Parametry połączenia usługi Storage
Usługa Azure Data Explorer może wchodzić w interakcje z zewnętrznymi usługami magazynu. Na przykład można utworzyć tabele zewnętrzne usługi Azure Storage w celu wykonywania zapytań dotyczących danych przechowywanych w magazynach zewnętrznych.
Obsługiwane są następujące typy magazynu zewnętrznego:
- Azure Blob Storage
- Usługa Azure Data Lake Storage 2. generacji
- Usługa Azure Data Lake Storage 1. generacji
- Amazon S3
Każdy typ magazynu ma odpowiednie formaty parametry połączenia używane do opisywania zasobów magazynu i sposobu uzyskiwania do nich dostępu. Usługa Azure Data Explorer używa formatu identyfikatora URI do opisywania tych zasobów magazynu i właściwości niezbędnych do uzyskania do nich dostępu, takich jak poświadczenia zabezpieczeń.
Uwaga
Usługi internetowe HTTP, które nie implementują całego zestawu interfejsów API Azure Blob Storage nie są obsługiwane, nawet jeśli działają w niektórych scenariuszach.
Szablony parametry połączenia magazynu
Każdy typ magazynu ma inny format parametry połączenia. W poniższej tabeli przedstawiono szablony parametry połączenia dla każdego typu magazynu.
| Typ magazynu | Schemat | Szablon identyfikatora URI |
|---|---|---|
| Azure Blob Storage | https:// |
https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Usługa Azure Data Lake Storage 2. generacji | https:// |
https://StorageAccountName.dfs.core.windows.net/System plików[/PathToDirectoryOrFile][CallerCredentials] |
| Usługa Azure Data Lake Storage 2. generacji | abfss:// |
abfss://System@ plikówStorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile] [CallerCredentials] |
| Usługa Azure Data Lake Storage 1. generacji | adl:// |
adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://BucketName.s3.Regionname.amazonaws.com/ObjectKey[CallerCredentials] |
Uwaga
Aby zapobiec wyświetlaniu wpisów tajnych w śladach, użyj zaciemnionych literałów ciągu.
Metody uwierzytelniania magazynu
Aby wchodzić w interakcje z magazynem zewnętrznym spoza publikowania z usługi Azure Data Explorer, należy określić środki uwierzytelniania w ramach parametry połączenia magazynu zewnętrznego. Parametry połączenia definiuje zasób w celu uzyskania dostępu do informacji o uwierzytelnianiu.
Usługa Azure Data Explorer obsługuje następujące metody uwierzytelniania:
- Personifikacja
- Tożsamość zarządzana
- Klucz dostępu współdzielonego (SAS)
- Microsoft Entra token dostępu
- Klucz dostępu do konta magazynu
- Klucze dostępu programowego usług Amazon Web Services
- Wstępnie podpisany adres URL usług Amazon Web Services S3
Obsługiwane uwierzytelnianie według typu magazynu
Poniższa tabela zawiera podsumowanie dostępnych metod uwierzytelniania dla różnych typów magazynów zewnętrznych.
| Metoda uwierzytelniania | Dostępne w usłudze Blob Storage? | Dostępne w usłudze Azure Data Lake Storage Gen 2? | Dostępne w usłudze Azure Data Lake Storage Gen 1? | Dostępne w usłudze Amazon S3? | Kiedy należy użyć tej metody? |
|---|---|---|---|---|---|
| Personifikacja | ✔️ | ✔️ | ✔️ | ❌ | Służy do obsługi przepływów, gdy potrzebujesz złożonej kontroli dostępu do magazynu zewnętrznego. Na przykład w przepływach eksportu ciągłego. Możesz również ograniczyć dostęp do magazynu na poziomie użytkownika. |
| Tożsamość zarządzana | ✔️ | ✔️ | ✔️ | ❌ | Używaj w przepływach nienadzorowanych, gdzie nie można uzyskać Microsoft Entra podmiotu zabezpieczeń w celu wykonywania zapytań i poleceń. Tożsamości zarządzane to jedyne rozwiązanie do uwierzytelniania. |
| Klucz dostępu współdzielonego (SAS) | ✔️ | ✔️ | ❌ | ❌ | Tokeny SAS mają czas wygaśnięcia. Użyj podczas uzyskiwania dostępu do magazynu przez ograniczony czas. |
| Microsoft Entra token dostępu | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra tokeny mają czas wygaśnięcia. Użyj podczas uzyskiwania dostępu do magazynu przez ograniczony czas. |
| Klucz dostępu do konta magazynu | ✔️ | ✔️ | ❌ | ❌ | Gdy zachodzi potrzeba ciągłego uzyskiwania dostępu do zasobów. |
| Klucze dostępu programowego usług Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Gdy musisz stale uzyskiwać dostęp do zasobów usługi Amazon S3. |
| Wstępnie podpisany adres URL usług Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Gdy musisz uzyskać dostęp do zasobów usługi Amazon S3 przy użyciu wstępnie podpisanego adresu URL tymczasowego. |
Personifikacja
Usługa Azure Data Explorer personifikuje tożsamość główną osoby żądającej w celu uzyskania dostępu do zasobu. Aby użyć personifikacji, dołącz ;impersonate element do parametry połączenia.
