Připojovací řetězce úložiště
Azure Data Explorer může pracovat se službami externího úložiště. Můžete například vytvořit externí tabulky Azure Storage , abyste mohli dotazovat data uložená v externích úložištích.
Podporují se následující typy externích úložišť:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Každý typ úložiště má odpovídající připojovací řetězec formáty používané k popisu prostředků úložiště a způsobu přístupu k nim. Azure Data Explorer používá k popisu těchto prostředků úložiště a vlastností potřebných pro přístup k těmto prostředkům, jako jsou přihlašovací údaje zabezpečení, formát identifikátoru URI.
Poznámka
Webové služby HTTP, které neimplementují celou sadu rozhraní API Azure Blob Storage, nejsou podporované, i když se zdá, že v některých scénářích fungují.
Šablony připojovací řetězec úložiště
Každý typ úložiště má jiný formát připojovací řetězec. V následující tabulce najdete šablony připojovací řetězec pro každý typ úložiště.
Typ úložiště | Schéma | Šablona identifikátoru URI |
---|---|---|
Azure Blob Storage | https:// |
https:// Název účtu.blob.core.windows.net/ úložištěContainer[/ BlobName][CallerCredentials] |
Azure Data Lake Storage Gen2 | https:// |
https:// Název účtu.dfs.core.windows.net/ úložištěFilesystem[/ PathToDirectoryOrFile][CallerCredentials] |
Azure Data Lake Storage Gen2 | abfss:// |
abfss:// Souborový systém@ Název účtu.dfs.core.windows.net/ úložiště[PathToDirectoryOrFile] [CallerCredentials] |
Azure Data Lake Storage Gen1 | adl:// |
adl:// StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
Amazon S3 | https:// |
https:// Název kbelíku.s3. Regionname.amazonaws.com/ ObjectKey[CallerCredentials] |
Poznámka
Pokud chcete zabránit tomu, aby se tajné kódy zobrazovaly v trasování, použijte obfuskované řetězcové literály.
Metody ověřování úložiště
Pokud chcete pracovat s neveřejným externím úložištěm z Azure Data Explorer, musíte jako součást připojovací řetězec externího úložiště zadat ověřovací prostředky. Připojovací řetězec definuje prostředek pro přístup a jeho ověřovací informace.
Azure Data Explorer podporuje následující metody ověřování:
- Zosobnění
- Spravovaná identita
- Klíč sdíleného přístupu (SAS)
- Microsoft Entra přístupový token
- Přístupový klíč účtu úložiště
- Programové přístupové klíče Amazon Web Services
- Předem podepsaná adresa URL služby Amazon Web Services S3
Podporované ověřování podle typu úložiště
Následující tabulka shrnuje dostupné metody ověřování pro různé typy externích úložišť.
Metoda ověřování | K dispozici ve službě Blob Storage? | K dispozici v Azure Data Lake Storage Gen 2? | K dispozici v Azure Data Lake Storage Gen 1? | K dispozici v Amazon S3? | Kdy byste měli použít tuto metodu? |
---|---|---|---|---|---|
Zosobnění | ✔️ | ✔️ | ✔️ | ❌ | Použijte pro toky, kterých se účastníte, když potřebujete komplexní řízení přístupu k externímu úložišti. Například v tocích průběžného exportu. Přístup k úložišti můžete také omezit na úrovni uživatele. |
Spravovaná identita | ✔️ | ✔️ | ✔️ | ❌ | Použijte v bezobslužných tocích, kde není možné odvodit Microsoft Entra objektu zabezpečení pro spouštění dotazů a příkazů. Jediným řešením ověřování jsou spravované identity. |
Klíč sdíleného přístupu (SAS) | ✔️ | ✔️ | ❌ | ❌ | Tokeny SAS mají čas vypršení platnosti. Používá se při přístupu k úložišti po omezenou dobu. |
Microsoft Entra přístupový token | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra tokeny mají čas vypršení platnosti. Používá se při přístupu k úložišti po omezenou dobu. |
Přístupový klíč účtu úložiště | ✔️ | ✔️ | ❌ | ❌ | Pokud potřebujete k prostředkům přistupovat průběžně. |
Programové přístupové klíče Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Když potřebujete průběžně přistupovat k prostředkům Amazon S3. |
Předem podepsaná adresa URL služby Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Když potřebujete přistupovat k prostředkům Amazon S3 pomocí dočasné předem označené adresy URL. |
Zosobnění
Azure Data Explorer zosobní identitu objektu zabezpečení žadatele pro přístup k prostředku. Pokud chcete použít zosobnění, připojte ;impersonate
k připojovací řetězec.
