Toegang tot opslagaccounts beheren voor serverloze SQL-pools in Azure Synapse Analytics

Bij een query van een serverloze SQL-pool worden bestanden rechtstreeks gelezen uit Azure Storage. Machtigingen voor toegang tot de bestanden in Azure Storage worden op twee niveaus bepaald:

• Opslagniveau: de gebruiker moet toegang hebben tot onderliggende opslagbestanden. Uw opslagbeheerder moet Microsoft Entra-principal toestaan om bestanden te lezen/schrijven of sas-sleutel (Shared Access Signature) te genereren die wordt gebruikt voor toegang tot opslag.
• SQL-serviceniveau: de gebruiker moet toestemming hebben gegeven om gegevens te lezen met behulp van een externe tabel of het uitvoeren van de functie OPENROWSET. U vindt meer informatie over de vereiste machtigingen in deze sectie.

In dit artikel worden de typen referenties beschreven die u kunt gebruiken en hoe referentiezoekacties worden uitgevoerd voor SQL- en Microsoft Entra-gebruikers.

Machtigingen voor opslag

Een serverloze SQL-pool in de Synapse Analytics-werkruimte kan de inhoud lezen van bestanden die zijn opgeslagen in Azure Data Lake Storage. U moet machtigingen voor opslag configureren om een gebruiker die een SQL-query uitvoert om de bestanden te kunnen lezen. Er zijn drie methoden voor het inschakelen van de toegang tot de bestanden:

• Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u een rol toewijzen aan een bepaalde Microsoft Entra-gebruiker in de tenant waar uw opslag wordt geplaatst. Een lezer moet lid zijn van de rol Opslagblobgegevenslezer, Inzender voor opslagblobgegevens of Eigenaar van opslagblobgegevens in het opslagaccount. Een gebruiker die gegevens schrijft in Azure Storage, moet lid zijn van de rol Inzender voor opslagblobgegevens of eigenaar van opslagblobgegevens. De rol Opslageigenaar impliceert niet dat een gebruiker ook eigenaar van opslaggegevens is.
• Met toegangsbeheerlijsten (ACL) kunt u een fijnmazige leesmachtiging (R), Write(W) en Execute(X) definiëren voor de bestanden en mappen in Azure Storage. ACL kan worden toegewezen aan Microsoft Entra-gebruikers. Als lezers een bestand willen lezen in een pad in Azure Storage, moeten ze de machtiging voor ACL uitvoeren (X) hebben voor elke map in het bestandspad en voor ACL lezen (R) voor het bestand. Meer informatie over het instellen van ACL-machtigingen in de opslaglaag.
• Met Shared Access Signature (SAS) kan een lezer toegang krijgen tot de bestanden in de Azure Data Lake-opslag met behulp van het tijdsgebonden token. De lezer hoeft niet eens te worden geverifieerd als Microsoft Entra-gebruiker. Het SAS-token bevat de machtigingen die aan de lezer zijn verleend, evenals de periode gedurende welke het token geldig is. SAS-token is een goede keuze voor tijdgebonden toegang tot elke gebruiker die zich niet eens in dezelfde Microsoft Entra-tenant hoeft te bevinden. Een SAS-token kan worden gedefinieerd voor het opslagaccount of voor specifieke mappen. Lees meer over beperkte toegang verlenen tot Azure Storage-resources door middel van Shared Acces Signatures.

U kunt uw bestanden ook openbaar beschikbaar maken door anonieme toegang toe te staan. Deze methode moet NIET worden gebruikt als u niet-openbare gegevens hebt.

Ondersteunde autorisatietypen voor opslag

Een gebruiker die zich heeft aangemeld bij een serverloze SQL-pool, moet zijn gemachtigd om query's uit te voeren op de bestanden in Azure Storage als de bestanden niet openbaar beschikbaar zijn. U kunt vier autorisatietypen gebruiken voor toegang tot niet-openbare opslag: gebruikersidentiteit, shared access signature, service-principal en beheerde identiteit.

