所有其他現有的身分識別都不會受到影響。
若要移除所有使用者指派的身分識別， type 屬性會是 None。
如果叢集同時具有系統指派和使用者指派的身分識別，則 type 屬性會 SystemAssigned,UserAssigned 包含要移除的身分識別，或 SystemAssigned 移除所有使用者指派的身分識別。

共用方式為

為您的 Azure 資料總管叢集設定受控識別

受控識別的類型

新增系統指派的身分識別

使用 Azure 入口網站新增系統指派的身分識別

新增 Azure 數據總管叢集

現有的 Azure 數據總管叢集

使用 C 新增系統指派的身分識別#

必要條件

建立或更新您的叢集

使用 Azure Resource Manager 樣本新增系統指派的身分識別

拿掉系統指派的身分識別

使用 Azure 入口網站移除系統指派的身分識別

使用 C 移除系統指派的身分識別#

使用 Azure Resource Manager 樣本移除系統指派的身分識別

新增使用者指派的身分識別

使用 Azure 入口網站新增使用者指派的身分識別

使用 C 新增使用者指派的身分識別#

必要條件

建立或更新您的叢集

使用 Azure Resource Manager 樣本新增使用者指派的身分識別

從叢集移除使用者指派的受控識別

使用 Azure 入口網站移除使用者指派的受控識別

使用 C 移除使用者指派的身分識別#

使用 Azure Resource Manager 樣本移除使用者指派的身分識別

意見反應

其他資源

共用方式為

為您的 Azure 資料總管叢集設定受控識別

受控識別的類型

新增系統指派的身分識別

使用 Azure 入口網站 新增系統指派的身分識別

新增 Azure 數據總管叢集

現有的 Azure 數據總管叢集

拿掉系統指派的身分識別

使用 Azure 入口網站 移除系統指派的身分識別

新增使用者指派的身分識別

使用 Azure 入口網站 新增使用者指派的身分識別

從叢集移除使用者指派的受控識別

使用 Azure 入口網站 移除使用者指派的受控識別

相關內容

意見反應

其他資源

使用 Azure 入口網站新增系統指派的身分識別

使用 Azure 入口網站移除系統指派的身分識別

使用 Azure 入口網站新增使用者指派的身分識別

使用 Azure 入口網站移除使用者指派的受控識別