Tárfiók-hozzáférés szabályozása kiszolgáló nélküli SQL-készlethez az Azure Synapse Analyticsben

A kiszolgáló nélküli SQL-készlet lekérdezései közvetlenül az Azure Storage-ból olvassák be a fájlokat. Az Azure Storage-fájlok elérésére vonatkozó engedélyek két szinten vannak szabályozva:

• Tárolási szint – A felhasználónak engedéllyel kell rendelkeznie a mögöttes tárolófájlok eléréséhez. A tárolási rendszergazdának engedélyeznie kell a Microsoft Entra-tag számára a fájlok olvasását/írását, vagy közös hozzáférésű jogosultságkód (SAS) kulcsot kell létrehoznia, amelyet a tárterület eléréséhez használnak.
• SQL szolgáltatásszint – A felhasználónak engedélyt kellett adnia az adatok külső tábla használatával történő olvasására vagy a OPENROWSET függvény végrehajtására. A szükséges engedélyekről ebben a szakaszban tájékozódhat bővebben.

Ez a cikk a használható hitelesítő adatok típusait és a hitelesítő adatok keresésének módját ismerteti az SQL- és a Microsoft Entra-felhasználók számára.

Tárolóengedélyek

A Synapse Analytics-munkaterület kiszolgáló nélküli SQL-készletei beolvashatják az Azure Data Lake Storage-ban tárolt fájlok tartalmát. A tárolási engedélyeket úgy kell konfigurálnia, hogy egy SQL-lekérdezést végrehajtó felhasználó elolvashassa a fájlokat. A fájlokhoz való hozzáférés engedélyezésének három módja van:

• A szerepköralapú hozzáférés-vezérlés (RBAC) lehetővé teszi, hogy szerepkört rendeljen egy Microsoft Entra-felhasználóhoz abban a bérlőben, ahol a tárterület található. Az olvasónak tagja kell lennie a Tárblobadat-olvasó, a Storage Blob-adatszolgáltató vagy a Tárblobadat-tulajdonos szerepkörnek a tárfiókban. Az Azure Storage-ban adatokat író felhasználónak a Storage Blob Data Közreműködő vagy a Storage Blob Data Owner szerepkör tagjának kell lennie. A Tártulajdonos szerepkör nem jelenti azt, hogy a felhasználó egyben Storage-adattulajdonos is.
• A hozzáférés-vezérlési listák (ACL) segítségével részletes Olvasási (R), Write(W) és Execute(X) engedélyeket határozhat meg az Azure Storage-ban található fájlokra és könyvtárakra. Az ACL-t hozzárendelheti a Microsoft Entra felhasználóihoz. Ha az olvasók egy Azure Storage-beli elérési úton szeretnének olvasni egy fájlt, akkor Execute(X) ACL-lel kell rendelkezniük a fájl elérési útjának minden mappájához, és Read(R) ACL-lel a fájlhoz. További információ az ACL-engedélyek tárolási rétegen való beállításáról.
• A közös hozzáférésű jogosultságkód (SAS) lehetővé teszi az olvasó számára az Azure Data Lake Storage fájljainak elérését az időkorlátos jogkivonat használatával. Az olvasót nem is kell Microsoft Entra-felhasználóként hitelesíteni. A SAS-token az olvasónak adott engedélyeket és a token érvényességi időintervallumát tartalmazza. Az SAS-jogkivonat jó választás az időkorlátos hozzáféréshez olyan felhasználók számára, amelyeknek nem is kell ugyanabban a Microsoft Entra-bérlőben lenniük. A SAS-token meghatározható a tárfiókra vagy adott könyvtárakra. További információk korlátozott hozzáférés biztosításáról az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok használatával.

Másik lehetőségként nyilvánosan elérhetővé teheti a fájlokat a névtelen hozzáférés engedélyezésével. Ezt a megközelítést NEM szabad használni abban az esetben, ha rendelkezik nem nyilvános adatokkal.

Támogatott tárterület-engedélyezési típusok

A kiszolgáló nélküli SQL-készletbe bejelentkezett felhasználóknak engedélyezni kell a fájlok elérését és lekérdezését az Azure Storage-ban, ha a fájlok nem érhetők el nyilvánosan. A nem nyilvános tárolóhoz négy engedélyezési típus használható: felhasználói identitás, közös hozzáférésű jogosultságkód, szolgáltatásnév és felügyelt identitás.