Notitie

Microsoft Entra passthrough is het standaardgedrag wanneer u een werkruimte maakt.

Gebruikersidentiteit

Gebruikersidentiteit, ook wel 'Microsoft Entra pass-through' genoemd, is een autorisatietype waarbij de identiteit van de Microsoft Entra-gebruiker die is aangemeld bij een serverloze SQL-pool wordt gebruikt om toegang tot gegevens te autoriseren. Voordat de gegevens worden geopend, moet de Azure Storage-beheerder machtigingen verlenen aan de Microsoft Entra-gebruiker. Zoals aangegeven in de tabel Ondersteunde autorisatie voor databasegebruikers, wordt deze niet ondersteund voor het SQL-gebruikerstype.

Belangrijk

Een Microsoft Entra-verificatietoken kan in de cache worden opgeslagen door de clienttoepassingen. Power BI slaat bijvoorbeeld Microsoft Entra-tokens in de cache op en gebruikt hetzelfde token gedurende een uur opnieuw. Langlopende query's kunnen mislukken als het token in het midden van de queryuitvoering verloopt. Als u queryfouten ondervindt die worden veroorzaakt door het Microsoft Entra-toegangstoken dat in het midden van de query verloopt, kunt u overwegen over te schakelen naar een service-principal, beheerde identiteit of handtekening voor gedeelde toegang.

U moet lid zijn van de rol Eigenaar van opslagblobgegevens, Inzender voor opslagblobgegevens of Lezer voor opslagblobgegevens om uw identiteit te kunnen gebruiken voor toegang tot de gegevens. Als alternatief kunt u fijnmazige ACL-regels opgeven voor toegang tot bestanden en mappen. Zelfs als u eigenaar bent van een opslagaccount, moet u nog beschikken over een van deze rollen voor Storage-blobgegevens. Raadpleeg het artikel Toegangsbeheer in Azure Data Lake Storage Gen2 voor meer informatie over toegangsbeheer in Azure Data Lake Store Gen2.

Gedeelde handtekening voor toegang (SAS; Shared Access Signature)

SAS (Shared Access Signature; handtekening voor gedeelde toegang) biedt gedelegeerde toegang tot resources in een opslagaccount. Met behulp van SAS kan een klant clients toegang geven tot resources in een opslagaccount zonder sleutels van het account te delen. SAS geeft u nauwkeurige controle over het type toegang dat u verleent aan clients die een SAS hebben, inclusief het geldigheidsinterval, verleende machtigingen, het acceptabele bereik van IP-adressen en het geaccepteerde protocol (https/http).

U kunt een SAS-token ophalen door te navigeren naar Azure Portal -> Opslagaccount -> Handtekening voor gedeelde toegang -> Machtigingen configureren -> SAS genereren en verbindingsreeks.

Belangrijk

Wanneer een SAS-token (Shared Access Signature) wordt gegenereerd, bevat het een vraagteken (?) aan het begin van het token. Als u het token in een serverloze SQL-pool wilt gebruiken, moet u het vraagteken (?) verwijderen bij het maken van een referentie. Bijvoorbeeld:

SAS-token: ?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHcEIq78%3D

U moet de referenties binnen het database- of serverbereik maken om toegang met behulp van een SAS-token mogelijk te maken

Belangrijk

U hebt geen toegang tot privéopslagaccounts met het SAS-token. Overweeg over te schakelen naar beheerde identiteit of passthrough-verificatie van Microsoft Entra voor toegang tot beveiligde opslag.

Service/principal

Een service-principal is de lokale weergave van een globaal toepassingsobject in een bepaalde Microsoft Entra-tenant. Deze verificatiemethode is geschikt in gevallen waarin opslagtoegang moet worden geautoriseerd voor een gebruikerstoepassing, service of automatiseringsprogramma. Zie Toepassings- en service-principalobjecten in Microsoft Entra-id voor meer informatie over service-principals in Microsoft Entra-id.

De toepassing moet worden geregistreerd in Microsoft Entra ID. Volg de quickstart voor meer informatie over het registratieproces: Een toepassing registreren bij het Microsoft Identity Platform. Zodra de toepassing is geregistreerd, kan de bijbehorende service-principal worden gebruikt voor autorisatie.

De service-principal moet worden toegewezen aan de rollen Storage Blob Data Owner, Storage Blob Data Contributor en Storage Blob Data Reader om de toepassing toegang te geven tot de gegevens. Zelfs als de service-principal de eigenaar van een opslagaccount is, moet deze nog steeds een geschikte rol opslagblobgegevens krijgen. Als alternatieve manier om toegang te verlenen tot opslagbestanden en -mappen, kunnen fijnmazige ACL-regels voor service-principals worden gedefinieerd.

Raadpleeg toegangsbeheer in Azure Data Lake Storage Gen2 voor meer informatie over toegangsbeheer in Azure Data Lake Storage Gen2.

Beheerde service-identiteit

Beheerde service-identiteit of beheerde identiteit wordt ook wel een MSI genoemd. Een MSI is een functie van Microsoft Entra ID die Azure-services levert aan een Azure-service, in dit geval voor uw serverloze SQL-pool. De MSI wordt automatisch gemaakt in Microsoft Entra-id. Deze identiteit kan worden gebruikt om de aanvraag voor toegang tot gegevens in Azure Storage te autoriseren.

Voordat de gegevens worden geopend, moet de Azure Storage-beheerder machtigingen verlenen aan de beheerde service-identiteit voor toegang tot gegevens. Het verlenen van machtigingen aan MSI wordt op dezelfde manier uitgevoerd als het verlenen van machtigingen aan elke andere Microsoft Entra-gebruiker.

Anonieme toegang

U kunt toegang krijgen tot openbaar beschikbare bestanden die in Azure-opslagaccounts zijn geplaatst die anonieme toegang toestaan.

Scenario's voor meerdere tenants

In gevallen waarin Azure Storage zich in een andere tenant bevindt dan de serverloze SQL-pool van Synapse, is autorisatie via service-principal de aanbevolen methode. SAS-autorisatie is ook mogelijk, terwijl Managed Identity niet wordt ondersteund.

Autorisatietype	Met firewall beveiligde opslag	niet-firewall beveiligde opslag
SAS	Ondersteund	Ondersteund
Service-principal	Niet ondersteund	Ondersteund

Notitie

Als Azure Storage wordt beveiligd door een Azure Storage-firewall, wordt service-principal niet ondersteund.

Ondersteunde autorisatietypen voor databasegebruikers

De volgende tabel bevat beschikbare Azure Storage-autorisatietypen voor verschillende aanmeldingsmethoden in een serverloos SQL-eindpunt van Azure Synapse Analytics:

Autorisatietype	SQL-gebruiker	Microsoft Entra-gebruiker	Service/principal
Gebruikersidentiteit	Niet ondersteund	Ondersteund	Ondersteund
SAS	Ondersteund	Ondersteund	Ondersteund
Service/principal	Ondersteund	Ondersteund	Ondersteund
Beheerde identiteit	Ondersteund	Ondersteund	Ondersteund

Ondersteunde opslag- en autorisatietypen

U kunt de volgende combinaties van autorisatietypen en Azure Storage-typen gebruiken:

Autorisatietype	Blob Storage	ADLS Gen1	ADLS Gen2
SAS	Ondersteund	Niet ondersteund	Ondersteund
Service/principal	Ondersteund	Ondersteund	Ondersteund
Beheerde identiteit	Ondersteund	Ondersteund	Ondersteund
Gebruikersidentiteit	Ondersteund	Ondersteund	Ondersteund

Scenario's voor meerdere tenants

In gevallen waarin Azure Storage zich in een andere tenant bevindt dan de serverloze SQL-pool van Azure Synapse Analytics, is autorisatie via de service-principal de aanbevolen methode. Autorisatie van handtekeningen voor gedeelde toegang is ook mogelijk. Beheerde service-identiteit wordt niet ondersteund.

