String koneksi Storage
Azure Data Explorer dapat berinteraksi dengan layanan penyimpanan eksternal. Misalnya, Anda dapat membuat tabel eksternal Azure Storage untuk mengkueri data yang disimpan di penyimpanan eksternal.
Jenis penyimpanan eksternal berikut didukung:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Setiap jenis penyimpanan memiliki format string koneksi terkait yang digunakan untuk menjelaskan sumber daya penyimpanan dan cara mengaksesnya. Azure Data Explorer menggunakan format URI untuk menjelaskan sumber daya penyimpanan ini dan properti yang diperlukan untuk mengaksesnya, seperti kredensial keamanan.
Catatan
Layanan web HTTP yang tidak mengimplementasikan seluruh set API Azure Blob Storage tidak didukung, meskipun tampaknya berfungsi dalam beberapa skenario.
Template string koneksi penyimpanan
Setiap jenis penyimpanan memiliki format string koneksi yang berbeda. Lihat tabel berikut untuk template string koneksi untuk setiap jenis penyimpanan.
| Jenis penyimpanan | Skema | Template URI |
|---|---|---|
| Azure Blob Storage | https:// |
https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Azure Data Lake Storage Gen2 | https:// |
https://StorageAccountName.dfs.core.windows.net/Filesystem[/PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen2 | abfss:// |
abfss://Filesystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen1 | adl:// |
adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://BucketName.s3.RegionName.amazonaws.com/ObjectKey[CallerCredentials] |
Catatan
Untuk mencegah rahasia muncul dalam jejak, gunakan literal string yang dikaburkan.
Metode autentikasi penyimpanan
Untuk berinteraksi dengan penyimpanan eksternal nonpublik dari Azure Data Explorer, Anda harus menentukan sarana autentikasi sebagai bagian dari string koneksi penyimpanan eksternal. string koneksi menentukan sumber daya untuk diakses dan informasi autentikasinya.
Azure Data Explorer mendukung metode autentikasi berikut:
- Penyamaran
- Identitas terkelola
- Kunci Akses Bersama (SAS)
- Microsoft Entra token akses
- Kunci akses akun penyimpanan
- Kunci Akses Terprogram Amazon Web Services
- URL yang telah ditandatangani Amazon Web Services S3
Autentikasi yang didukung menurut jenis penyimpanan
Tabel berikut ini meringkas metode autentikasi yang tersedia untuk berbagai jenis penyimpanan eksternal.
| Metode autentikasi | Tersedia di penyimpanan Blob? | Tersedia di Azure Data Lake Storage Gen 2? | Tersedia di Azure Data Lake Storage Gen 1? | Tersedia pada Amazon S3? | Kapan sebaiknya Anda menggunakan ini? |
|---|---|---|---|---|---|
| Penyamaran | ✔️ | ✔️ | ✔️ | ❌ | Gunakan untuk alur berpengawasan saat Anda memerlukan kontrol akses yang kompleks atas penyimpanan eksternal. Misalnya, dalam alur ekspor berkelanjutan. Anda juga dapat membatasi akses penyimpanan di tingkat pengguna. |
| Identitas terkelola | ✔️ | ✔️ | ✔️ | ❌ | Gunakan dalam alur yang tidak diawasi, di mana tidak ada Microsoft Entra utama yang dapat diturunkan untuk menjalankan kueri dan perintah. Identitas terkelola adalah satu-satunya solusi autentikasi. |
| Kunci Akses Bersama (SAS) | ✔️ | ✔️ | ❌ | ❌ | Token SAS memiliki waktu kedaluwarsa. Gunakan saat mengakses penyimpanan untuk waktu yang terbatas. |
| Microsoft Entra token akses | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra token memiliki waktu kedaluwarsa. Gunakan saat mengakses penyimpanan untuk waktu yang terbatas. |
| Kunci akses akun penyimpanan | ✔️ | ✔️ | ❌ | ❌ | Ketika Anda perlu mengakses sumber daya secara berkelanjutan. |
| Kunci Akses Terprogram Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Ketika Anda perlu mengakses sumber daya Amazon S3 secara berkelanjutan. |
| URL yang telah ditandatangani Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Saat Anda perlu mengakses sumber daya Amazon S3 dengan URL pra-penanda sementara. |
Peniruan
Azure Data Explorer meniru identitas utama pemohon untuk mengakses sumber daya. Untuk menggunakan peniruan identitas, tambahkan ;impersonate ke string koneksi.
| Contoh |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Prinsipal harus memiliki izin yang diperlukan untuk melakukan operasi. Misalnya dalam Azure Blob Storage, untuk membaca dari blob, prinsipal membutuhkan peran Pembaca Data Blob Penyimpanan dan untuk mengekspor ke blob, perwakilan membutuhkan peran Kontributor Data Blob Penyimpanan. Untuk mempelajari selengkapnya, lihat kontrol akses Azure Blob Storage/Data Lake Storage Gen2 atau kontrol akses Data Lake Storage Gen1.
Identitas Terkelola
Azure Data Explorer membuat permintaan atas nama identitas terkelola dan menggunakan identitasnya untuk mengakses sumber daya. Untuk identitas terkelola yang ditetapkan sistem, tambahkan ;managed_identity=system ke string koneksi. Untuk identitas terkelola yang ditetapkan pengguna, tambahkan ;managed_identity={object_id} ke string koneksi.
| Jenis identitas terkelola | Contoh |
|---|---|
| Ditetapkan sistem | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Ditetapkan pengguna | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Identitas terkelola harus memiliki izin yang diperlukan untuk melakukan operasi. Misalnya dalam Azure Blob Storage, untuk membaca dari blob, identitas terkelola memerlukan peran Pembaca Data Blob Penyimpanan dan untuk mengekspor ke blob, identitas terkelola memerlukan peran Kontributor Data Blob Penyimpanan. Untuk mempelajari selengkapnya, lihat kontrol akses Azure Blob Storage/Data Lake Storage Gen2 atau kontrol akses Data Lake Storage Gen1.
Catatan
Identitas terkelola hanya didukung dalam alur Data Explorer Azure tertentu dan memerlukan pengaturan kebijakan identitas terkelola. Untuk informasi selengkapnya, lihat Ringkasan identitas terkelola.
Token Akses Bersama (SAS)
Dalam portal Azure, buat token SAS dengan izin yang diperlukan.
Misalnya, untuk membaca dari penyimpanan eksternal, tentukan izin Baca dan Daftar dan untuk mengekspor ke penyimpanan eksternal tentukan izin Tulis. Untuk mempelajari selengkapnya, lihat mendelegasikan akses dengan menggunakan tanda tangan akses bersama.
Gunakan URL SAS sebagai string koneksi.
| Contoh |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra token akses
Untuk menambahkan token akses Microsoft Entra yang dikodekan base-64, tambahkan ;token={AadToken} ke string koneksi. Token harus untuk sumber daya https://storage.azure.com/.
Untuk informasi selengkapnya tentang cara membuat token akses Microsoft Entra, lihat mendapatkan token akses untuk otorisasi.
| Contoh |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Kunci akses akun penyimpanan
Untuk menambahkan kunci akses akun penyimpanan, tambahkan kunci ke string koneksi. Di Azure Blob Storage, tambahkan ;{key} ke string koneksi. Untuk Azure Data Lake Storage Gen 2, tambahkan ;sharedkey={key} ke string koneksi.
| Akun penyimpanan | Contoh |
|---|---|
| Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Kunci akses terprogram Amazon Web Services
Untuk menambahkan kunci akses AWS, sematkan ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} pada string koneksi.
| Contoh |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
URL yang telah ditandatangani Amazon Web Services S3
Gunakan URL yang telah ditetapkan S3 sebagai string koneksi.
| Contoh |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk