配置 Azure 数据资源管理器群集的托管标识

使用 Azure 门户添加系统分配的标识

登录到 Azure 门户。

新建 Azure 数据资源管理器群集

1. 创建 Azure 数据资源管理器群集

2. 在“安全性”选项卡 >“系统分配标识”中，选择“打开”。 若要删除系统分配的标识，请选择“关闭”。

3. 选择“下一步: 标记 >”或“查看 + 创建”，创建此群集。

   

现有的 Azure 数据资源管理器群集

1. 打开现有的 Azure 数据资源管理器群集。

2. 在门户的左窗格中，选择“设置”>“标识”。

3. 在“标识”窗格 >“系统分配”选项卡中：

   1. 将“状态”滑块移到“打开”。
   2. 选择“保存”
   3. 在弹出窗口中选择“是”

   

4. 几分钟后，屏幕显示：

   • 对象 ID - 用于客户管理的密钥
   • 权限 - 选择相关角色分配

   

使用 C# 添加系统分配的标识

先决条件

若要使用 Azure 数据资源管理器 C# 客户端设置托管标识，请执行以下操作：

• 安装 Azure 数据资源管理器 NuGet 包。
• 安装 Azure.Identity NuGet 包进行身份验证。
• 创建可访问资源的 Microsoft Entra 应用程序和服务主体。 我们在订阅范围添加角色分配，并获取所需的 Directory (tenant) ID、Application ID 和 Client Secret。

创建或更新群集

1. 使用 Identity 属性创建或更新群集：

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.chinaeast2,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.SystemAssigned) };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. 运行以下命令，检查是否已使用标识成功创建或更新群集：

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   如果结果中包含具有 Succeeded 值的 ProvisioningState，则表示已创建或更新群集，群集应具有以下属性：

   var principalGuid = clusterData.Identity.PrincipalId.GetValueOrDefault();
   var tenantGuid = clusterData.Identity.TenantId.GetValueOrDefault();
   

   PrincipalId 和 TenantId 已替换为 GUID。 TenantId 属性指示标识所属的 Microsoft Entra 租户。 PrincipalId 是群集的新标识的唯一标识符。 在 Microsoft Entra ID 中，服务主体的名称与你为应用服务或 Azure Functions 实例提供的名称相同。

使用 Azure 资源管理器模板添加系统分配的标识

Azure 资源管理器模板可以用于自动化 Azure 资源部署。 若要详细了解如何部署到 Azure 数据资源管理器，请参阅使用 Azure 资源管理器模板创建 Azure 数据资源管理器群集和数据库。

添加系统分配的类型将告知 Azure 要为群集创建和管理标识。 在资源定义包括以下属性，可以创建 Microsoft.Kusto/clusters 类型的任何有标识资源：

{
   "identity": {
      "type": "SystemAssigned"
   }
}

例如：

{
   "identity": {
      "type": "SystemAssigned",
      "tenantId": "<TENANTID>",
      "principalId": "<PRINCIPALID>"
   }
}

创建群集后，它具有以下附加属性：

{
    "identity": {
        "type": "SystemAssigned",
        "tenantId": "<TENANTID>",
        "principalId": "<PRINCIPALID>"
    }
}

<TENANTID> 和 <PRINCIPALID> 已替换为 GUID。 TenantId 属性指示标识所属的 Microsoft Entra 租户。 PrincipalId 是群集的新标识的唯一标识符。 在 Microsoft Entra ID 中，服务主体的名称与你为应用服务或 Azure Functions 实例提供的名称相同。

使用 Azure 门户删除系统分配的标识

1. 登录到 Azure 门户。

2. 在门户的左窗格中，选择“设置”>“标识”。

3. 在“标识”窗格 >“系统分配”选项卡中：

   1. 将“状态”滑块移到“关闭”。
   2. 选择“保存”
   3. 在弹出窗口中选择“是”，禁用系统分配的标识。 “标识”窗格恢复到与添加系统分配标识之前相同的状况。

   

使用 C# 删除系统分配的标识

运行以下代码，删除系统分配的标识：

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.None)
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

使用 Azure 资源管理器模板删除系统分配的标识

运行以下代码，删除系统分配的标识：

{
   "identity": {
      "type": "None"
   }
}

使用 Azure 门户添加用户分配的标识

1. 登录 Azure 门户。

2. 创建用户分配的托管标识资源。

3. 打开现有的 Azure 数据资源管理器群集。

4. 在门户的左窗格中，选择“设置”>“标识”。

5. 在“用户分配”选项卡中，选择“添加” 。

6. 搜索之前创建的标识并选择它。 选择添加。

   

使用 C# 添加用户分配的标识

先决条件

若要使用 Azure 数据资源管理器 C# 客户端设置托管标识，请执行以下操作：

• 安装 Azure 数据资源管理器 NuGet 包。
• 安装 Azure.Identity NuGet 包进行身份验证。
• 创建可访问资源的 Microsoft Entra 应用程序和服务主体。 我们在订阅范围添加角色分配，并获取所需的 Directory (tenant) ID、Application ID 和 Client Secret。

创建或更新群集

1. 使用 Identity 属性创建或更新群集：

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var userIdentityResourceId = new ResourceIdentifier($"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>");
   var clusterData = new KustoClusterData(
       location: AzureLocation.chinaeast2,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   )
   {
       Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
       {
           UserAssignedIdentities = { { userIdentityResourceId, new UserAssignedIdentity() } }
       }
   };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. 运行以下命令，检查是否已使用标识成功创建或更新群集：

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   如果结果中包含具有 Succeeded 值的 ProvisioningState，则表示已创建或更新群集，群集应具有以下属性：

   var userIdentity = clusterData.Identity.UserAssignedIdentities[userIdentityResourceId];
   var principalGuid = userIdentity.PrincipalId.GetValueOrDefault();
   var clientGuid = userIdentity.ClientId.GetValueOrDefault();
   

   PrincipalId 是用于 Microsoft Entra 管理的标识的唯一标识符。 ClientId 是应用程序的新标识的唯一标识符，用于指定在运行时调用期间使用哪个标识。

使用 Azure 资源管理器模板添加用户分配的标识

Azure 资源管理器模板可以用于自动化 Azure 资源部署。 若要详细了解如何部署到 Azure 数据资源管理器，请参阅使用 Azure 资源管理器模板创建 Azure 数据资源管理器群集和数据库。

通过在资源定义中包含以下属性，然后将 <RESOURCEID> 替换为所需标识的资源 ID，就可使用用户分配的标识创建任何 Microsoft.Kusto/clusters 类型的资源：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {}
      }
   }
}

例如：

{
    "apiVersion": "2019-09-07",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "dependsOn": [
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

创建群集后，它具有以下附加属性：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
         }
      }
   }
}

PrincipalId 是用于 Microsoft Entra 管理的标识的唯一标识符。 ClientId 是应用程序的新标识的唯一标识符，用于指定在运行时调用期间使用哪个标识。

使用 Azure 门户删除用户分配的托管标识

1. 登录到 Azure 门户。

2. 在门户的左窗格中，选择“设置”>“标识”。

3. 选择“用户分配”选项卡。

4. 搜索之前创建的标识并选择它。 选择“删除” 。

   

5. 在弹出窗口中，选择“是”，删除用户分配的标识。 “标识”窗格会还原到与添加用户分配的标识之前相同的状态。

使用 C# 删除用户分配的标识

运行以下代码删除用户分配的标识：

var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterUpdate = new KustoClusterPatch(clusterData.Location)
{
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = { { userIdentityResourceId, null } }
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterUpdate);

使用 Azure 资源管理器模板删除用户分配的标识

运行以下代码删除用户分配的标识：

{
   "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
         "<RESOURCEID>": null
      }
   }
}