Autorisatietype	Met firewall beveiligde opslag	niet-firewall beveiligde opslag
SAS	Ondersteund	Ondersteund
Service/principal	Niet ondersteund	Ondersteund

Notitie

Als Azure Storage wordt beveiligd door een Azure Storage-firewall en zich in een andere tenant bevindt, wordt de service-principal niet ondersteund. Gebruik in plaats daarvan een Shared Access Signature (SAS).

Met firewall beveiligde opslag

U kunt opslagaccounts configureren om toegang tot een specifieke serverloze SQL-pool toe te staan door een regel voor een resource-exemplaar te maken. Wanneer u toegang krijgt tot opslag die is beveiligd met de firewall, gebruikt u Gebruikersidentiteit of Beheerde identiteit.

Notitie

De firewallfunctie in Azure Storage bevindt zich in openbare preview en is beschikbaar in alle openbare cloudregio's.

De volgende tabel bevat beschikbare met firewall beveiligde Azure Storage-autorisatietypen voor verschillende aanmeldingsmethoden in een serverloos SQL-eindpunt van Azure Synapse Analytics:

Autorisatietype	SQL-gebruiker	Microsoft Entra-gebruiker	Service/principal
Gebruikersidentiteit	Niet ondersteund	Ondersteund	Ondersteund
SAS	Niet ondersteund	Niet ondersteund	Niet ondersteund
Service/principal	Niet ondersteund	Niet ondersteund	Niet ondersteund
Beheerde identiteit	Ondersteund	Ondersteund	Ondersteund

Gebruikersidentiteit

Voor toegang tot opslag die is beveiligd met de firewall via een gebruikersidentiteit, kunt u de Azure-portal of de Az.Storage PowerShell-module gebruiken.

Azure Storage-firewallconfiguratie via Azure Portal

1. Zoek uw opslagaccount in Azure Portal.
2. Ga in het hoofdnavigatiemenu naar Netwerken onder Instellingen.
3. Voeg in de sectie Resource-exemplaren een uitzondering toe voor uw Azure Synapse-werkruimte.
4. Selecteer Microsoft.Synapse/workspaces dit als een resourcetype.
5. Selecteer de naam van uw werkruimte als exemplaarnaam.
6. Selecteer Opslaan.

Azure Storage-firewallconfiguratie via PowerShell

Volg deze stappen om uw opslagaccount te configureren en een uitzondering toe te voegen voor de Azure Synapse-werkruimte.

1. Open PowerShell of installeer PowerShell.

2. Installeer de nieuwste versies van de Az.Storage-module en de Az.Synapse-module, bijvoorbeeld in het volgende script:

   Install-Module -Name Az.Storage -RequiredVersion 3.4.0
   Install-Module -Name Az.Synapse -RequiredVersion 0.7.0
   

   Belangrijk

   Zorg ervoor dat u ten minste versie 3.4.0 gebruikt. U kunt uw Az.Storage-versie controleren door deze opdracht uit te voeren:

   Get-Module -ListAvailable -Name Az.Storage | Select Version
   

3. Verbinding maken met de Azure-tenant:

   Connect-AzAccount
   

4. Variabelen definiëren in PowerShell:

   • Naam van resourcegroep: u vindt deze in Azure Portal in het overzicht van uw opslagaccount.
   • Accountnaam: de naam van het opslagaccount dat wordt beveiligd door firewallregels.
   • Tenant-id: u vindt deze in Azure Portal in Microsoft Entra-id, onder Eigenschappen, in tenanteigenschappen.
   • Werkruimtenaam: naam van de Azure Synapse-werkruimte.

