Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A következőkre vonatkozik:
Azure Data Factory Azure Synapse Analytics
Tipp.
Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!
A szervezet alapvető biztonsági célja, hogy megvédje az adattárait az interneten keresztüli véletlenszerű hozzáféréstől, legyen szó helyszíni vagy felhőbeli/ SaaS-adattárról.
A felhőbeli adattárak általában az alábbi mechanizmusok használatával vezérli a hozzáférést:
- Privát hivatkozás egy virtuális hálózatról privát végpontra engedélyezett adatforrásokra
- Tűzfalszabályok, amelyek IP-cím alapján korlátozzák a kapcsolatot
- Hitelesítési mechanizmusok, amelyek megkövetelik, hogy a felhasználók igazolják identitásukat
- Engedélyezési mechanizmusok, amelyek meghatározott műveletekre és adatokra korlátozzák a felhasználókat
Tipp.
A statikus IP-címtartomány bevezetésével mostantól engedélyezheti az adott Azure-integrációs futtatókörnyezet ip-címtartományainak engedélyezését annak érdekében, hogy ne kelljen engedélyeznie az összes Azure IP-címet a felhőbeli adattárakban. Így korlátozhatja az adattárakhoz való hozzáféréshez engedélyezett IP-címeket.
Feljegyzés
Az IP-címtartományok le vannak tiltva az Azure Integration Runtime esetében, és jelenleg csak adatáthelyezéshez, folyamathoz és külső tevékenységekhez használhatók. A felügyelt virtuális hálózatot engedélyező adatfolyamok és Azure Integration Runtime mostantól nem használják ezeket az IP-tartományokat.
Ennek számos esetben működnie kell, és tisztában vagyunk azzal, hogy az integrációs modulonkénti egyedi statikus IP-cím kívánatos lenne, de ez jelenleg nem lehetséges az Azure Integration Runtime használatával, amely kiszolgáló nélküli. Szükség esetén bármikor beállíthat egy saját üzemeltetésű integrációs modult, és használhatja vele a statikus IP-címet.
Adathozzáférési stratégiák az Azure Data Factoryn keresztül
- Private Link – Létrehozhat egy Azure-integrációs futtatókörnyezetet az Azure Data Factory által felügyelt virtuális hálózaton belül, és privát végpontokat használ a támogatott adattárakhoz való biztonságos csatlakozáshoz. A felügyelt virtuális hálózat és az adatforrások közötti forgalom a Microsoft gerinchálózatán halad, és nem érhető el a nyilvános hálózat számára.
- Megbízható szolgáltatás – Az Azure Storage (Blob, ADLS Gen2) és az Azure Key Vault támogatja a tűzfalkonfigurációt, amely lehetővé teszi a megbízható Azure-platformszolgáltatások biztonságos elérését. A Megbízható szolgáltatások kikényszeríti a felügyelt identitás hitelesítését, ami biztosítja, hogy más adat-előállítók ne tudjanak csatlakozni ehhez a tárolóhoz, hacsak nem engedélyezik a felügyelt identitás használatával.
Feljegyzés
Az alábbi forgatókönyvek nem szerepelnek a megbízható szolgáltatások listájában:
- Saját üzemeltetésű integrációs modul vagy SSIS integrációs modul használata
- A következő tevékenységtípusok bármelyikének használata: > - Webhook > - Testreszabott > - Azure-függvény
- Az alábbi összekötők bármelyikének használata: > - AzureBatch > – AzureFunction > – AzureFile > – OData
- Egyedi statikus IP-cím – A Data Factory-összekötők statikus IP-címének lekéréséhez saját üzemeltetésű integrációs modult kell beállítania. Ez a mechanizmus biztosítja, hogy minden más IP-címről letiltsa a hozzáférést.
- Statikus IP-tartomány – Használhatja az Azure Integration Runtime IP-címeit, hogy felvegye őket az engedélyezett listára a tárhelyén, mint például az S3 vagy a Salesforce. Minden bizonnyal korlátozza az adattárakhoz csatlakozni képes IP-címeket, de a hitelesítési/ engedélyezési szabályokra is támaszkodik.
- Szolgáltatáscímke – A szolgáltatáscímke egy adott Azure-szolgáltatás ip-címelőtagjainak egy csoportját jelöli (például az Azure Data Factoryt). A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. Hasznos lehet az adathozzáférés szűrése az IaaS által üzemeltetett adattárakon a virtuális hálózaton.
- Az Azure Services engedélyezése – Egyes szolgáltatások lehetővé teszik, hogy minden Azure-szolgáltatás csatlakozzon hozzá, ha ezt a lehetőséget választja.
Az Azure Integration Runtime és a saját üzemeltetésű integrációs modul adattáraiban támogatott hálózati biztonsági mechanizmusokkal kapcsolatos további információkért tekintse meg az alábbi két táblázatot.
Azure Integration Runtime
Adattárak Támogatott hálózati biztonsági mechanizmus az adattárakban Private Link Megbízható szolgáltatás Statikus IP-címtartomány Szolgáltatáscímkék Az Azure Services engedélyezése Azure PaaS-adattárak Azure Cosmos DB Igen - Igen - Igen Azure Data Explorer - - Igen* Igen* - Azure Data Lake Gen1 - - Igen - Igen Azure Database for MariaDB, MySQL, PostgreSQL - - Igen - Igen Azure Files Igen - Igen - . Azure Blob Storage és ADLS Gen2 Igen Igen (csak MSI-hitelesítés) Igen - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Igen (csak Azure SQL DB/DW) - Igen - Igen Azure Key Vault (titkok/ kapcsolati karakterlánc beolvasásához) igen Igen Igen - - Egyéb PaaS/SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. - - Igen - - Snowflake Igen - Igen - - Azure IaaS SQL Server, Oracle stb. - - Igen Igen - Helyszíni IaaS SQL Server, Oracle stb. - - Igen - - * Csak akkor alkalmazható, ha az Azure Data Explorer virtuális hálózatba van injektálva, és az IP-tartomány az NSG-n/ tűzfalon alkalmazható.
Saját üzemeltetésű integrációs modul (virtuális hálózatban/helyszíni környezetben)
Adattárak Támogatott hálózati biztonsági mechanizmus az adattárakban Statikus IP-cím Megbízható szolgáltatások Azure PaaS-adattárak Azure Cosmos DB Igen - Azure Data Explorer - - Azure Data Lake Gen1 Igen - Azure Database for MariaDB, MySQL, PostgreSQL Igen - Azure Files Igen - Azure Blob Storage és ADLS Gen2 Igen - Azure SQL DB, Azure Synapse Analytics, SQL ML Igen - Azure Key Vault (titkok/ kapcsolati karakterlánc beolvasásához) Igen - Egyéb PaaS/SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. Igen - Azure laaS SQL Server, Oracle stb. Igen - Helyszíni IaaS SQL Server, Oracle stb. Igen -
Kapcsolódó tartalom
További információt a következő kapcsolódó cikkekben talál: