跨租户数据连接

项目
2025/05/23

如果需要在不同的租户中为 Azure 事件中心或 Azure 事件网格服务创建数据连接，请使用创建数据连接 API 生成连接。

本文介绍如何使用 PowerShell 创建跨租户事件中心数据连接，并辅助令牌进行身份验证。

先决条件

如果还没有 Azure 订阅，可以在开始前创建一个 Azure 帐户。
在 Tenant1中创建事件中心。这是托管源事件中心的租户。
在 Tenant2中创建 测试群集和数据库。这是托管目标群集的租户。
有权访问两个租户或多租户服务主体的单个 Entra 帐户。

权限

Entra 帐户或多租户服务主体必须至少具有以下权限：

数据资源管理器：参与者
事件中心命名空间：Azure 事件中心数据所有者

备注

该帐户可以是 Tenant1 或 Tenant2 的本地帐户或来宾，只要该帐户具有先决条件权限。权限必须位于命名空间级别，而不是在事件中心级别。

为 Tenant1 的事件中心中的 Entra 帐户或服务主体分配角色

在 Azure 门户中，浏览到你的事件中心命名空间。
在左侧菜单中，选择 访问控制（IAM）>添加角色分配。

在“添加角色分配 窗口中，输入表中的设置，然后选择”保存。

设置	建议的值
角色	Azure 事件中心数据所有者
将访问权限分配到	用户、组或服务主体
选择	Entra 用户或服务主体 ID 的电子邮件地址

为 Tenant2 的群集中的 Entra 帐户或服务主体分配角色

在 Azure 门户中，浏览到数据资源管理器群集。
在左侧菜单中，选择 访问控制（IAM）>添加角色分配。

在“添加角色分配 窗口中，输入表中的设置，然后选择”保存。

设置	建议的值
角色	参与者
将访问权限分配到	用户、组或服务主体
选择	Entra 用户或服务主体 ID 的电子邮件地址

设置跨租户数据连接

使用 PowerShell 在群集与事件中心之间设置跨租户数据连接。

开始之前

创建 Get-AzCachedAccessToken 函数以获取 Tenant1的访问令牌。可以在 PowerShell 库中找到此函数的源代码。可以将此代码包含在个人 PowerShell 配置文件中，以便更轻松地调用它，或者在以下步骤中运行并使用它。

Entra 帐户
服务主体帐户

运行以下命令以连接到 Tenant1中的事件中心订阅：

Connect-AzAccount -Environment AzureChinaCloud -TenantId <Tenant ID> -Subscription "<SubscriptionName>"

添加变量以存储 Tenant1的访问令牌：
```
$tokenfromtenant1 = Get-AzCachedAccessToken
```
添加 Tenant1 的辅助令牌变量：
```
$auxpat="Bearer $tokenfromtenant1"
```

运行以下命令以连接到 Tenant2中的群集订阅：

Connect-AzAccount -Environment AzureChinaCloud -TenantId <Tenant ID> -SubscriptionId "<SubscriptionName>"

添加包含 Tenant2 令牌的变量：

$tokenfromtenant2 = Get-AzCachedAccessToken

添加要用作主令牌的 pat 变量：
```
$pat="Bearer $tokenfromtenant2"
```

在调用 Web 请求时，添加要用作事件中心资源的 HTTP 正文请求变量：

$requestbody ='{"location": "China East 2","kind": "EventHub","properties": { "eventHubResourceId": "/subscriptions/<subscription ID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.EventHub/namespaces/<EventHubNamespaceName>/eventhubs/<EventHubName>","consumerGroup": "$Default","dataFormat": "JSON", "tableName": "<ADXTableName>", "mappingRuleName": "<ADXTableMappingName>"}}'

在调用 Web 请求时，添加要用作群集资源的 URI 变量：

$adxdcuri="https://management.chinacloudapi.cn/subscriptions/<subscriptionID>/resourceGroups/<resource group name>/providers/Microsoft.Kusto/clusters/<ADXClusterName>/databases/<ADXdbName>/dataconnections/<ADXDataConnectionName>?api-version=2020-02-15"

调用以下 Web 请求，该请求使用以前定义的变量来创建数据连接：

Invoke-WebRequest -Headers @{Authorization = $pat; 'x-ms-authorization-auxiliary' = $auxpat} -Uri $adxdcuri -Body $requestbody -Method PUT -ContentType 'application/json'

定义服务主体 ID：

$ServicePrincipalID = "<Application(Client)ID>"

设置服务主体机密：

$Password = ConvertTo-SecureString -String "<Secret>" -AsPlainText -Force

创建新的 PSCredential 对象以安全地存储和传递凭据：

$Credential = New-Object -TypeName "System.Management.Automation.PSCredential" -ArgumentList $ServicePrincipalID, $Password

连接到 Tenant1 中的事件中心订阅：

Connect-AzAccount -Environment AzureChinaCloud -TenantId <Tenant ID> -Subscription "<SubscriptionName>" -ServicePrincipal -Credential $Credential

将缓存的访问令牌存储在 $tokenfromtenant 1 变量中：
```
$tokenfromtenant1 = Get-AzCachedAccessToken
```
创建一个字符串，其中包含授权标头所需的格式的缓存访问令牌：
```
$auxpat="Bearer $tokenfromtenant1"
```

连接到 Tenant2 中的群集订阅：

Connect-AzAccount -Environment AzureChinaCloud -TenantId <Tenant ID> -Subscription "<SubscriptionName>" -ServicePrincipal -Credential $Credential

将缓存的访问令牌存储在 $tokenfromtenant 2 变量中。
```
$tokenfromtenant2 = Get-AzCachedAccessToken
```
创建一个字符串，其中包含授权标头所需的格式的缓存访问令牌：
```
$pat="Bearer $tokenfromtenant2"
```

向变量添加事件中心资源详细信息：

$requestbody = '{"location": "China East 2", "kind": "EventHub", "properties": { "eventHubResourceId": "/subscriptions/<subscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.EventHub/namespaces/<EventHubNamespaceName>/eventhubs/<EventHubName>", "consumerGroup": "$Default", "dataFormat": "MultiJSON", "tableName": "<ADXTableName>", "mappingRuleName": "<ADXTableMappingName>"}}'

向变量添加群集详细信息：

$adxdcuri="https://management.chinacloudapi.cn/subscriptions/<subscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Kusto/clusters/<ADXClusterName>/databases/<ADXdbName>/dataconnections/<ADXDataConnectionName>?api-version=2020-02-15"

发送创建数据连接的请求：

Invoke-WebRequest -Headers @{Authorization = $pat; 'x-ms-authorization-auxiliary' = $auxpat} -Uri $adxdcuri -Body $requestbody -Method PUT -ContentType 'application/json'

完成后

验证现在是否可以在 Azure 门户中看到新创建的数据连接。
可选：建立数据连接后，可以撤销或删除之前授予的 Entra 帐户或服务主体的权限。由于群集引入使用事件中心密钥，因此不再需要这些权限。

重要

如果轮换主事件中心或辅助事件中心密钥，则数据引入可能会停止工作。在这种情况下，需要删除并重新创建数据连接。

通过

跨租户数据连接

先决条件

权限

为 Tenant1 的事件中心中的 Entra 帐户或服务主体分配角色

为 Tenant2 的群集中的 Entra 帐户或服务主体分配角色

设置跨租户数据连接

相关内容

其他资源