       $resourceGroupName = "<resource group name>"
       $accountName = "<storage account name>"
       $tenantId = "<tenant id>"
       $workspaceName = "<Azure Synapse workspace name>"
   
       $workspace = Get-AzSynapseWorkspace -Name $workspaceName
       $resourceId = $workspace.Id
       $index = $resourceId.IndexOf("/resourceGroups/", 0)
       # Replace G with g - /resourceGroups/ to /resourcegroups/
       $resourceId = $resourceId.Substring(0,$index) + "/resourcegroups/" ` 
           + $resourceId.Substring($index + "/resourceGroups/".Length)
   
       $resourceId
   

   Belangrijk

   De waarde van het $resourceid geretourneerde PowerShell-script moet overeenkomen met deze sjabloon: /subscriptions/{subscription-id}/resourcegroups/{resource-group}/providers/Microsoft.Synapse/workspaces/{name-of-workspace}Het is belangrijk om resourcegroepen in kleine letters te schrijven.

5. Een netwerkregel voor een Azure-opslagaccount toevoegen:

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
           TenantId = $tenantId 
           ResourceId = $resourceId
       }
   
       Add-AzStorageAccountNetworkRule @parameters
   

6. Controleer of de netwerkregel voor het opslagaccount is toegepast in de firewall van uw opslagaccount. Met het volgende PowerShell-script wordt de $resourceid variabele uit de vorige stappen vergeleken met de uitvoer van de netwerkregel voor het opslagaccount.

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
       }
   
       $rule = Get-AzStorageAccountNetworkRuleSet @parameters
       $rule.ResourceAccessRules | ForEach-Object { 
           if ($_.ResourceId -cmatch "\/subscriptions\/(\w\-*)+\/resourcegroups\/(.)+") { 
               Write-Host "Storage account network rule is successfully configured." -ForegroundColor Green
               $rule.ResourceAccessRules
           } else {
               Write-Host "Storage account network rule is not configured correctly. Remove this rule and follow the steps in detail." -ForegroundColor Red
               $rule.ResourceAccessRules
           }
       }
   

Gedeelde handtekening voor toegang (SAS; Shared Access Signature)

Handtekeningen voor gedeelde toegang kunnen niet worden gebruikt voor toegang tot met firewall beveiligde opslag.

Service/principal

Service-principal kan niet worden gebruikt voor toegang tot met firewall beveiligde opslag. Gebruik in plaats daarvan een beheerde service-identiteit.

Beheerde service-identiteit

U moet de instelling Vertrouwde Microsoft-services toestaan inschakelen en een Azure-rol toewijzen aan de door het systeem toegewezen beheerde identiteit voor dat resource-exemplaar.

In dit geval komt het toegangsbereik voor het resource-exemplaar overeen met de Azure-rol die is toegewezen aan de beheerde identiteit.

Anonieme toegang

U hebt geen toegang tot met firewall beveiligde opslag met behulp van anonieme toegang.

Referenties

Als u een query wilt uitvoeren op een bestand in Azure Storage, heeft uw serverloze SQL-pooleindpunt een referentie nodig die de verificatiegegevens bevat. Er worden twee typen referenties gebruikt:

• Referentie op serverniveau wordt gebruikt voor ad-hocquery's die worden uitgevoerd met behulp van OPENROWSET de functie. De referentienaam moet overeenkomen met de opslag-URL.
• Er wordt een referentie met databasebereik gebruikt voor externe tabellen. De externe tabel verwijst naar DATA SOURCE met de referentie die moet worden gebruikt voor toegang tot de opslag.

Machtigingen verlenen om referenties te beheren

De mogelijkheid om referenties te beheren:

• Als een gebruiker een referentie op serverniveau kan maken of verwijderen, moet een beheerder de machtiging verlenen voor de ALTER ANY CREDENTIAL aanmelding in de hoofddatabase. Bijvoorbeeld:

  GRANT ALTER ANY CREDENTIAL TO [login_name];
  

• Een beheerder moet de CONTROL machtiging voor de database verlenen aan de databasegebruiker in de gebruikersdatabase om een databasereferentie te maken of neer te zetten. Bijvoorbeeld:

  GRANT CONTROL ON DATABASE::[database_name] TO [user_name];
  

Machtigingen verlenen voor het gebruik van referenties

Databasegebruikers die toegang hebben tot externe opslag, moeten toestemming hebben om referenties te gebruiken. Als u de referentie wilt gebruiken, moet een gebruiker over de REFERENCES machtiging voor een specifieke referentie beschikken.