Příklad |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Objekt zabezpečení musí mít potřebná oprávnění k provedení operace. Například v Azure Blob Storage potřebuje objekt zabezpečení pro čtení z objektu blob roli Čtenář dat objektů blob služby Storage a k exportu do objektu blob potřebuje roli Přispěvatel dat v objektech blob služby Storage. Další informace najdete v tématu Azure Blob Storage/Data Lake Storage Gen2 řízení přístupu nebo řízení přístupu Data Lake Storage Gen1.
Spravovaná identita
Azure Data Explorer provádí žádosti jménem spravované identity a používá její identitu pro přístup k prostředkům. Pro spravovanou identitu přiřazenou systémem připojte ;managed_identity=system
k připojovací řetězec. Pro spravovanou identitu přiřazenou uživatelem připojte ;managed_identity={object_id}
k připojovací řetězec.
Typ spravované identity | Příklad |
---|---|
Přiřazeno systémem | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
Přiřazeno uživatelem | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Spravovaná identita musí mít potřebná oprávnění k provedení operace. Například v Azure Blob Storage ke čtení spravované identity z objektu blob potřebuje roli Čtenář dat v objektech blob služby Storage a k exportu spravované identity do objektu blob potřebuje roli Přispěvatel dat v objektech blob služby Storage. Další informace najdete v tématu Azure Blob Storage/Data Lake Storage Gen2 řízení přístupu nebo řízení přístupu Data Lake Storage Gen1.
Poznámka
Spravovaná identita se podporuje jenom v konkrétních tocích Azure Data Explorer a vyžaduje nastavení zásad spravovaných identit. Další informace najdete v tématu Přehled spravovaných identit.
Token sdíleného přístupu (SAS)
V Azure Portal vygenerujte token SAS s požadovanými oprávněními.
Pokud chcete například číst z externího úložiště, zadejte oprávnění Číst a Vypsat a exportovat do externího úložiště, zadejte oprávnění k zápisu. Další informace najdete v tématu Přístup delegáta pomocí sdíleného přístupového podpisu.
Jako připojovací řetězec použijte adresu URL SAS.
Příklad |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra přístupový token
Pokud chcete přidat přístupový token s kódováním base-64 Microsoft Entra, připojte ;token={AadToken}
k připojovací řetězec. Token musí být pro prostředek https://storage.azure.com/
.
Další informace o tom, jak vygenerovat přístupový token Microsoft Entra, najdete v tématu Získání přístupového tokenu pro autorizaci.
Příklad |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Přístupový klíč účtu úložiště
Pokud chcete přidat přístupový klíč účtu úložiště, připojte ho k připojovací řetězec. V Azure Blob Storage připojte ;{key}
k připojovací řetězec. Pro Azure Data Lake Storage Gen2 připojte ;sharedkey={key}
k připojovací řetězec.
Účet úložiště | Příklad |
---|---|
Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programové přístupové klíče Amazon Web Services
Pokud chcete přidat přístupové klíče Amazon Web Services, připojte ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}
je k připojovací řetězec.
Příklad |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Předem podepsaná adresa URL služby Amazon Web Services S3
Jako připojovací řetězec použijte předem podepsanou adresu URL S3.
Příklad |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro