Připojovací řetězce úložiště

Azure Data Explorer může pracovat se službami externího úložiště. Můžete například vytvořit externí tabulky Azure Storage , abyste mohli dotazovat data uložená v externích úložištích.

Podporují se následující typy externích úložišť:

• Azure Blob Storage
• Azure Data Lake Storage Gen2
• Azure Data Lake Storage Gen1
• Amazon S3

Každý typ úložiště má odpovídající připojovací řetězec formáty používané k popisu prostředků úložiště a způsobu přístupu k nim. Azure Data Explorer používá k popisu těchto prostředků úložiště a vlastností potřebných pro přístup k těmto prostředkům, jako jsou přihlašovací údaje zabezpečení, formát identifikátoru URI.

Poznámka

Webové služby HTTP, které neimplementují celou sadu rozhraní API Azure Blob Storage, nejsou podporované, i když se zdá, že v některých scénářích fungují.

Šablony připojovací řetězec úložiště

Každý typ úložiště má jiný formát připojovací řetězec. V následující tabulce najdete šablony připojovací řetězec pro každý typ úložiště.

Typ úložiště	Schéma	Šablona identifikátoru URI
Azure Blob Storage	https://	https://Název účtu.blob.core.windows.net/ úložištěContainer[/BlobName][CallerCredentials]
Azure Data Lake Storage Gen2	https://	https://Název účtu.dfs.core.windows.net/ úložištěFilesystem[/PathToDirectoryOrFile][CallerCredentials]
Azure Data Lake Storage Gen2	abfss://	abfss://Souborový systém@Název účtu.dfs.core.windows.net/ úložiště[PathToDirectoryOrFile] [CallerCredentials]
Azure Data Lake Storage Gen1	adl://	adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials]
Amazon S3	https://	https://Název kbelíku.s3.Regionname.amazonaws.com/ObjectKey[CallerCredentials]

Poznámka

Pokud chcete zabránit tomu, aby se tajné kódy zobrazovaly v trasování, použijte obfuskované řetězcové literály.

Metody ověřování úložiště

Pokud chcete pracovat s neveřejným externím úložištěm z Azure Data Explorer, musíte jako součást připojovací řetězec externího úložiště zadat ověřovací prostředky. Připojovací řetězec definuje prostředek pro přístup a jeho ověřovací informace.

Azure Data Explorer podporuje následující metody ověřování:

• Zosobnění
• Spravovaná identita
• Klíč sdíleného přístupu (SAS)
• Microsoft Entra přístupový token
• Přístupový klíč účtu úložiště
• Programové přístupové klíče Amazon Web Services
• Předem podepsaná adresa URL služby Amazon Web Services S3

Podporované ověřování podle typu úložiště

Následující tabulka shrnuje dostupné metody ověřování pro různé typy externích úložišť.

Metoda ověřování	K dispozici ve službě Blob Storage?	K dispozici v Azure Data Lake Storage Gen 2?	K dispozici v Azure Data Lake Storage Gen 1?	K dispozici v Amazon S3?	Kdy byste měli použít tuto metodu?
Zosobnění	✔️	✔️	✔️	❌	Použijte pro toky, kterých se účastníte, když potřebujete komplexní řízení přístupu k externímu úložišti. Například v tocích průběžného exportu. Přístup k úložišti můžete také omezit na úrovni uživatele.
Spravovaná identita	✔️	✔️	✔️	❌	Použijte v bezobslužných tocích, kde není možné odvodit Microsoft Entra objektu zabezpečení pro spouštění dotazů a příkazů. Jediným řešením ověřování jsou spravované identity.
Klíč sdíleného přístupu (SAS)	✔️	✔️	❌	❌	Tokeny SAS mají čas vypršení platnosti. Používá se při přístupu k úložišti po omezenou dobu.
Microsoft Entra přístupový token	✔️	✔️	✔️	❌	Microsoft Entra tokeny mají čas vypršení platnosti. Používá se při přístupu k úložišti po omezenou dobu.
Přístupový klíč účtu úložiště	✔️	✔️	❌	❌	Pokud potřebujete k prostředkům přistupovat průběžně.
Programové přístupové klíče Amazon Web Services	❌	❌	❌	✔️	Když potřebujete průběžně přistupovat k prostředkům Amazon S3.
Předem podepsaná adresa URL služby Amazon Web Services S3	❌	❌	❌	✔️	Když potřebujete přistupovat k prostředkům Amazon S3 pomocí dočasné předem označené adresy URL.

