Gestione connessione di Archiviazione di Azure
Si applica a: SQL Server SSIS Integration Runtime in Azure Data Factory
La gestione connessione di Archiviazione di Azure consente a un pacchetto SSIS di SQL Server di connettersi a un account di Archiviazione di Azure. La gestione connessione è un componente del Feature Pack di SQL Server Integration Services (SSIS) per Azure.
Nella finestra di dialogo Aggiungi gestione connessione SSIS selezionare AzureStorage>Aggiungi.
Sono disponibili le proprietà seguenti.
- Servizio: specifica il servizio di archiviazione a cui connettersi.
- Nome dell'account: specifica il nome dell'account di archiviazione.
- Autenticazione: specifica il metodo di autenticazione da usare. Sono supportate le autenticazioni AccessKey, ServicePrincipal e SharedAccessSignature.
- AccessKey: per questo metodo di autenticazione, specificare la chiave dell'account.
- ServicePrincipal: per questo metodo di autenticazione, specificare l'ID applicazione, la chiave applicazione e l'ID tenant per l'entità servizio. Per il funzionamento di Test connessione, all'entità servizio deve essere assegnato almeno il Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione per l'account di archiviazione. Per altre informazioni, vedere Concedere l'accesso ai dati dei BLOB e delle code di Azure con il controllo degli accessi in base al ruolo nel portale di Azure.
- SharedAccessSignature: per questo metodo di autenticazione, specificare almeno il token della firma di accesso condiviso. Per testare la connessione, specificare anche l'ambito della risorsa in cui eseguire il test. Potrebbe essere il servizio, il contenitore o il BLOB. Per il contenitore e il BLOB, specificare rispettivamente il nome del contenitore e il percorso del BLOB. Per altre informazioni, vedere Panoramica della firma di accesso condiviso di Archiviazione di Azure.
- Ambiente: specifica l'ambiente cloud che ospita l'account di archiviazione.
Nota
Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).
Identità gestite per l'autenticazione delle risorse di Azure
Quando si eseguono pacchetti SSIS in Azure-SSIS Integration Runtime (IR) in Azure Data Factory (ADF), è possibile usare l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory per accedere ad Archiviazione di Azure. L'istanza di Azure-SSIS IR può accedere e copiare dati da o nell'account di archiviazione usando questa identità gestita.
Nota
Quando si esegue l'autenticazione con un'identità gestita assegnata dall'utente, SSIS Integration Runtime deve essere abilitato per l'autenticazione con la stessa identità. Per altre informazioni, vedere Abilitare l'autenticazione di Microsoft Entra per Azure-SSIS Integration Runtime.
Per informazioni generali sull'autenticazione per Archiviazione di Azure, vedere l'articolo Autenticare l'accesso all'Archiviazione di Azure tramite Microsoft Entra ID. Per utilizzare l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory per accedere ad Archiviazione di Azure, seguire la seguente procedura:
Trovare l'identità gestita per Azure Data Factory dal portale di Azure.. Visualizzare le Proprietà della data factory. Copiare l'ID applicazione dell'identità gestita, non l'ID oggetto identità gestita.
Concedere all'identità gestita per Azure Data Factory le autorizzazioni necessarie per accedere ad Archiviazione di Azure. Per informazioni dettagliate sui ruoli, vedere l'articolo Gestire i diritti di accesso ai dati di Archiviazione di Azure con il controllo degli accessi in base al ruolo.
- Come origine in Controllo di accesso (IAM) concedere almeno il Ruolo con autorizzazioni di lettura per i dati dei BLOB di archiviazione.
- Come destinazione in Controllo di accesso (IAM) concedere almeno il ruolo Collaboratore ai dati dei BLOB di archiviazione.
È infine possibile configurare l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory nella gestione connessione di Archiviazione di Azure. Sono disponibili le opzioni seguenti:
Configurare in fase di progettazione. In Progettazione SSIS fare doppio clic sulla gestione connessione di Archiviazione di Azure per aprire l'editor gestione connessione di Archiviazione di Azure. Selezionare l'opzione Usa l'identità gestita per l'autenticazione in Azure.
Nota
Quando si esegue il pacchetto in Progettazione SSIS o in SQL Server, la proprietà di gestione connessione
ConnectUsingManagedIdentity
non ha effetto, indicando che l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory non funziona.Configurare in fase di esecuzione. Quando si esegue il pacchetto tramite SQL Server Management Studio (SSMS) o l'attività Esegui pacchetto SSIS nella pipeline di Azure Data Factory, individuare la gestione connessione di Archiviazione di Azure e aggiornarne la proprietà
ConnectUsingManagedIdentity
inTrue
.Nota
In Azure-SSIS IR tutti gli altri metodi di autenticazione, ad esempio, sicurezza integrata e password, preconfigurati nella gestione connessione di Archiviazione di Azure vengono sostituiti quando si usa l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory.
Per configurare l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory nei pacchetti esistenti, il modo migliore è ricostruire il progetto SSIS con la versione più recente di Progettazione SSIS almeno una volta. Ridistribuire il progetto SSIS per l'esecuzione in Azure-SSIS IR, in modo che la nuova proprietà ConnectUsingManagedIdentity
di gestione connessione venga aggiunta automaticamente a tutte le gestioni connessione di Archiviazione di Azure nel progetto. In alternativa, è possibile usare direttamente l'override della proprietà con il percorso della proprietà \Package.Connections[{nome di gestione connessione}].Properties[ConnectUsingManagedIdentity] assegnato aTrue
in fase di esecuzione.
Proteggere il traffico di rete verso l'account di archiviazione
Quando si usa l'autenticazione di Microsoft Entra con l'identità gestita di Azure Data Factory, è possibile aggiungere Azure-SSIS Integration Runtime a una rete virtuale, quindi proteggere l'account di archiviazione limitando l'accesso alle reti selezionate o all'endpoint privato. Per istruzioni, vedere l'articolo Gestione delle eccezioni.