使用托管标识从 Azure 流分析作业访问服务总线

Azure 流分析支持使用托管标识将输出发送到Azure 服务总线队列或主题。 有关在 Azure 流分析中使用托管标识的详细信息，请参阅 Azure 流分析的托管标识。

Azure 资源的托管标识使你能够创建与运行应用程序代码的部署相关联的安全标识。 然后可以将该标识与访问控制角色进行关联，后者授予的自定义权限可用于访问应用程序需要的特定 Azure 资源。 借助托管标识，Azure 平台可管理此运行时标识。 对于标识本身或需要访问的资源，都不需要在应用程序代码或配置中存储和保护访问密钥。 若要使用托管标识将消息发送到服务总线，应将该标识添加到 Azure 服务总线数据发送方角色。

本文介绍如何通过 Azure 门户为流分析作业的服务总线输出启用系统分配的托管标识。 在启用系统分配的托管标识之前，必须先有流分析作业和 Azure 服务总线资源。

首先，创建 Azure 流分析作业的托管标识。 

1. 在 Azure 门户中，导航到 Azure 流分析作业。 

2. 从左侧导航菜单中，选择“配置”下的“托管标识”。 然后，选中“使用系统分配的托管标识”旁的框，然后选择“保存”。

    

3. 在 Azure Active Directory 中，为流分析作业标识创建服务主体。 新建标识的生命周期将由 Azure 管理。 删除流分析作业时，Azure 会自动删除关联的标识（即服务主体）。 

   保存配置后，服务主体的对象 ID (OID) 将列为主体 ID，如下图所示：

   

   服务主体与流分析作业同名。 例如，如果作业的名称是 MyASAJob，则服务主体的名称也是 MyASAJob。 

为了使流分析作业能够使用托管标识访问服务总线，你创建的服务主体必须对 Azure 服务总线资源具有特殊权限。 在此步骤中，可以为流分析作业的系统分配的托管标识分配角色。 Azure 提供以下 Azure 内置角色，用于授予对服务总线命名空间的访问权限。 对于 Azure 流分析，需要以下角色：

• Azure 服务总线数据发送者：使用此角色可以为服务总线命名空间及其实体提供发送访问权限。

1. 选择“访问控制 (IAM)”。

2. 选择“添加”>“添加角色分配”，打开“添加角色分配”页面 。

3. 分配以下角色。 有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。

   Expandir tabla

   设置	值
   角色	Azure 服务总线数据发送方
   将访问权限分配到	用户、组或服务主体
   成员	<流分析作业的名称>

   

   Nota

   由于全局复制或缓存延迟，在撤销或授予权限时可能会有延迟。 更改应在 8 分钟内反映出来。

现在已配置托管标识，可以将服务总线资源作为输出添加到流分析作业。 

1. 转到流分析作业，然后导航到“作业拓扑”下的“输出”页 。

2. 选择“添加”>“服务总线队列或服务总线主题”。 在输出属性窗口中，搜索并选择服务总线帐户，然后从“身份验证模式”下拉菜单中选择“托管标识: 系统分配的”。

3. 填写其余属性并选择“保存”。

• 了解 Azure 流分析的输出
• 快速入门：使用 Azure 门户创建流分析作业