Als u de REFERENCES machtiging wilt verlenen voor een referentie op serverniveau voor een aanmelding, gebruikt u de volgende T-SQL-query in de hoofddatabase:

GRANT REFERENCES ON CREDENTIAL::[server-level_credential] TO [login_name];

Als u een REFERENCES machtiging wilt verlenen voor een databasereferentie voor een databasegebruiker, gebruikt u de volgende T-SQL-query in de gebruikersdatabase:

GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[database-scoped_credential] TO [user_name];

Referentie op serverniveau

Referenties op serverniveau worden gebruikt wanneer een SQL-aanmeldingsfunctie wordt aangeroepen OPENROWSET zonder bestanden DATA_SOURCE in een opslagaccount te lezen.

De naam van de referentie op serverniveau moet overeenkomen met de basis-URL van Azure Storage, eventueel gevolgd door een containernaam. U kunt een referentie toevoegen door CREATE CREDENTIAL uit te voeren. U moet het CREDENTIAL NAME argument opgeven.

Notitie

Het argument FOR CRYPTOGRAPHIC PROVIDER wordt niet ondersteund.

Referentienaam op serverniveau moet overeenkomen met de volgende indeling: <prefix>://<storage_account_path>[/<container_name>]. Paden naar opslagaccounts worden beschreven in de volgende tabel:

Externe gegevensbron	Voorvoegsel	Pad van opslagaccount
Azure Blob Storage	https	<storage_account>.blob.core.windows.net
Azure Data Lake Storage Gen1	https	<storage_account>.azuredatalakestore.net/webhdfs/v1
Azure Data Lake Storage Gen2	https	<storage_account>.dfs.core.windows.net

Referenties op serverniveau hebben vervolgens toegang tot Azure Storage met behulp van de volgende verificatietypen:

Gebruikersidentiteit

Microsoft Entra-gebruikers hebben toegang tot elk bestand in Azure Storage als ze lid zijn van de rol Eigenaar van opslagblobgegevens, Inzender voor opslagblobgegevens of Opslagblobgegevenslezer. Microsoft Entra-gebruikers hebben geen referenties nodig voor toegang tot opslag.

Geverifieerde SQL-gebruikers kunnen microsoft Entra-verificatie niet gebruiken voor toegang tot opslag. Ze hebben toegang tot opslag via een databasereferentie met beheerde identiteit, SAS-sleutel, service-principal of als er openbare toegang tot de opslag is.

Gedeelde handtekening voor toegang (SAS; Shared Access Signature)

Met het volgende script maakt u een referentie op serverniveau die door de OPENROWSET functie kan worden gebruikt voor toegang tot elk bestand in Azure Storage met behulp van een SAS-token. Maak deze referentie om een SQL-principal in staat te stellen de OPENROWSET functie te gebruiken om bestanden te lezen die zijn beveiligd met een SAS-sleutel in de Azure-opslag. De referentienaam moet overeenkomen met de URL.

Vervang in de volgende voorbeeldquery door <mystorageaccountname> de werkelijke naam van uw opslagaccount en <mystorageaccountcontainername> door de werkelijke containernaam:

CREATE CREDENTIAL [https://<mystorageaccountname>.dfs.core.windows.net/<mystorageaccountcontainername>]
WITH IDENTITY='SHARED ACCESS SIGNATURE'
, SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1BrIPBNJ3VYEIq78%3D';
GO

U kunt eventueel alleen de basis-URL van het opslagaccount gebruiken, zonder containernaam.

Service/principal

Met het volgende script maakt u een referentie op serverniveau die kan worden gebruikt voor toegang tot bestanden in een opslag met behulp van service-principal voor verificatie en autorisatie. AppID is te vinden door naar App-registraties te gaan in Azure Portal en de app te selecteren die toegang tot opslag aanvraagt. Geheim wordt verkregen tijdens de app-registratie. AuthorityUrl is de URL van de Oauth2.0-instantie van Microsoft Entra ID.

