允許跨租用戶查詢和命令
來自多個租用戶的主體可以在單一 Azure 數據總管叢集中執行查詢和命令。 在本文中,您將瞭解如何將叢集存取權授與另一個租使用者中的主體。
若要在叢集上設定 trustedExternalTenants ,請使用ARM樣本、AZ CLI、PowerShell、Azure 資源總管或傳送 API 要求。
下列範例示範如何在入口網站和 API 要求中定義受信任的租使用者。
注意
執行查詢或命令的主體也必須具有相關的資料庫角色。 另 請參閱角色型訪問控制。 驗證信任的外部租用戶之後,就會驗證正確的角色。
在 [Azure 入口網站] 中,移至您的 Azure 數據總管叢集頁面。
在左側功能表中的 [設定] 底下,選取 [安全性]。
定義所需的租用戶許可權。
![[安全性] 刀鋒視窗的螢幕快照。](media/define-trusted-external-tenants/trusted-external-tenants.png)
語法
允許特定租使用者
trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]
允許所有租使用者
trustedExternalTenants 陣列也支援所有租使用者星號 ('*') 表示法,允許來自所有租使用者的查詢和命令。
trustedExternalTenants: [ { "value": "*" }]
注意
的預設值 trustedExternalTenants 是所有租使用者: [ { "value": "*" }]。 如果在叢集建立時未定義外部租用戶陣列,則可以使用叢集更新作業覆寫它。 空陣表示只允許叢集租使用者的身分識別向此叢集進行驗證。
深入瞭解 語法慣例。
範例
下列範例可讓特定租使用者在叢集上執行查詢:
{
"properties": {
"trustedExternalTenants": [
{ "value": "tenantId1" },
{ "value": "tenantId2" },
...
]
}
}
下列範例可讓所有租使用者在叢集上執行查詢:
{
"properties": {
"trustedExternalTenants": [ { "value": "*" } ]
}
}
更新叢集
使用下列作業更新叢集:
PATCH https://management.azure.com/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18
新增主體
更新 trustedExternalTenants 屬性之後,您可以授與已核准租用戶主體的存取權。 使用 Azure 入口網站 來授與主體叢集層級許可權或資料庫許可權。 或者,若要授與資料庫、數據表、函式或具體化檢視層級的存取權,請使用 管理命令。
限制
這項功能的設定僅適用於嘗試連線到 Azure 數據總管的Microsoft Entra 身分識別(使用者、應用程式、群組)。 它不會影響交叉Microsoft Entra 擷取。
![[安全性] 刀鋒視窗的螢幕快照。](media/define-trusted-external-tenants/trusted-external-tenants.png#lightbox)