Bagikan melalui

Blob antrean untuk penyerapan menggunakan autentikasi identitas terkelola

  • Artikel

Saat mengantre blob untuk penyerapan dari akun penyimpanan Anda sendiri, Anda dapat menggunakan identitas terkelola sebagai alternatif untuk token tanda tangan akses bersama (SAS) dan metode autentikasi Kunci Bersama. Identitas terkelola adalah cara yang lebih aman untuk menyerap data karena tidak mengharuskan Anda berbagi token SAS pelanggan atau kunci bersama dengan layanan. Sebagai gantinya, identitas terkelola ditetapkan ke kluster Anda dan diberikan izin baca untuk akun penyimpanan yang digunakan untuk menyerap data. Anda dapat mencabut izin ini kapan saja.

Catatan

  • Metode autentikasi ini hanya berlaku untuk blob Azure dan file Azure Data Lake yang berada di akun penyimpanan milik pelanggan. Ini tidak berlaku untuk file lokal yang diunggah menggunakan Kusto SDK.
  • Hanya penyerapan antrean yang didukung. Penyerapan sebaris dalam Bahasa Kueri Kusto dan penyerapan langsung menggunakan API SDK tidak didukung.

Menetapkan identitas terkelola ke kluster Anda

Ikuti Gambaran umum Identitas terkelola untuk menambahkan Sistem atau Identitas terkelola yang Ditetapkan Pengguna ke kluster Anda. Jika kluster Anda sudah memiliki identitas terkelola yang diinginkan yang ditetapkan, salin ID objeknya menggunakan langkah-langkah berikut:

  1. Masuk ke portal Azure menggunakan akun yang terkait dengan langganan Azure yang berisi kluster Anda.

  2. Navigasi ke kluster Anda dan pilih Identitas.

  3. Pilih jenis identitas, sistem, atau pengguna yang sesuai yang ditetapkan, lalu salin ID objek dari identitas yang diperlukan.

Cuplikan layar halaman gambaran umum, memperlihatkan I D objek identitas terkelola sistem

Memberikan izin ke identitas terkelola

  1. Di portal Azure, navigasikan ke akun penyimpanan yang berisi data yang ingin Anda serap.

  2. Pilih Kontrol Akses lalu pilih + Tambahkan>Penetapan Peran.

  3. Berikan identitas terkelola Storage Blob Data Reader, atau Storage Blob Data Contributor jika Anda ingin menggunakan opsi sumber DeleteSourceOnSuccess , izin ke akun penyimpanan.

Catatan

Memberikan izin Pemilik atau Kontributor tidak cukup dan akan mengakibatkan penyerapan gagal.

Cuplikan layar halaman tambahkan penetapan peran, memperlihatkan peran yang ditetapkan sistem untuk penyerapan menggunakan identitas terkelola

Penting

Jika terjadi masalah jaringan, Azure Storage mungkin mengembalikan Download Forbidden kesalahan. Kesalahan ini dapat terjadi jika Anda menggunakan tautan privat untuk mengakses akun penyimpanan Anda. Dalam kasus seperti itu, jika izin sudah benar, verifikasi konektivitas ke akun penyimpanan Anda.

Mengatur kebijakan identitas terkelola di Azure Data Explorer

Untuk menggunakan identitas terkelola untuk menyerap data ke dalam kluster Anda, izinkan NativeIngestion opsi penggunaan untuk identitas terkelola yang dipilih. Penyerapan asli mengacu pada kemampuan untuk menggunakan SDK untuk penyerapan dari sumber eksternal. Untuk informasi selengkapnya tentang SDK yang tersedia, lihat Pustaka klien.

Kebijakan Identitas Terkelola penggunaan dapat ditentukan pada tingkat kluster atau database kluster target.

Untuk menerapkan kebijakan di tingkat database, jalankan perintah berikut:

.alter-merge database <database name> policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

Untuk menerapkan kebijakan di tingkat kluster, jalankan perintah berikut:

.alter-merge cluster policy managed_identity "[ { 'ObjectId' : '<managed_identity_id>', 'AllowedUsages' : 'NativeIngestion' }]"

Ganti <managed_identity_id> dengan ID objek identitas terkelola yang diperlukan.

Catatan

Anda harus memiliki All Database Admin izin pada kluster untuk mengedit Kebijakan Identitas Terkelola.

Blob antrean untuk penyerapan dengan identitas terkelola menggunakan Kusto SDK

Saat menyerap data menggunakan Kusto SDK, buat URI blob Anda menggunakan autentikasi identitas terkelola dengan menambahkan ;managed_identity={objectId} ke URI blob yang tidak sah. Jika Anda menyerap data menggunakan identitas terkelola yang ditetapkan sistem kluster, Anda dapat menambahkan ;managed_identity=system ke URI blob.

Penting

Anda harus menggunakan klien penyerapan antrean. Menggunakan identitas terkelola dengan penyerapan langsung atau penyerapan sebaris dalam Bahasa Kueri Kusto tidak didukung.

Berikut ini adalah contoh URI blob untuk identitas terkelola yang ditetapkan sistem dan pengguna.

  • Sistem yang ditetapkan: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=system
  • Pengguna yang ditetapkan: https://demosa.blob.core.windows.net/test/export.csv;managed_identity=6a5820b9-fdf6-4cc4-81b9-b416b444fd6d

Penting

  • Saat menggunakan Identitas Terkelola untuk menyerap data dengan C# SDK, Anda harus memberikan ukuran blob di StorageSourceOptions. Jika ukuran tidak diatur, SDK mencoba mengisi ukuran blob dengan mengakses akun penyimpanan, yang mengakibatkan kegagalan.
  • Parameter ukuran harus ukuran data mentah (tidak dikompresi), dan bukan ukuran blob.
  • Jika Anda tidak tahu ukuran pada saat penyerapan, tentukan nilai nol (0). Layanan akan mencoba menemukan ukuran menggunakan identitas terkelola untuk autentikasi.

Konten terkait