Megjegyzés:

Munkaterület létrehozásakor a Microsoft Entra átengedése az alapértelmezett viselkedés.

Felhasználói identitás

A felhasználói identitás, más néven a "Microsoft Entra átengedése" olyan engedélyezési típus, amelyben a kiszolgáló nélküli SQL-készletbe bejelentkezett Microsoft Entra-felhasználó identitását használják az adathozzáférés engedélyezéséhez. Az adatok elérése előtt az Azure Storage-rendszergazdának engedélyeket kell adnia a Microsoft Entra-felhasználónak. Ahogy az adatbázis-felhasználók táblájának támogatott engedélyezési típusai is jelzik, az SQL-felhasználó típusa nem támogatott.

Fontos

Előfordulhat, hogy az ügyfélalkalmazások gyorsítótáraznak egy Microsoft Entra hitelesítési jogkivonatot. A Power BI például gyorsítótárazza a Microsoft Entra-jogkivonatokat, és egy órán keresztül újra felhasználja ugyanazt a jogkivonatot. A hosszú ideig futó lekérdezések meghiúsulhatnak, ha a jogkivonat a lekérdezés végrehajtásának közepén lejár. Ha a lekérdezés közepén lejáró Microsoft Entra hozzáférési jogkivonat által okozott lekérdezési hibákat tapasztal, fontolja meg a szolgáltatásnévre, a felügyelt identitásra vagy a közös hozzáférésű jogosultságkódra való váltást.

Az adatok eléréséhez a Storage Blob Data Owner, a Storage Blob Data Contributor vagy a Storage Blob Data Reader szerepkör tagjának kell lennie. Másik lehetőségként részletes ACL-szabályokat is megadhat a fájlok és mappák eléréséhez. Még ha Ön is egy tárfiók tulajdonosa, akkor is hozzá kell adnia magát a Storage Blob-adatok egyik szerepköréhez. Ha többet szeretne megtudni az Azure Data Lake Store Gen2 hozzáférés-vezérléséről, tekintse át az Azure Data Lake Storage Gen2-ben található hozzáférés-vezérlést.

Közös hozzáférésű jogosultságkód

A közös hozzáférésű jogosultságkód (SAS) delegált hozzáférést biztosít a tárfiók erőforrásaihoz. Az SAS használatával az ügyfelek hozzáférést biztosíthatnak az ügyfeleknek egy tárfiók erőforrásaihoz a fiókkulcsok megosztása nélkül. Az SAS részletes vezérlést biztosít az SAS-sel rendelkező ügyfelek számára biztosított hozzáférés típusa felett, beleértve az érvényességi időtartamot, a megadott engedélyeket, az elfogadható IP-címtartományt és az elfogadható protokollt (https/http).

SAS-jogkivonatot az Azure Portalra lépve szerezhet be –> Tárfiók –> Közös hozzáférésű jogosultságkód –> Engedélyek konfigurálása –> SAS és kapcsolati sztring létrehozása.

Fontos

Közös hozzáférésű jogosultságkód (SAS) jogkivonat létrehozásakor a jogkivonat elején egy kérdőjel (?) szerepel. A jogkivonat kiszolgáló nélküli SQL-készletben való használatához el kell távolítania a kérdőjelet (?) a hitelesítő adatok létrehozásakor. Például:

SAS-jogkivonat: ?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHcEIq78%3D

Az SAS-token használatával történő hozzáférés engedélyezéséhez egy olyan hitelesítő adatot kell létrehoznia, amelynek a hatóköre az adatbázis vagy a kiszolgáló

Fontos

Az SAS-jogkivonattal nem férhet hozzá a privát tárfiókokhoz. Fontolja meg a felügyelt identitásra vagy a Microsoft Entra átmenő hitelesítésére való váltást a védett tárterület eléréséhez.

Egyszerű szolgáltatás

A szolgáltatásnév egy globális alkalmazásobjektum helyi reprezentációja egy adott Microsoft Entra-bérlőben. Ez a hitelesítési módszer akkor megfelelő, ha a tárterület-hozzáférést engedélyezni kell egy felhasználói alkalmazáshoz, szolgáltatáshoz vagy automatizálási eszközhöz. További információ a Microsoft Entra ID szolgáltatásnevekről: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra ID-ban.

Az alkalmazást regisztrálni kell a Microsoft Entra-azonosítóban. A regisztrációs folyamattal kapcsolatos további információkért kövesse a rövid útmutatót: Alkalmazás regisztrálása a Microsoft Identitásplatform. Az alkalmazás regisztrálása után a szolgáltatásnév használható az engedélyezéshez.

A szolgáltatásnevet hozzá kell rendelni a Storage Blob Data Owner, a Storage Blob Data Contributor és a Storage Blob Data Reader szerepkörhöz, hogy az alkalmazás hozzáférhessen az adatokhoz. Még ha a szolgáltatásnév egy tárfiók tulajdonosa is, akkor is megfelelő storage blobadat-szerepkört kell biztosítani neki. A tárfájlokhoz és mappákhoz való hozzáférés alternatív módjaként a szolgáltatásnévre vonatkozó részletes ACL-szabályok definiálhatók.

Ha többet szeretne megtudni az Azure Data Lake Store Gen2 hozzáférés-vezérléséről, tekintse át az Azure Data Lake Storage Gen2 hozzáférés-vezérlését.

Felügyelt szolgáltatás identitása

A felügyelt szolgáltatásidentitást vagy felügyelt identitást MSI-nek is nevezik. Az MSI a Microsoft Entra ID szolgáltatása, amely Azure-szolgáltatásokat biztosít egy Azure-szolgáltatásnak, ebben az esetben a kiszolgáló nélküli SQL-készlethez. Az MSI automatikusan létrejön a Microsoft Entra-azonosítóban. Ezzel az identitással engedélyezheti az adathozzáférési kérést az Azure Storage-ban.

Az adatok elérése előtt az Azure Storage-rendszergazdának engedélyeket kell adnia a felügyelt szolgáltatás identitásához az adatok eléréséhez. Az MSI-engedélyek megadása ugyanúgy történik, mint bármely más Microsoft Entra-felhasználó engedélyének megadása.

Névtelen hozzáférés

Az Azure Storage-fiókokban elhelyezett nyilvánosan elérhető fájlokhoz hozzáférhet, amelyek lehetővé teszik a névtelen hozzáférést.

Bérlők közötti forgatókönyvek

Azokban az esetekben, amikor az Azure Storage a Synapse kiszolgáló nélküli SQL-készletétől eltérő bérlőben van, a szolgáltatásnévn keresztüli engedélyezés ajánlott módszer. SAS-engedélyezés is lehetséges, míg a felügyelt identitás nem támogatott.

Engedélyezési típus	Tűzfallal védett tároló	nem tűzfallal védett tároló
SAS	Támogatott	Támogatott
Szolgáltatásnév	Nem támogatott	Támogatott

Megjegyzés:

Ha az Azure Storage-t Azure Storage-tűzfal védi, a szolgáltatásnév nem támogatott.

Támogatott engedélyezési típusok adatbázis-felhasználók számára

Az alábbi táblázat a különböző bejelentkezési metódusokhoz elérhető Azure Storage-engedélyezési típusokat biztosít egy kiszolgáló nélküli Azure Synapse Analytics SQL-végponton:

Engedélyezés típusa	SQL-felhasználó	Microsoft Entra-felhasználó	Egyszerű szolgáltatás
Felhasználói identitás	Nem támogatott	Támogatott	Támogatott
SAS	Támogatott	Támogatott	Támogatott
Egyszerű szolgáltatás	Támogatott	Támogatott	Támogatott
Felügyelt identitás	Támogatott	Támogatott	Támogatott

Támogatott tárolók és engedélyezési típusok

Az engedélyezési típusok és az Azure Storage-típusok alábbi kombinációit használhatja:

Engedélyezés típusa	Blob Storage	ADLS Gen1	ADLS Gen2
SAS	Támogatott	Nem támogatott	Támogatott
Egyszerű szolgáltatás	Támogatott	Támogatott	Támogatott
Felügyelt identitás	Támogatott	Támogatott	Támogatott
Felhasználói identitás	Támogatott	Támogatott	Támogatott

Bérlők közötti forgatókönyvek

Azokban az esetekben, amikor az Azure Storage az Azure Synapse Analytics kiszolgáló nélküli SQL-készletétől eltérő bérlőben van, a szolgáltatásnévn keresztüli engedélyezés ajánlott módszer. Közös hozzáférésű jogosultságkód-engedélyezés is lehetséges. A felügyelt szolgáltatás identitása nem támogatott.

Engedélyezési típus	Tűzfallal védett tároló	nem tűzfallal védett tároló
SAS	Támogatott	Támogatott
Egyszerű szolgáltatás	Nem támogatott	Támogatott

Megjegyzés:

Ha az Azure Storage-t egy Azure Storage-tűzfal védi, és egy másik bérlőben van, a szolgáltatásnév nem támogatott. Ehelyett használjon közös hozzáférésű jogosultságkódot (SAS).

Tűzfallal védett tároló

Egy erőforráspéldány-szabály létrehozásával konfigurálhatja a tárfiókokat egy adott kiszolgáló nélküli SQL-készlethez való hozzáférés engedélyezéséhez. A tűzfallal védett tároló elérésekor használja a felhasználói identitást vagy a felügyelt identitást.

Megjegyzés:

Az Azure Storage tűzfalfunkciója nyilvános előzetes verzióban érhető el, és minden nyilvános felhőrégióban elérhető.

Az alábbi táblázat az Azure Synapse Analytics kiszolgáló nélküli SQL-végpontjába való különböző bejelentkezési metódusokhoz nyújt elérhető tűzfalvédett Azure Storage-engedélyezési típusokat:

Engedélyezés típusa	SQL-felhasználó	Microsoft Entra-felhasználó	Egyszerű szolgáltatás
Felhasználói identitás	Nem támogatott	Támogatott	Támogatott
SAS	Nem támogatott	Nem támogatott	Nem támogatott
Egyszerű szolgáltatás	Nem támogatott	Nem támogatott	Nem támogatott
Felügyelt identitás	Támogatott	Támogatott	Támogatott

Felhasználói identitás

Ha felhasználói identitáson keresztül szeretné elérni a tűzfallal védett tárolót, használhatja az Azure Portalt vagy az Az.Storage PowerShell-modult.

Azure Storage-tűzfal konfigurálása az Azure Portalon keresztül

1. Keresse meg a tárfiókot az Azure Portalon.
2. A fő navigációs menüben válassza a Hálózatkezelés lehetőséget a Gépház alatt.
3. Az Erőforráspéldányok szakaszban adjon hozzá egy kivételt az Azure Synapse-munkaterülethez.
4. Válassza ki Microsoft.Synapse/workspaces erőforrástípusként.
5. Válassza ki a munkaterület nevét példánynévként.
6. Válassza a Mentés parancsot.

Az Azure Storage tűzfalkonfigurációja a PowerShell használatával

Ezeket a lépéseket követve konfigurálhatja a tárfiókot, és kivételt adhat az Azure Synapse-munkaterülethez.

1. Nyissa meg a PowerShellt, vagy telepítse a PowerShellt.

2. Telepítse az Az.Storage modul és az Az.Synapse modul legújabb verzióit, például a következő szkriptben:

   Install-Module -Name Az.Storage -RequiredVersion 3.4.0
   Install-Module -Name Az.Synapse -RequiredVersion 0.7.0
   

   Fontos

   Győződjön meg arról, hogy legalább a 3.4.0-s verziót használja. Az Az.Storage-verziót a következő paranccsal ellenőrizheti:

   Get-Module -ListAvailable -Name Az.Storage | Select Version
   

3. Csatlakozás az Azure-bérlőhöz:

   Connect-AzAccount
   

4. Változók definiálása a PowerShellben:

   • Erőforráscsoport neve – ezt az Azure Portalon találja a tárfiók áttekintésében .
   • Fiók neve – a tűzfalszabályok által védett tárfiók neve.
   • Bérlőazonosító – ezt az Azure Portalon, a Microsoft Entra ID-ban, a Tulajdonságok területen, a Bérlő tulajdonságai területen találja.
   • Munkaterület neve – Az Azure Synapse-munkaterület neve.

       $resourceGroupName = "<resource group name>"
       $accountName = "<storage account name>"
       $tenantId = "<tenant id>"
       $workspaceName = "<Azure Synapse workspace name>"
   
       $workspace = Get-AzSynapseWorkspace -Name $workspaceName
       $resourceId = $workspace.Id
       $index = $resourceId.IndexOf("/resourceGroups/", 0)
       # Replace G with g - /resourceGroups/ to /resourcegroups/
       $resourceId = $resourceId.Substring(0,$index) + "/resourcegroups/" ` 
           + $resourceId.Substring($index + "/resourceGroups/".Length)
   
       $resourceId
   

   Fontos

   A PowerShell-szkript által visszaadott értéknek $resourceid meg kell egyeznie a sablonnal: /subscriptions/{subscription-id}/resourcegroups/{resource-group}/providers/Microsoft.Synapse/workspaces/{name-of-workspace}Fontos, hogy kisbetűs erőforráscsoportokat írjon.

5. Azure Storage-fiók hálózati szabályának hozzáadása:

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
           TenantId = $tenantId 
           ResourceId = $resourceId
       }
   
       Add-AzStorageAccountNetworkRule @parameters
   

6. Ellenőrizze, hogy a tárfiók hálózati szabálya alkalmazva lett-e a tárfiók tűzfalán. Az alábbi PowerShell-szkript az $resourceid előző lépések változóját hasonlítja össze a tárfiók hálózati szabályának kimenetével.

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
       }
   
       $rule = Get-AzStorageAccountNetworkRuleSet @parameters
       $rule.ResourceAccessRules | ForEach-Object { 
           if ($_.ResourceId -cmatch "\/subscriptions\/(\w\-*)+\/resourcegroups\/(.)+") { 
               Write-Host "Storage account network rule is successfully configured." -ForegroundColor Green
               $rule.ResourceAccessRules
           } else {
               Write-Host "Storage account network rule is not configured correctly. Remove this rule and follow the steps in detail." -ForegroundColor Red
               $rule.ResourceAccessRules
           }
       }
   

Közös hozzáférésű jogosultságkód

A megosztott hozzáférésű jogosultságkódok nem használhatók tűzfallal védett tárolók eléréséhez.

Egyszerű szolgáltatás

A szolgáltatásnév nem használható tűzfallal védett tároló eléréséhez. Ehelyett használjon felügyeltszolgáltatás-identitást.

Felügyelt szolgáltatás identitása

Engedélyeznie kell a Megbízható Microsoft-szolgáltatások engedélyezése beállítást, és hozzá kell rendelnie egy Azure-szerepkört az adott erőforráspéldány rendszer által hozzárendelt felügyelt identitásához.

Ebben az esetben az erőforráspéldány hozzáférési hatóköre a felügyelt identitáshoz rendelt Azure-szerepkörnek felel meg.

Névtelen hozzáférés

Névtelen hozzáféréssel nem férhet hozzá a tűzfal által védett tárolóhoz.

Hitelesítő adatok

Az Azure Storage-ban található fájlok lekérdezéséhez a kiszolgáló nélküli SQL-készlet végpontjának olyan hitelesítő adatokra van szüksége, amely tartalmazza a hitelesítési adatokat. Kétféle hitelesítő adatot használunk:

• A kiszolgálószintű hitelesítő adatok a függvény használatával OPENROWSET végrehajtott alkalmi lekérdezésekhez használatosak. A hitelesítő adatok nevének meg kell egyeznie a tár URL-címével.
• Külső táblákhoz adatbázis-hatókörű hitelesítő adatokat használunk. Külső táblahivatkozások DATA SOURCE a tároló eléréséhez használandó hitelesítő adatokkal.

Engedélyek megadása hitelesítő adatok kezeléséhez

Hitelesítő adatok kezelésének engedélyezése:

• Ahhoz, hogy a felhasználó kiszolgálószintű hitelesítő adatokat hozzon létre vagy elvetjen, a rendszergazdának engedélyt kell adnia a ALTER ANY CREDENTIAL főadatbázisban való bejelentkezésre. Például:

  GRANT ALTER ANY CREDENTIAL TO [login_name];
  

• Ahhoz, hogy egy felhasználó létrehozhasson vagy elvetjen egy adatbázis-hatókörű hitelesítő adatot, a rendszergazdának meg kell adnia az CONTROL adatbázis engedélyét a felhasználói adatbázisban lévő adatbázis-felhasználónak. Például:

  GRANT CONTROL ON DATABASE::[database_name] TO [user_name];
  

Hitelesítő adatok használatára vonatkozó engedélyek megadása

A külső tárolóhoz hozzáférő adatbázis-felhasználóknak rendelkezniük kell a hitelesítő adatok használatára való jogosultsággal. A hitelesítő adatok használatához a felhasználónak rendelkeznie kell egy REFERENCES adott hitelesítő adat engedélyével.