Zosobnění

Azure Data Explorer zosobní identitu objektu zabezpečení žadatele pro přístup k prostředku. Pokud chcete použít zosobnění, připojte ;impersonate k připojovací řetězec.

Příklad
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate"

Objekt zabezpečení musí mít potřebná oprávnění k provedení operace. Například v Azure Blob Storage potřebuje objekt zabezpečení pro čtení z objektu blob roli Čtenář dat objektů blob služby Storage a k exportu do objektu blob potřebuje roli Přispěvatel dat v objektech blob služby Storage. Další informace najdete v tématu Azure Blob Storage/Data Lake Storage Gen2 řízení přístupu nebo řízení přístupu Data Lake Storage Gen1.

Spravovaná identita

Azure Data Explorer provádí žádosti jménem spravované identity a používá její identitu pro přístup k prostředkům. Pro spravovanou identitu přiřazenou systémem připojte ;managed_identity=system k připojovací řetězec. Pro spravovanou identitu přiřazenou uživatelem připojte ;managed_identity={object_id} k připojovací řetězec.

Typ spravované identity	Příklad
Přiřazeno systémem	"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system"
Přiřazeno uživatelem	"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab"

Spravovaná identita musí mít potřebná oprávnění k provedení operace. Například v Azure Blob Storage ke čtení spravované identity z objektu blob potřebuje roli Čtenář dat v objektech blob služby Storage a k exportu spravované identity do objektu blob potřebuje roli Přispěvatel dat v objektech blob služby Storage. Další informace najdete v tématu Azure Blob Storage/Data Lake Storage Gen2 řízení přístupu nebo řízení přístupu Data Lake Storage Gen1.

Poznámka

Spravovaná identita se podporuje jenom v konkrétních tocích Azure Data Explorer a vyžaduje nastavení zásad spravovaných identit. Další informace najdete v tématu Přehled spravovaných identit.

Token sdíleného přístupu (SAS)

V Azure Portal vygenerujte token SAS s požadovanými oprávněními.

Pokud chcete například číst z externího úložiště, zadejte oprávnění Číst a Vypsat a exportovat do externího úložiště, zadejte oprávnění k zápisu. Další informace najdete v tématu Přístup delegáta pomocí sdíleného přístupového podpisu.

Jako připojovací řetězec použijte adresu URL SAS.

Příklad
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd"

Microsoft Entra přístupový token

Pokud chcete přidat přístupový token s kódováním base-64 Microsoft Entra, připojte ;token={AadToken} k připojovací řetězec. Token musí být pro prostředek https://storage.azure.com/.

Další informace o tom, jak vygenerovat přístupový token Microsoft Entra, najdete v tématu Získání přístupového tokenu pro autorizaci.

Příklad
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..."

Přístupový klíč účtu úložiště

Pokud chcete přidat přístupový klíč účtu úložiště, připojte ho k připojovací řetězec. V Azure Blob Storage připojte ;{key} k připojovací řetězec. Pro Azure Data Lake Storage Gen2 připojte ;sharedkey={key} k připojovací řetězec.

Účet úložiště	Příklad
Azure Blob Storage	"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...=="
Azure Data Lake Storage Gen2	"abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd"

Programové přístupové klíče Amazon Web Services

Pokud chcete přidat přístupové klíče Amazon Web Services, připojte ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} je k připojovací řetězec.

Příklad
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY"

Předem podepsaná adresa URL služby Amazon Web Services S3

Jako připojovací řetězec použijte předem podepsanou adresu URL S3.

Příklad
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN"