Administrador de conexiones de Azure Storage

Se aplica a:SQL Server SSIS Integration Runtime en Azure Data Factory

El administrador de conexiones de Azure Storage permite que un paquete de SQL Server Integration Services (SSIS) se conecte a una cuenta de Azure Storage. El administrador de conexiones es un componente de Feature Pack de SQL Server Integration Services (SSIS) para Azure.

En el cuadro de diálogo Agregar administrador de conexiones SSIS, seleccione AzureStoragey haga clic en >Agregar.

Están disponibles las propiedades siguientes:

• Servicio: especifica el servicio de almacenamiento al que conectarse.
• Nombre de cuenta: especifica el nombre de la cuenta de almacenamiento.
• Autenticación: especifica el método de autenticación que se va a utilizar. Se admite la autenticación AccessKey, ServicePrincipal y SharedAccessSignature.
  • AccessKey: con este método de autenticación, especifique el valor de Clave de cuenta.
  • ServicePrincipal: con este método de autenticación, especifique los valores de Id. de la aplicación, Clave de aplicación e Id. de inquilino de la entidad de servicio. Para que la conexión de prueba funcione, se debe asignar al menos el rol Lector de datos de Storage Blob a la entidad de servicio en la cuenta de almacenamiento. Para más información, consulte Conceder acceso a datos de blob y cola de Azure con RBAC en Azure Portal.
  • SharedAccessSignature: para este método de autenticación, especifique al menos el Token de la firma de acceso compartido. Para probar la conexión, especifique además el ámbito del recurso en el que se va a realizar la prueba. Puede ser Servicio, Contenedor o BLOB. Para Contenedor y BLOB, especifique el nombre del contenedor y la ruta de acceso del BLOB, respectivamente. Para obtener más información, consulte la información general sobre las firmas de acceso compartido en Azure Storage.
• Entorno: especifica el entorno de nube que hospeda la cuenta de almacenamiento.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

Identidades administradas para la autenticación de los recursos de Azure

Al ejecutar paquetes SSIS en Azure-SSIS integration runtime (IR) en Azure Data Factory (ADF), puede utilizar la autenticación Microsoft Entra con la identidad administrada de ADF para acceder a Azure Storage. Azure-SSIS IR puede acceder y copiar datos desde o hacia la cuenta de almacenamiento mediante esta identidad administrada.

Nota:

Cuando se autentica con una identidad administrada asignada por el usuario, el entorno de ejecución de integración de SSIS debe habilitarse para la autenticación con la misma identidad. Para obtener más información, consulte Habilitar la autenticación de Microsoft Entra para el tiempo de ejecución de integración Azure-SSIS.

Consulte el artículo Autenticación del acceso a Azure Storage mediante Microsoft Entra ID para conocer la autenticación de Azure Storage en general. Para utilizar la autenticación Microsoft Entra con la identidad administrada de ADF para acceder a Azure Storage, siga estos pasos:

1. Busque la identidad administrada para ADF desde el portal de Azure. Vaya a Propiedades en la factoría de datos. Copie el valor de Id. de aplicación de identidad administrada (no el valor de Id. del objeto de identidad administrada).

2. Conceda a la identidad administrada para ADF los permisos necesarios para acceder a Azure Storage. Para obtener más información sobre los roles, vea el artículo Administración de los derechos de acceso a los datos de Azure Storage con RBAC.

   • Como origen, en Control de acceso (IAM), conceda al menos el rol Lector de datos de Storage Blob.
   • Como destino, en Control de acceso (IAM), conceda al menos el rol Colaborador de datos de Storage Blob.

Por último, puede configurar la autenticación de Microsoft Entra con la identidad administrada de ADF en el administrador de conexiones de Azure Storage. Estas son las opciones para hacerlo:

• Configurarla durante su diseño. En el Diseñador SSIS, haga doble clic en el administrador de conexiones de Azure Storage para abrir el Editor del administrador de conexiones de Azure Storage. Seleccione la opción Use managed identity to authenticate on Azure (Usar la identidad administrada para autenticarse en Azure).

  Nota:

  La propiedad del administrador de conexiones ConnectUsingManagedIdentity no tiene efecto cuando ejecuta su paquete en SSIS Designer o en SQL Server, lo que indica que la autenticación de Microsoft Entra con la identidad administrada de ADF no funciona.

• Configurarla durante su ejecución. Al ejecutar el paquete mediante SQL Server Management Studio (SSMS) o la canalización de la actividad Ejecutar paquete SSIS de Azure Data Factory, busque el administrador de conexiones de Azure Storage y actualice su propiedad ConnectUsingManagedIdentity a True.

  Nota:

  En Azure-SSIS IR, todos los demás métodos de autenticación (por ejemplo, seguridad integrada y contraseña) preconfigurados en el administrador de conexiones de Azure Storage se invalidan cuando se usa la autenticación de Azure Storage con la identidad administrada asignada por el usuario o el sistema especificada para ADF.

Para configurar la autenticación de Microsoft Entra con la identidad administrada de ADF en sus paquetes existentes, la forma preferida es reconstruir su proyecto SSIS con el Diseñador SSIS más reciente al menos una vez. Vuelva a implementar el proyecto de SSIS para que se ejecute en Azure-SSIS IR, de modo que la nueva propiedad ConnectUsingManagedIdentity del administrador de conexiones se agregue automáticamente a todos los administradores de conexiones de Azure Storage del proyecto. La manera alternativa consiste en usar directamente invalidaciones de propiedad con la ruta de acceso a la propiedad \Package.Connections[{nombre del administrador de conexiones}].Properties[ConnectUsingManagedIdentity] asignada a True en tiempo de ejecución.

Protección del tráfico de red en la cuenta de almacenamiento

Cuando se usa la autenticación de Microsoft Entra con la identidad administrada de ADF, es posible unir Azure-SSIS Integration Runtime a una red virtual y, a continuación, proteger la cuenta de almacenamiento limitando el acceso a redes seleccionadas o a un punto de conexión privado. Consulte el artículo Administración de excepciones para obtener instrucciones.

Consulta también

• Conexiones de Integration Services (SSIS)