来自多个租户的主体可以在单个 Azure 数据资源管理器群集中运行查询和命令。 本文介绍如何向群集授予对另一租户主体的访问权限。
若要在 trustedExternalTenants 群集上设置,请使用 ARM 模板、 AZ CLI、 PowerShell 或发送 API 请求。
以下示例演示如何使用 API 请求在门户中定义受信任的租户。
注释
将运行查询或命令的主体还必须具有相关的数据库角色。 另请参阅 基于角色的访问控制。 验证受信任的外部租户后,将验证正确的角色。
在 Azure 门户中,转到 Azure 数据资源管理器群集页。
在左侧菜单中的 “设置”下,选择“ 安全性”。
定义所需的租户权限。
Syntax
允许特定租户
trustedExternalTenants: [ {"value": "tenantId1" }, { "value": "tenantId2" }, ... ]
允许所有租户
trustedExternalTenants 数组还支持所有租户星型 ('*') 表示法,该表示法允许来自所有租户的查询和命令。
trustedExternalTenants: [ { "value": "*" }]
注释
trustedExternalTenants默认值为所有租户: [ { "value": "*" }]。 如果未在创建群集时定义外部租户数组,则可以使用群集更新作重写它。 空数组表示仅允许群集租户的标识对此群集进行身份验证。
详细了解语法约定。
例子
以下示例允许特定租户在群集上运行查询:
{
"properties": {
"trustedExternalTenants": [
{ "value": "tenantId1" },
{ "value": "tenantId2" },
...
]
}
}
以下示例允许所有租户在群集上运行查询:
{
"properties": {
"trustedExternalTenants": [ { "value": "*" } ]
}
}
更新群集
使用以下作更新群集:
PATCH https://management.chinacloudapi.cn/subscriptions/12345678-1234-1234-1234-123456789098/resourceGroups/kustorgtest/providers/Microsoft.Kusto/clusters/kustoclustertest?api-version=2020-09-18
添加主体
更新 trustedExternalTenants 属性后,你可以从已批准的租户授予对主体的访问权限。 使用 Azure 门户授予主体 群集级别权限 或 数据库权限。 或者,若要授予对数据库、表、函数或具体化视图级别的访问权限,请使用 管理命令。
局限性
此功能的配置仅适用于尝试连接到 Azure 数据资源管理器的Microsoft Entra 标识(用户、应用程序、组)。 它不会影响交叉Microsoft Entra 引入。