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'

Beheerde identiteit

Met het volgende script maakt u een referentie op serverniveau die door de functie kan worden gebruikt OPENROWSET voor toegang tot elk bestand in Azure Storage met behulp van de beheerde identiteit van de Azure Synapse-werkruimte, een speciaal type beheerde service-identiteit.

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY='Managed Identity'

U kunt eventueel alleen de basis-URL van het opslagaccount gebruiken, zonder containernaam.

Openbare toegang

Referentie op serverniveau is niet vereist om toegang tot openbaar beschikbare bestanden toe te staan. Maak een gegevensbron zonder referenties voor toegang tot openbaar beschikbare bestanden in Azure Storage.

Referenties in databasebereik

Referenties in databasebereik worden gebruikt wanneer een principal de functie OPENROWSET aanroept met DATA_SOURCE of gegevens selecteert uit een externe tabel die geen toegang heeft tot openbare bestanden. De referentie voor het databasebereik hoeft niet overeen te komen met de naam van het opslagaccount. Er wordt verwezen in DE GEGEVENSBRON die de locatie van de opslag definieert.

Met de referenties binnen databasebereik wordt toegang tot Azure-opslag verleend met behulp van de volgende verificatietypen:

Microsoft Entra-identiteit

Microsoft Entra-gebruikers hebben toegang tot elk bestand in Azure Storage als ze lid zijn van de rollen Eigenaar van opslagblobgegevens, Inzender voor opslagblobgegevens of Opslagblobgegevenslezer. Microsoft Entra-gebruikers hebben geen referenties nodig voor toegang tot opslag.

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
)

Geverifieerde SQL-gebruikers kunnen microsoft Entra-verificatie niet gebruiken voor toegang tot opslag. Ze hebben toegang tot opslag via een databasereferentie met beheerde identiteit, SAS-sleutel, service-principal of als er openbare toegang tot de opslag is.

Gedeelde handtekening voor toegang (SAS; Shared Access Signature)

Met het volgende script maakt u een referentie die wordt gebruikt voor toegang tot bestanden in opslag met behulp van een SAS-token dat is opgegeven in de referentie. Het script maakt een voorbeeld van een externe gegevensbron die gebruikmaakt van dit SAS-token voor toegang tot opslag.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>'
GO
CREATE DATABASE SCOPED CREDENTIAL [SasToken]
WITH IDENTITY = 'SHARED ACCESS SIGNATURE',
     SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1KEIq78%3D';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SasToken
)

Service/principal

Met het volgende script maakt u een databasereferentie die kan worden gebruikt voor toegang tot bestanden in een opslag met behulp van een service-principal voor verificatie en autorisatie. AppID is te vinden door naar App-registraties te gaan in Azure Portal en de app te selecteren die toegang tot opslag aanvraagt. Geheim wordt verkregen tijdens de app-registratie. AuthorityUrl is de URL van de Oauth2.0-instantie van Microsoft Entra ID.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>

CREATE DATABASE SCOPED CREDENTIAL [<CredentialName>] WITH
IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'
GO
CREATE EXTERNAL DATA SOURCE MyDataSource
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = CredentialName
)

Beheerde identiteit

Met het volgende script maakt u een databasereferentie die kan worden gebruikt om de huidige Microsoft Entra-gebruiker als beheerde identiteit van de service te imiteren. Het script maakt een voorbeeld van een externe gegevensbron die gebruikmaakt van werkruimte-identiteit voor toegang tot opslag.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>
CREATE DATABASE SCOPED CREDENTIAL SynapseIdentity
WITH IDENTITY = 'Managed Identity';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SynapseIdentity
)

De referentie in het databasebereik hoeft niet overeen te komen met de naam van het opslagaccount, omdat deze expliciet wordt gebruikt in de gegevensbron (DATA SOURCE) die de locatie van de opslag definieert.

Openbare toegang

Referenties in het databasebereik zijn niet vereist om toegang te geven tot openbaar beschikbare bestanden. Maak een gegevensbron zonder referenties voor toegang tot openbaar beschikbare bestanden in Azure Storage.

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.blob.core.windows.net/<container>/<path>'
)

Referenties in het databasebereik worden gebruikt in externe gegevensbronnen om op te geven welke verificatiemethode er wordt gebruikt voor toegang tot deze opslag:

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = <name of database scoped credential> 
)

Voorbeelden

Toegang tot een openbaar beschikbare gegevensbron

Gebruik het volgende script om een tabel te maken die toegang heeft tot een openbaar beschikbare gegevensbron.

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat]
       WITH ( FORMAT_TYPE = PARQUET)
GO
CREATE EXTERNAL DATA SOURCE publicData
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<public_container>/<path>' )
GO

CREATE EXTERNAL TABLE dbo.userPublicData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [publicData],
       FILE_FORMAT = [SynapseParquetFormat] )

Een databasegebruiker kan de inhoud van de bestanden uit de gegevensbron lezen met behulp van de externe tabel of de functie OPENROWSET die verwijst naar de gegevensbron:

SELECT TOP 10 * FROM dbo.userPublicData;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet',
                                DATA_SOURCE = 'mysample',
                                FORMAT='PARQUET') as rows;
GO

Toegang tot een gegevensbron met behulp van referenties

Wijzig het volgende script om een externe tabel te maken die toegang heeft tot Azure Storage met behulp van een SAS-token, Microsoft Entra-identiteit van de gebruiker of de beheerde identiteit van de werkruimte.

-- Create master key in databases with some password (one-off per database)
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong password>'
GO

-- Create databases scoped credential that use Managed Identity, SAS token or service principal. User needs to create only database-scoped credentials that should be used to access data source:

CREATE DATABASE SCOPED CREDENTIAL WorkspaceIdentity
WITH IDENTITY = 'Managed Identity'
GO
CREATE DATABASE SCOPED CREDENTIAL SasCredential
WITH IDENTITY = 'SHARED ACCESS SIGNATURE', SECRET = 'sv=2019-10-1********ZVsTOL0ltEGhf54N8KhDCRfLRI%3D'
GO
CREATE DATABASE SCOPED CREDENTIAL SPNCredential WITH
IDENTITY = '**44e*****8f6-ag44-1890-34u4-22r23r771098@https://login.microsoftonline.com/**do99dd-87f3-33da-33gf-3d3rh133ee33/oauth2/token' 
, SECRET = '.7OaaU_454azar9WWzLL.Ea9ePPZWzQee~'
GO
-- Create data source that one of the credentials above, external file format, and external tables that reference this data source and file format:

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat] WITH ( FORMAT_TYPE = PARQUET)
GO

CREATE EXTERNAL DATA SOURCE mysample
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
-- Uncomment one of these options depending on authentication method that you want to use to access data source:
--,CREDENTIAL = WorkspaceIdentity 
--,CREDENTIAL = SasCredential 
--,CREDENTIAL = SPNCredential
)

CREATE EXTERNAL TABLE dbo.userData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [mysample],
       FILE_FORMAT = [SynapseParquetFormat] );

Een databasegebruiker kan de inhoud van de bestanden uit de gegevensbron lezen met behulp van externe tabel of de functie OPENROWSET die verwijst naar de gegevensbron:

SELECT TOP 10 * FROM dbo.userdata;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet', DATA_SOURCE = 'mysample', FORMAT='PARQUET') as rows;
GO

Volgende stappen

Deze artikelen helpen u te leren hoe u verschillende maptypen, bestandstypen opvraagt en weergaven maakt en gebruikt:

• Query's uitvoeren op één CSV-bestand
• Query's uitvoeren op mappen en meerdere CSV-bestanden
• Query's uitvoeren op specifieke bestanden
• Query's uitvoeren op Parquet-bestanden
• Weergaven maken en gebruiken
• Query's uitvoeren op JSON-bestanden
• Query uitvoeren op met Parquet geneste typen