| Przykład |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Podmiot zabezpieczeń musi mieć uprawnienia niezbędne do wykonania operacji. Na przykład w Azure Blob Storage do odczytu z obiektu blob podmiot zabezpieczeń wymaga roli Czytelnik danych obiektu blob usługi Storage i wyeksportowania do obiektu blob podmiot zabezpieczeń musi mieć rolę Współautor danych obiektu blob usługi Storage. Aby dowiedzieć się więcej, zobacz kontrola dostępu Azure Blob Storage/Data Lake Storage Gen2 lub kontrola dostępu Data Lake Storage Gen1.
Tożsamość zarządzana
Usługa Azure Data Explorer wysyła żądania w imieniu tożsamości zarządzanej i używa jej tożsamości do uzyskiwania dostępu do zasobów. W przypadku tożsamości zarządzanej przypisanej przez system dołącz element ;managed_identity=system do parametry połączenia. W przypadku tożsamości zarządzanej przypisanej przez użytkownika dołącz element ;managed_identity={object_id} do parametry połączenia.
| Typ tożsamości zarządzanej | Przykład |
|---|---|
| Przypisane przez system | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Przypisane przez użytkownika | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Tożsamość zarządzana musi mieć niezbędne uprawnienia do wykonania operacji. Na przykład w Azure Blob Storage do odczytu z obiektu blob tożsamość zarządzana wymaga roli Czytelnik danych obiektu blob usługi Storage i wyeksportowania do obiektu blob tożsamość zarządzana wymaga roli Współautor danych obiektu blob usługi Storage. Aby dowiedzieć się więcej, zobacz Azure Blob Storage/Data Lake Storage Gen2 kontroli dostępu lub kontroli dostępu Data Lake Storage Gen1.
Uwaga
Tożsamość zarządzana jest obsługiwana tylko w określonych przepływach usługi Azure Data Explorer i wymaga skonfigurowania zasad tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz Omówienie tożsamości zarządzanych.
Token dostępu współdzielonego (SAS)
W Azure Portal wygeneruj token SAS z wymaganymi uprawnieniami.
Na przykład aby odczytać z magazynu zewnętrznego, określ uprawnienia Odczyt i lista oraz wyeksportowanie do magazynu zewnętrznego określ uprawnienia do zapisu. Aby dowiedzieć się więcej, zobacz delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego.
Użyj adresu URL sygnatury dostępu współdzielonego jako parametry połączenia.
| Przykład |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra token dostępu
Aby dodać token dostępu zakodowany w formacie base-64 Microsoft Entra, dołącz ;token={AadToken} go do parametry połączenia. Token musi być przeznaczony dla zasobu https://storage.azure.com/.
Aby uzyskać więcej informacji na temat generowania tokenu dostępu Microsoft Entra, zobacz uzyskiwanie tokenu dostępu do autoryzacji.
| Przykład |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Klucz dostępu do konta magazynu
Aby dodać klucz dostępu do konta magazynu, dołącz klucz do parametry połączenia. W Azure Blob Storage dołącz ;{key} do parametry połączenia. W przypadku Azure Data Lake Storage Gen 2 dołącz ;sharedkey={key} do parametry połączenia.
| Konto magazynu | Przykład |
|---|---|
| Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Usługa Azure Data Lake Storage 2. generacji | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Klucze dostępu programowego usługi Amazon Web Services
Aby dodać klucze dostępu usługi Amazon Web Services, dołącz ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} go do parametry połączenia.
| Przykład |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Amazon Web Services S3 presigned URL
Użyj wstępnie podpisanego adresu URL S3 jako parametry połączenia.
| Przykład |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla