用于将事件捕获到 Azure 事件中心中的目标的身份验证模式

借助 Azure 事件中心,可以在将事件捕获到你选择的目标(如 Azure Blob 存储Azure 数据湖存储第 1 代或第 2 代帐户)时选择不同的身份验证模式。 身份验证模式确定在事件中心中运行的捕获代理如何通过捕获目标进行身份验证。

先决条件

  1. 按照文章中的说明启用系统分配或用户分配的托管标识:为事件中心命名空间启用托管标识。 为命名空间启用标识后,可以在命名空间中为事件中心配置捕获功能时使用标识。
  2. 在目标 Azure 存储或 Data Lake Store 帐户中使用“访问控制”页,并将此托管标识添加到“存储 Blob 数据参与者”角色。

使用托管标识捕获事件

托管标识是从事件中心无缝访问捕获目标的首选方式,使用基于 Microsoft Entra ID 的身份验证和授权。

此图显示如何使用托管标识将事件中心数据捕获到 Azure 存储或 Azure 数据湖存储中

可以将系统分配或用户分配的托管标识与事件中心捕获目标一起使用。

使用系统分配的托管标识

系统分配的托管标识将自动创建并与 Azure 资源关联,在本例中,Azure 资源是一个事件中心命名空间。

要使用系统分配的标识,捕获目标必须为对应的系统分配标识启用所需的角色分配。 然后,可以在事件中心内启用捕获功能时选择 System Assigned 托管标识选项。

此图显示如何使用系统分配的托管标识将事件中心数据捕获到 Azure 存储或 Azure 数据湖存储中。

然后,捕获代理将使用命名空间的标识进行身份验证,并向捕获目标授权。

使用用户分配的托管标识

可以创建用户分配的托管标识,并将其用于对事件中心的捕获目标进行身份验证和授权。 创建托管标识后,你可以将其分配给事件中心命名空间,并确保捕获目标为相应的用户分配标识启用了所需的角色分配。

然后,可以在事件中心启用捕获功能时选择 User Assigned 托管标识选项,并在启用捕获功能时分配所需的用户分配标识。

此图显示如何将事件中心数据捕获到 Azure 存储或 Azure Data Lake Storage 中。

然后,捕获代理将使用配置的用户分配的标识对捕获目标进行身份验证和授权。

在不同订阅中,将事件捕获到某个捕获目标

事件中心捕获功能还支持使用托管标识将数据捕获到不同订阅中的捕获目标。

重要

若要使用不同的订阅中的存储帐户启用捕获,必须为拥有存储帐户的订阅注册 Microsoft.EventHub 资源提供程序

若要详细了解如何将资源提供程序注册到特定的 Azure 订阅,请参阅文档

可以使用门户或使用指南中具有相应托管标识的 ARM 模板。

详细了解该功能,以及如何使用 Azure 门户和 Azure 资源管理器模板启用它: