Storage-Verbindungszeichenfolgen
Azure Data Explorer kann mit externen Speicherdiensten interagieren. Sie können beispielsweise externe Azure Storage-Tabellen erstellen , um daten abzufragen, die in externen Speichern gespeichert sind.
Die folgenden Typen von externem Speicher werden unterstützt:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Jeder Speichertyp verfügt über entsprechende Verbindungszeichenfolge Formate, die verwendet werden, um die Speicherressourcen und den Zugriff darauf zu beschreiben. Azure Data Explorer verwendet ein URI-Format, um diese Speicherressourcen und die für den Zugriff erforderlichen Eigenschaften zu beschreiben, z. B. Sicherheitsanmeldeinformationen.
Hinweis
HTTP-Webdienste, die nicht den gesamten API-Satz von Azure Blob Storage implementieren, werden nicht unterstützt, auch wenn sie in einigen Szenarien zu funktionieren scheinen.
Vorlagen für speicher Verbindungszeichenfolge
Jeder Speichertyp hat ein anderes Verbindungszeichenfolge Format. In der folgenden Tabelle finden Sie Verbindungszeichenfolge Vorlagen für jeden Speichertyp.
| Speichertyp | Schema | URI-Vorlage |
|---|---|---|
| Azure Blob Storage | https:// |
https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Azure Data Lake Storage Gen2 | https:// |
https://StorageAccountName.dfs.core.windows.net/Dateisystem[/PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen2 | abfss:// |
abfss://Dateisystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile] [CallerCredentials] |
| Azure Data Lake Storage Gen1 | adl:// |
adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://BucketName.s3.RegionName.amazonaws.com/ObjectKey[CallerCredentials] |
Hinweis
Verwenden Sie verschleierte Zeichenfolgenliterale, um zu verhindern, dass Geheimnisse in Ablaufverfolgungen angezeigt werden.
Storage-Authentifizierungsmethoden
Um mit nicht öffentlichem externem Speicher über Azure Data Explorer zu interagieren, müssen Sie Authentifizierungsmittel als Teil des externen Speichers Verbindungszeichenfolge angeben. Der Verbindungszeichenfolge definiert die Ressource, auf die zugegriffen werden soll, und die zugehörigen Authentifizierungsinformationen.
Azure Data Explorer unterstützt die folgenden Authentifizierungsmethoden:
- Identitätswechsel
- Verwaltete Identität
- SAS-Schlüssel (Shared Access)
- Microsoft Entra Zugriffstoken
- Speicherkonto-Zugriffsschlüssel
- Programmgesteuerte Zugriffsschlüssel für Amazon Web Services
- Vorsignierte URL für Amazon Web Services S3
Unterstützte Authentifizierung nach Speichertyp
In der folgenden Tabelle sind die verfügbaren Authentifizierungsmethoden für verschiedene externe Speichertypen zusammengefasst.
| Authentifizierungsmethode | In Blob Storage verfügbar? | Verfügbar in Azure Data Lake Storage Gen 2? | Verfügbar in Azure Data Lake Storage Gen 1? | In Amazon S3 verfügbar? | Wann sollten Sie diese Methode verwenden? |
|---|---|---|---|---|---|
| Identitätswechsel | ✔️ | ✔️ | ✔️ | ❌ | Verwenden Sie für besuchte Flows, wenn Sie eine komplexe Zugriffssteuerung über den externen Speicher benötigen. Beispielsweise in fortlaufenden Exportflows. Sie können den Speicherzugriff auch auf Benutzerebene einschränken. |
| Verwaltete Identität | ✔️ | ✔️ | ✔️ | ❌ | Verwenden Sie in unbeaufsichtigten Flows, bei denen kein Microsoft Entra Prinzipal abgeleitet werden kann, um Abfragen und Befehle auszuführen. Verwaltete Identitäten sind die einzige Authentifizierungslösung. |
| SAS-Schlüssel (Shared Access) | ✔️ | ✔️ | ❌ | ❌ | SAS-Token haben eine Ablaufzeit. Verwenden Sie beim Zugriff auf Speicher für einen begrenzten Zeitraum. |
| Microsoft Entra Zugriffstoken | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra Token haben eine Ablaufzeit. Verwenden Sie beim Zugriff auf Speicher für einen begrenzten Zeitraum. |
| Speicherkonto-Zugriffsschlüssel | ✔️ | ✔️ | ❌ | ❌ | Wenn Sie kontinuierlich auf Ressourcen zugreifen müssen. |
| Programmgesteuerte Zugriffsschlüssel für Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Wenn Sie kontinuierlich auf Amazon S3-Ressourcen zugreifen müssen. |
| Vorsignierte URL für Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Wenn Sie mit einer temporären vorsignierten URL auf Amazon S3-Ressourcen zugreifen müssen. |
Identitätswechsel
Azure Data Explorer gibt die Identität der Prinzipalidentität des Anforderers an, um auf die Ressource zuzugreifen. Um identitätswechsel zu verwenden, fügen Sie ;impersonate an die Verbindungszeichenfolge an.
| Beispiel |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Der Prinzipal muss über die erforderlichen Berechtigungen zum Ausführen des Vorgangs verfügen. Beispielsweise benötigt der Prinzipal in Azure Blob Storage zum Lesen aus dem Blob die Rolle Storage-Blobdatenleser, und zum Exportieren in das Blob benötigt der Prinzipal die Rolle Mitwirkender an Storage-Blobdaten. Weitere Informationen finden Sie unter Azure Blob Storage-/Data Lake Storage Gen2-Zugriffssteuerung oder Data Lake Storage Gen1 Zugriffssteuerung.
Verwaltete Identität
Azure Data Explorer stellt Anforderungen im Namen einer verwalteten Identität und verwendet deren Identität für den Zugriff auf Ressourcen. Fügen Sie ;managed_identity=system für eine systemseitig zugewiesene verwaltete Identität an die Verbindungszeichenfolge an. Fügen Sie ;managed_identity={object_id} für eine benutzerseitig zugewiesene verwaltete Identität an die Verbindungszeichenfolge an.
| Typ der verwalteten Identität | Beispiel |
|---|---|
| Systemseitig zugewiesen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Benutzerseitig zugewiesen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Die verwaltete Identität muss über die erforderlichen Berechtigungen zum Ausführen des Vorgangs verfügen. Beispielsweise benötigt die verwaltete Identität in Azure Blob Storage zum Lesen aus dem Blob die Rolle Speicherblobdatenleser, und zum Exportieren in das Blob benötigt die verwaltete Identität die Rolle Mitwirkender für Speicherblobdaten. Weitere Informationen finden Sie unter Azure Blob Storage/Data Lake Storage Gen2-Zugriffssteuerung oder Data Lake Storage Gen1 Zugriffssteuerung.
Hinweis
Verwaltete Identität wird nur in bestimmten Azure-Data Explorer-Flows unterstützt und erfordert die Einrichtung der Richtlinie für verwaltete Identitäten. Weitere Informationen finden Sie unter Übersicht über verwaltete Identitäten.
SAS-Token (Shared Access)
Generieren Sie im Azure-Portal ein SAS-Token mit den erforderlichen Berechtigungen.
Wenn Sie beispielsweise aus dem externen Speicher lesen möchten, geben Sie die Berechtigungen Lesen und Listen an, und geben Sie zum Exportieren in den externen Speicher die Schreibberechtigungen an. Weitere Informationen finden Sie unter Delegatieren des Zugriffs mithilfe einer freigegebenen Zugriffssignatur.
Verwenden Sie die SAS-URL als Verbindungszeichenfolge.
| Beispiel |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra Zugriffstoken
Um ein Base64-codiertes Microsoft Entra-Zugriffstoken hinzuzufügen, fügen Sie ;token={AadToken} an die Verbindungszeichenfolge an. Das Token muss für die Ressource https://storage.azure.com/sein.
Weitere Informationen zum Generieren eines Microsoft Entra Zugriffstokens finden Sie unter Abrufen eines Zugriffstokens für die Autorisierung.
| Beispiel |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Speicherkonto-Zugriffsschlüssel
Um einen Speicherkontozugriffsschlüssel hinzuzufügen, fügen Sie den Schlüssel an die Verbindungszeichenfolge an. Fügen Sie in Azure Blob Storage an die Verbindungszeichenfolge an;{key}. Fügen Sie für Azure Data Lake Storage Gen 2 an die Verbindungszeichenfolge an;sharedkey={key}.
| Speicherkonto | Beispiel |
|---|---|
| Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programmgesteuerte Zugriffsschlüssel für Amazon Web Services
Fügen Sie zum Hinzufügen von Amazon Web Services-Zugriffsschlüsseln an die Verbindungszeichenfolge an;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}.
| Beispiel |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Vorsignierte Amazon Web Services S3-URL
Verwenden Sie die vorsignierte S3-URL als Verbindungszeichenfolge.
| Beispiel |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für