Поделиться через

Использование управляемого удостоверения для запуска задания непрерывного экспорта

Переключение служб с помощью раскрывающегося списка версий . Дополнительные сведения о навигации.
Область применения: ✅ Azure Data Explorer

Задание непрерывного экспорта экспортирует данные во внешнюю таблицу с периодическим выполнением запроса.

Задание непрерывного экспорта должно быть настроено с управляемым удостоверением в следующих сценариях:

  • Когда внешняя таблица использует проверку подлинности олицетворения
  • Когда запрос ссылается на таблицы в других базах данных
  • Когда запрос ссылается на таблицы с включенной политикой безопасности на уровне строк

Задание непрерывного экспорта, настроенное с помощью управляемого удостоверения, выполняется от имени управляемого удостоверения.

Из этой статьи вы узнаете, как настроить назначаемое системой или назначаемое пользователем управляемое удостоверение и создать задание непрерывного экспорта с помощью этого удостоверения.

Предпосылки

Настройка управляемого удостоверения

Существует два типа управляемых учетных записей:

  • Назначаемое системой удостоверение: удостоверение, назначаемое системой, подключено к кластеру и удаляется при удалении кластера. Для каждого кластера разрешено только одно назначаемое системой удостоверение.

  • Назначаемое пользователем: управляемое удостоверение, назначаемое пользователем, является автономным ресурсом Azure. Несколько назначаемых пользователем удостоверений можно назначить кластеру.

Выберите одну из следующих вкладок, чтобы настроить предпочтительный тип управляемого удостоверения.

  1. Выполните действия, чтобы добавить удостоверение, назначаемое пользователем.

  2. На портале Azure в меню слева ресурса управляемого удостоверения выберите "Свойства". Скопируйте и сохраните идентификатор клиента и идентификатор участника для использования в следующих шагах.

    Снимок экрана: область портала Azure с идентификаторами управляемых удостоверений.

  3. Выполните следующую команду alter-merge policy managed_identity , заменив <objectId> идентификатор объекта управляемого удостоверения на предыдущем шаге. Эта команда задает политику управляемого удостоверения в кластере, которая позволяет использовать управляемое удостоверение с непрерывным экспортом.

    .alter-merge cluster policy managed_identity ```[
    {
      "ObjectId": "<objectId>",
      "AllowedUsages": "AutomatedFlows"
    }
]```

    Замечание

    Чтобы задать политику в определенной базе данных, используйте database <DatabaseName> вместо clusterнее.

  4. Выполните следующую команду, чтобы предоставить разрешения средства просмотра управляемых удостоверений для всех баз данных, используемых для непрерывного экспорта, таких как база данных, содержащая внешнюю таблицу.

    .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')

    Замените <DatabaseName> соответствующую базу данных <objectId> на идентификатор субъекта управляемого удостоверения с шага 2 и <tenantId>идентификатором клиента Идентификатора Microsoft Entra с шага 2.

Настройка внешней таблицы

Внешние таблицы ссылаются на данные, расположенные в службе хранилища Azure, например хранилище BLOB-объектов Azure, Azure Data Lake Storage 1-го поколения, Azure Data Lake Storage 2-го поколения или SQL Server.

Выберите одну из следующих вкладок, чтобы настроить внешнюю таблицу службы хранилища Azure или SQL Server.

  1. Создайте строку подключения на основе шаблонов строк подключения хранилища. Эта строка указывает ресурс для доступа и сведений о проверке подлинности. Для потоков непрерывного экспорта рекомендуется использовать проверку подлинности олицетворения.

  2. Выполните команду create или .alter external table , чтобы создать таблицу. Используйте строку подключения из предыдущего шага в качестве аргумента storageConnectionString .

    Например, следующая команда создает MyExternalTable данные в формате CSV в mycontainermystorageaccount хранилище BLOB-объектов Azure. В таблице есть два столбца, один для целого числа x и один для строки s. Строка подключения заканчивается с ;impersonateпомощью проверки подлинности олицетворения для доступа к хранилищу данных.

    .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
( 
    h@'https://mystorageaccount.blob.core.windows.net/mycontainer;impersonate' 
)

  3. Предоставьте разрешения на запись управляемого удостоверения в соответствующем внешнем хранилище данных. Управляемое удостоверение требует разрешений на запись, так как задание непрерывного экспорта экспортирует данные в хранилище данных от имени управляемого удостоверения.

    Внешнее хранилище данных Необходимые разрешения Предоставление разрешений
    Azure Blob-хранилище Вкладчик данных хранилища BLOB Назначение роли Azure
    Data Lake Storage 2-го поколения Вкладчик данных хранилища BLOB Назначение роли Azure
    Хранилище Data Lake 1-го поколения Contributor Назначение роли Azure

Создание задания непрерывного экспорта

Выберите одну из следующих вкладок, чтобы создать задание непрерывного экспорта, которое выполняется от имени назначаемого пользователем или назначаемого системой управляемого удостоверения.

Выполните команду create-or-alter непрерывного экспорта с managedIdentity заданным свойством идентификатором объекта управляемого удостоверения.

Например, следующая команда создает задание непрерывного экспорта с именем MyExport для экспорта данных от MyTableMyExternalTable имени управляемого удостоверения, назначаемого пользователем. <objectId> должен быть идентификатором объекта управляемого удостоверения.

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

Связанный контент

  • Last updated on