使用托管标识运行连续导出作业

1. 按照步骤添加用户分配的标识。

2. 在Azure portal的托管标识资源的左侧菜单中，选择Properties。 复制并保存“租户 ID”和“主体 ID”，以便在后续步骤中使用。

   具有托管标识 IDs.

3. 运行以下 .alter-merge policy managed_identity 命令，将 <objectId> 替换为在上一步骤中获取的托管标识对象 ID。 此命令对群集设置托管标识策略，以便能够将托管标识用于连续导出。

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "<objectId>",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   注意

   若要对特定数据库设置策略，请使用 database <DatabaseName> 而不是 cluster。

4. 运行以下命令，授予托管标识 Database Viewer 用于连续导出的所有数据库的权限，例如包含外部表的数据库。

   .add database <DatabaseName> viewers ('aadapp=<objectId>;<tenantId>')
   

   将 <DatabaseName> 替换为相关数据库，将 <objectId> 替换为步骤 2 中的托管标识 Principal Id，将 <tenantId> 替换为步骤 2 中的 Microsoft Entra ID Tenant Id。

1. 按照步骤添加系统分配的标识。

2. 复制并保存“对象(主体) ID”，以便在后续步骤中使用。

3. 运行以下 .alter-merge policy managed_identity 命令。 此命令对群集设置托管标识策略，以便能够将托管标识用于连续导出。

   .alter-merge cluster policy managed_identity ```[
       {
         "ObjectId": "system",
         "AllowedUsages": "AutomatedFlows"
       }
   ]```
   

   注意

   若要对特定数据库设置策略，请使用 database <DatabaseName> 而不是 cluster。

4. 运行以下命令，授予托管标识 Database Viewer 用于连续导出的所有数据库的权限，例如包含外部表的数据库。

   .add database <DatabaseName> viewers ('aadapp=<objectId>')
   

   请将 <DatabaseName> 替换为相关数据库，将 <objectId> 替换为在步骤 2 中获取的托管标识对象（主体）ID。

1. 基于 storage connection string 模板创建connection string。 此字符串指示要access的资源及其身份验证信息。 对于连续导出流，建议实现身份验证。

2. 运行 .create 或 .alter external table 命令以创建表。 使用上一步中的connection string作为 storageConnectionString 参数。

   例如，以下命令创建 MyExternalTable，该数据引用Azure Blob Storage中 mystorageaccountmycontainer的 CSV 格式数据。 该表有两列，一列包含整数 x，另一列包含字符串 s。 connection string以 ;impersonate 结尾，指示使用模拟身份验证access数据存储。

   .create external table MyExternalTable (x:int, s:string) kind=storage dataformat=csv 
   ( 
       h@'https://mystorageaccount.blob.core.chinacloudapi.cn/mycontainer;impersonate' 
   )
   

3. 授予托管标识对相关外部数据存储的写入权限。 托管标识之所以需要写入权限，是因为连续导出作业代表该托管标识将数据导出到数据存储。

   外部数据存储	所需的权限	授予权限
   Azure Blob Storage	Storage Blob 数据参与者	分配Azure角色
   Data Lake Storage Gen2	Storage Blob 数据参与者	分配Azure角色
   Data Lake Storage Gen1	参与者	分配Azure角色

1. 创建SQL Server connection string。 此字符串指示要access的资源及其身份验证信息。 对于连续导出流，建议Microsoft Entra 集成身份验证，这是模拟身份验证。

2. 运行 .create 或 .alter external table 命令以创建表。 使用上一步中的connection string作为 sqlServerConnectionString 参数。

   例如，以下命令在 SQL Server MyDatabase 中创建引用 MySqlTable 表的 MySqlExternalTable。 该表有两列，一列包含整数 x，另一列包含字符串 s。 connection string包含 ;Authentication=Active Directory Integrated，指示使用模拟身份验证access表。

   .create external table MySqlExternalTable (x:int, s:string) kind=sql table=MySqlTable
   ( 
      h@'Server=tcp:myserver.database.chinacloudapi.cn,1433;Authentication=Active Directory Integrated;Initial Catalog=MyDatabase;'
   )
   

3. 对SQL Server数据库授予托管标识 CREATE、UPDATE 和 INSERT 权限。 托管标识之所以需要写入权限，是因为连续导出作业代表该托管标识将数据导出到数据库。 有关详细信息，请参阅权限。

运行 .create-or-alter continuous-export 命令并将 managedIdentity 属性设置为托管标识对象 ID。

例如，以下命令创建一个名为 MyExport 的连续导出作业，以代表用户分配的托管标识将 MyTable 中的数据导出到 MyExternalTable。 <objectId> 应是托管标识对象 ID。

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity=<objectId>, intervalBetweenRuns=5m) <| MyTable

运行 .create-or-alter continuous-export 命令并将 managedIdentity 属性设置为 system。

例如，以下命令创建一个名为 MyExport 的连续导出作业，以代表系统分配的托管标识将 MyTable 中的数据导出到 MyExternalTable。

.create-or-alter continuous-export MyExport over (MyTable) to table MyExternalTable with (managedIdentity="system", intervalBetweenRuns=5m) <| MyTable