Ha kiszolgálószintű hitelesítő adatokhoz szeretne engedélyt adni REFERENCES egy bejelentkezéshez, használja a következő T-SQL-lekérdezést a főadatbázisban:

GRANT REFERENCES ON CREDENTIAL::[server-level_credential] TO [login_name];

Ha adatbázis-hatókörű hitelesítő adatokra szeretne engedélyt adni REFERENCES egy adatbázis-felhasználó számára, használja a következő T-SQL-lekérdezést a felhasználói adatbázisban:

GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[database-scoped_credential] TO [user_name];

Kiszolgálószintű hitelesítő adatok

A kiszolgálószintű hitelesítő adatok akkor használatosak, ha egy SQL-bejelentkezési hívás a tárfiók fájljainak olvasása nélkül DATA_SOURCE működikOPENROWSET.

A kiszolgálószintű hitelesítő adatok nevének meg kell egyeznie az Azure Storage alap URL-címével, amelyet opcionálisan egy tárolónév követ. A rendszer hozzáad egy hitelesítő adatot a CREATE CREDENTIAL futtatásával. Meg kell adnia az argumentumot CREDENTIAL NAME .

Megjegyzés:

Az FOR CRYPTOGRAPHIC PROVIDER argumentum nem támogatott.

A kiszolgálószintű HITELESÍTŐ ADATOK nevének meg kell egyeznie a következő formátummal: <prefix>://<storage_account_path>[/<container_name>]. A tárfiók elérési útjait az alábbi táblázat ismerteti:

Külső adatforrás	Előtag	Tárfiók elérési útja
Azure Blob Storage	https	<storage_account>.blob.core.windows.net
1. generációs Azure Data Lake Storage	https	<storage_account>.azuredatalakestore.net/webhdfs/v1
Azure Data Lake Storage Gen2	https	<storage_account>.dfs.core.windows.net

A kiszolgálószintű hitelesítő adatok ezután a következő hitelesítési típusokkal férhetnek hozzá az Azure Storage-hoz:

Felhasználói identitás

A Microsoft Entra-felhasználók bármely fájlhoz hozzáférhetnek az Azure Storage-ban, ha a Storage Blob Data Owner, a Storage Blob Data Contributor vagy a Storage Blob Data Reader szerepkör tagjai. A Microsoft Entra-felhasználóknak nincs szükségük hitelesítő adatokra a tárterület eléréséhez.

Az SQL által hitelesített felhasználók nem használhatják a Microsoft Entra-hitelesítést a tároló eléréséhez. A tárterületet egy adatbázis hitelesítő adatain keresztül érhetik el felügyelt identitással, SAS-kulcssal, szolgáltatásnévvel, vagy ha nyilvános hozzáférés van a tárhoz.

Közös hozzáférésű jogosultságkód

A következő szkript létrehoz egy kiszolgálószintű hitelesítő adatokat, amelyet a függvény használhat az OPENROWSET Azure Storage bármely fájljának SAS-jogkivonattal való eléréséhez. Ezt a hitelesítő adatot úgy hozhatja létre, hogy egy SQL-tag a függvény használatával OPENROWSET olvashassa az Azure Storage SAS-kulccsal védett fájljait. A hitelesítő adatok nevének meg kell egyeznie az URL-címével.

A következő minta lekérdezésben cserélje le <mystorageaccountname> a tényleges tárfiók nevére és <mystorageaccountcontainername> a tényleges tárolónévre:

CREATE CREDENTIAL [https://<mystorageaccountname>.dfs.core.windows.net/<mystorageaccountcontainername>]
WITH IDENTITY='SHARED ACCESS SIGNATURE'
, SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1BrIPBNJ3VYEIq78%3D';
GO

Opcionálisan csak a tárfiók alap URL-címét használhatja tárolónév nélkül.

Egyszerű szolgáltatás

A következő szkript létrehoz egy kiszolgálószintű hitelesítő adatot, amely a szolgáltatásnév használatával használható fájlok eléréséhez a hitelesítéshez és az engedélyezéshez. Az AppID az Azure Portal Alkalmazásregisztrációk felkeresésével és a tárterület-hozzáférést kérő alkalmazás kiválasztásával érhető el. A titkos kód az alkalmazásregisztráció során lesz lekért. A AuthorityUrl a Microsoft Entra ID Oauth2.0 szolgáltató URL-címe.

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'

Felügyelt identitás

A következő szkript létrehoz egy kiszolgálószintű hitelesítő adatokat, amely függvények segítségével OPENROWSET bármely Azure Storage-fájlhoz hozzáfér az Azure Synapse-munkaterület felügyelt identitásával, amely a felügyelt szolgáltatás identitásának egy speciális típusa.

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY='Managed Identity'

Opcionálisan csak a tárfiók alap URL-címét használhatja tárolónév nélkül.

Nyilvános hozzáférés

A nyilvánosan elérhető fájlokhoz való hozzáférés engedélyezéséhez nincs szükség kiszolgálószintű hitelesítő adatokra. Hozzon létre hitelesítő adatok nélküli adatforrást az Azure Storage nyilvánosan elérhető fájljainak eléréséhez.

Adatbázis-hatókörű hitelesítő adatok

Az adatbázis-hatókörű hitelesítő adatok akkor használatosak, ha az egyszerű hívások OPENROWSET olyan külső táblából származó adatokkal DATA_SOURCE működnek, amelyek nem férnek hozzá a nyilvános fájlokhoz. Az adatbázis hatókörébe tartozó hitelesítő adatoknak nem kell egyeznie a tárfiók nevével, a tároló helyét meghatározó ADATFORRÁSban hivatkoznak rá.

Az adatbázis-hatókörű hitelesítő adatok az alábbi hitelesítési típusok használatával teszik lehetővé az Azure Storage-hoz való hozzáférést:

Microsoft Entra-identitás

A Microsoft Entra-felhasználók bármely fájlhoz hozzáférhetnek az Azure Storage-ban, ha tagjai a Storage Blob-adatok tulajdonosának, a Storage Blob-adatszolgáltatónak vagy a Storage Blob-adatolvasó szerepkörnek. A Microsoft Entra-felhasználóknak nincs szükségük hitelesítő adatokra a tárterület eléréséhez.

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
)

Az SQL által hitelesített felhasználók nem használhatják a Microsoft Entra-hitelesítést a tároló eléréséhez. A tárterületet egy adatbázis hitelesítő adatain keresztül érhetik el felügyelt identitással, SAS-kulcssal, szolgáltatásnévvel, vagy ha nyilvános hozzáférés van a tárhoz.

Közös hozzáférésű jogosultságkód

A következő szkript létrehoz egy hitelesítő adatot, amely a hitelesítő adatokban megadott SAS-jogkivonattal fér hozzá a tárolóban lévő fájlokhoz. A szkript létrehoz egy külső mintaadatforrást, amely ezt az SAS-jogkivonatot használja a tároló eléréséhez.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>'
GO
CREATE DATABASE SCOPED CREDENTIAL [SasToken]
WITH IDENTITY = 'SHARED ACCESS SIGNATURE',
     SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1KEIq78%3D';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SasToken
)

Egyszerű szolgáltatás

A következő szkript létrehoz egy adatbázis-hatókörű hitelesítő adatot, amely a tárban lévő fájlok hitelesítésre és engedélyezésre szolgáló szolgáltatásnév használatával való elérésére használható. Az AppID az Azure Portal Alkalmazásregisztrációk felkeresésével és a tárterület-hozzáférést kérő alkalmazás kiválasztásával érhető el. A titkos kód az alkalmazásregisztráció során lesz lekért. A AuthorityUrl a Microsoft Entra ID Oauth2.0 szolgáltató URL-címe.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>

CREATE DATABASE SCOPED CREDENTIAL [<CredentialName>] WITH
IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'
GO
CREATE EXTERNAL DATA SOURCE MyDataSource
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = CredentialName
)

Felügyelt identitás

A következő szkript létrehoz egy adatbázis-hatókörű hitelesítő adatot, amely az aktuális Microsoft Entra-felhasználónak a szolgáltatás felügyelt identitásaként való megszemélyesítésére használható. A szkript létrehoz egy külső mintaadatforrást, amely munkaterületi identitással fér hozzá a tárolóhoz.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>
CREATE DATABASE SCOPED CREDENTIAL SynapseIdentity
WITH IDENTITY = 'Managed Identity';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SynapseIdentity
)

Az adatbázis hatókörébe tartozó hitelesítő adatoknak nem kell egyeznie a tárfiók nevével, mert explicit módon használják a tárhelyet meghatározó ADATFORRÁSban.

Nyilvános hozzáférés

Az adatbázis hatókörébe tartozó hitelesítő adatok nem szükségesek a nyilvánosan elérhető fájlokhoz való hozzáférés engedélyezéséhez. Hozzon létre hitelesítő adatok nélküli adatforrást az Azure Storage nyilvánosan elérhető fájljainak eléréséhez.

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.blob.core.windows.net/<container>/<path>'
)

Az adatbázis hatókörébe tartozó hitelesítő adatok külső adatforrásokban vannak használva annak meghatározásához, hogy milyen hitelesítési módszert használnak a tár eléréséhez:

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = <name of database scoped credential> 
)

Példák

Nyilvánosan elérhető adatforrás elérése

A következő szkripttel hozzon létre egy táblát, amely hozzáfér a nyilvánosan elérhető adatforráshoz.

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat]
       WITH ( FORMAT_TYPE = PARQUET)
GO
CREATE EXTERNAL DATA SOURCE publicData
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<public_container>/<path>' )
GO

CREATE EXTERNAL TABLE dbo.userPublicData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [publicData],
       FILE_FORMAT = [SynapseParquetFormat] )

Az adatbázis-felhasználó az adatforrásból külső táblával vagy OPENROW Standard kiadás T függvénnyel olvashatja be a fájlok tartalmát, amely az adatforrásra hivatkozik:

SELECT TOP 10 * FROM dbo.userPublicData;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet',
                                DATA_SOURCE = 'mysample',
                                FORMAT='PARQUET') as rows;
GO

Adatforrás elérése hitelesítő adatokkal

Módosítsa a következő szkriptet egy külső tábla létrehozásához, amely SAS-jogkivonat, a felhasználó Microsoft Entra-identitása vagy a munkaterület felügyelt identitása használatával fér hozzá az Azure Storage-hoz.

-- Create master key in databases with some password (one-off per database)
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong password>'
GO

-- Create databases scoped credential that use Managed Identity, SAS token or service principal. User needs to create only database-scoped credentials that should be used to access data source:

CREATE DATABASE SCOPED CREDENTIAL WorkspaceIdentity
WITH IDENTITY = 'Managed Identity'
GO
CREATE DATABASE SCOPED CREDENTIAL SasCredential
WITH IDENTITY = 'SHARED ACCESS SIGNATURE', SECRET = 'sv=2019-10-1********ZVsTOL0ltEGhf54N8KhDCRfLRI%3D'
GO
CREATE DATABASE SCOPED CREDENTIAL SPNCredential WITH
IDENTITY = '**44e*****8f6-ag44-1890-34u4-22r23r771098@https://login.microsoftonline.com/**do99dd-87f3-33da-33gf-3d3rh133ee33/oauth2/token' 
, SECRET = '.7OaaU_454azar9WWzLL.Ea9ePPZWzQee~'
GO
-- Create data source that one of the credentials above, external file format, and external tables that reference this data source and file format:

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat] WITH ( FORMAT_TYPE = PARQUET)
GO

CREATE EXTERNAL DATA SOURCE mysample
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
-- Uncomment one of these options depending on authentication method that you want to use to access data source:
--,CREDENTIAL = WorkspaceIdentity 
--,CREDENTIAL = SasCredential 
--,CREDENTIAL = SPNCredential
)

CREATE EXTERNAL TABLE dbo.userData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [mysample],
       FILE_FORMAT = [SynapseParquetFormat] );

Az adatbázis-felhasználó az adatforrásból külső tábla vagy OPENROW Standard kiadás T függvény használatával olvashatja be a fájlok tartalmát, amely az adatforrásra hivatkozik:

SELECT TOP 10 * FROM dbo.userdata;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet', DATA_SOURCE = 'mysample', FORMAT='PARQUET') as rows;
GO

Következő lépések

Ezekkel a cikkekkel megtudhatja, hogyan kérdezhet le különböző mappatípusokat, fájltípusokat, és hogyan hozhat létre és használhat nézeteket:

• Egyetlen CSV-fájl lekérdezése
• Lekérdezési mappák és több CSV-fájl
• Adott fájlok lekérdezése
• Parquet-fájlok lekérdezése
• Nézetek létrehozása és használata
• JSON-fájlok lekérdezése
• Beágyazott lekérdezési parquet-típusok