Parametry połączenia usługi Storage
Usługa Azure Data Explorer może wchodzić w interakcje z zewnętrznymi usługami magazynu. Na przykład można utworzyć tabele zewnętrzne usługi Azure Storage w celu wykonywania zapytań dotyczących danych przechowywanych w magazynach zewnętrznych.
Obsługiwane są następujące typy magazynu zewnętrznego:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Usługa Azure Data Lake Storage 1. generacji
- Amazon S3
- Usługi internetowe HTTP (ograniczone funkcje)
Każdy typ magazynu ma odpowiednie formaty parametry połączenia używane do opisywania zasobów magazynu i sposobu uzyskiwania do nich dostępu. Usługa Azure Data Explorer używa formatu identyfikatora URI do opisywania tych zasobów magazynu i właściwości niezbędnych do uzyskania do nich dostępu, takich jak poświadczenia zabezpieczeń.
Uwaga
Obsługa usług internetowych HTTP jest ograniczona do pobierania zasobów z dowolnych usług internetowych HTTP. Inne operacje, takie jak zapisywanie zasobów, nie są obsługiwane.
Szablony parametry połączenia magazynu
Każdy typ magazynu ma inny format parametry połączenia. W poniższej tabeli przedstawiono szablony parametry połączenia dla każdego typu magazynu.
| Typ magazynu | Schemat | Szablon identyfikatora URI |
|---|---|---|
| Azure Blob Storage | https:// |
https://StorageAccountName Container[BlobName][/CallerCredentials].blob.core.windows.net/ |
| Azure Data Lake Storage Gen2 | https:// |
https://StorageAccountName System plików[/PathToDirectoryOrFile][CallerCredentials].dfs.core.windows.net/ |
| Azure Data Lake Storage Gen2 | abfss:// |
abfss://Filesystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials] |
| Usługa Azure Data Lake Storage 1. generacji | adl:// |
adl://StorageAccountName.azuredatalakestore.net/ PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://BucketName RegionName.amazonaws.com/.s3.ObjectKey[CallerCredentials] |
| Usługi internetowe HTTP | https:// |
https://Ścieżka nazwy/hostaAndQuery |
Uwaga
Aby zapobiec wyświetlaniu wpisów tajnych w śladach, użyj zaciemnionych literałów ciągu.
Metody uwierzytelniania magazynu
Aby wchodzić w interakcje z niepublikowym magazynem zewnętrznym z poziomu usługi Azure Data Explorer, należy określić środki uwierzytelniania w ramach zewnętrznego magazynu parametry połączenia. Parametry połączenia definiuje zasób w celu uzyskania dostępu do informacji o uwierzytelnianiu i jego uwierzytelnieniu.
Usługa Azure Data Explorer obsługuje następujące metody uwierzytelniania:
- Personifikacja
- Tożsamość zarządzana
- Klucz dostępu współdzielonego (SAS)
- Token dostępu firmy Microsoft Entra
- Klucz dostępu do konta magazynu
- Klucze dostępu programowego usług Amazon Web Services
- Adres URL wstępnie podpisany przez usługę Amazon Web Services S3
Obsługiwane uwierzytelnianie według typu magazynu
Poniższa tabela zawiera podsumowanie dostępnych metod uwierzytelniania dla różnych typów magazynu zewnętrznego.
| Metoda uwierzytelniania | Dostępne w usłudze Blob Storage? | Dostępne w usłudze Azure Data Lake Storage Gen 2? | Dostępne w usłudze Azure Data Lake Storage Gen 1? | Dostępne w usłudze Amazon S3? | Kiedy należy użyć tej metody? |
|---|---|---|---|---|---|
| Personifikacja | ✔️ | ✔️ | ✔️ | ❌ | Służy do obsługi przepływów, gdy potrzebujesz złożonej kontroli dostępu nad magazynem zewnętrznym. Na przykład w przepływach eksportu ciągłego. Możesz również ograniczyć dostęp do magazynu na poziomie użytkownika. |
| Tożsamość zarządzana | ✔️ | ✔️ | ✔️ | ❌ | Użyj w nienadzorowanych przepływach, w których nie można wygenerować podmiotu zabezpieczeń firmy Microsoft w celu wykonywania zapytań i poleceń. Tożsamości zarządzane to jedyne rozwiązanie do uwierzytelniania. |
| Klucz dostępu współdzielonego (SAS) | ✔️ | ✔️ | ❌ | ❌ | Tokeny SAS mają czas wygaśnięcia. Użyj podczas uzyskiwania dostępu do magazynu przez ograniczony czas. |
| Token dostępu firmy Microsoft Entra | ✔️ | ✔️ | ✔️ | ❌ | Tokeny firmy Microsoft Entra mają czas wygaśnięcia. Użyj podczas uzyskiwania dostępu do magazynu przez ograniczony czas. |
| Klucz dostępu do konta magazynu | ✔️ | ✔️ | ❌ | ❌ | Gdy konieczne jest ciągłe uzyskiwanie dostępu do zasobów. |
| Klucze dostępu programowego usług Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Jeśli potrzebujesz stale uzyskiwać dostęp do zasobów usługi Amazon S3. |
| Adres URL wstępnie podpisany przez usługę Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Jeśli musisz uzyskać dostęp do zasobów usługi Amazon S3 przy użyciu wstępnie podpisanego adresu URL tymczasowego. |
Personifikacja
Usługa Azure Data Explorer personifikuje tożsamość główną osoby żądającej w celu uzyskania dostępu do zasobu. Aby użyć personifikacji, dołącz ;impersonate element do parametry połączenia.
| Przykład |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Podmiot zabezpieczeń musi mieć niezbędne uprawnienia do wykonania operacji. Na przykład w usłudze Azure Blob Storage do odczytu z obiektu blob jednostka wymaga roli Czytelnik danych obiektu blob usługi Storage i wyeksportowania do obiektu blob podmiot zabezpieczeń wymaga roli Współautor danych obiektu blob usługi Storage. Aby dowiedzieć się więcej, zobacz Azure Blob Storage / Data Lake Storage Gen2 access control (Kontrola dostępu usługi Azure Blob Storage/ Data Lake Storage Gen2) lub Data Lake Storage Gen1 access control (Kontrola dostępu usługi Data Lake Storage Gen1).
Tożsamość zarządzana
Usługa Azure Data Explorer wysyła żądania w imieniu tożsamości zarządzanej i używa jej tożsamości do uzyskiwania dostępu do zasobów. W przypadku tożsamości zarządzanej przypisanej przez system dołącz ;managed_identity=system element do parametry połączenia. W przypadku tożsamości zarządzanej przypisanej przez użytkownika dołącz ;managed_identity={object_id} element do parametry połączenia.
| Typ tożsamości zarządzanej | Przykład |
|---|---|
| Przypisane przez system | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Przypisane przez użytkownika | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Tożsamość zarządzana musi mieć niezbędne uprawnienia do wykonania operacji. Na przykład w usłudze Azure Blob Storage do odczytu z obiektu blob tożsamość zarządzana wymaga roli Czytelnik danych obiektu blob usługi Storage i wyeksportowania do obiektu blob tożsamość zarządzana wymaga roli Współautor danych obiektu blob usługi Storage. Aby dowiedzieć się więcej, zobacz Azure Blob Storage / Data Lake Storage Gen2 access control (Kontrola dostępu usługi Azure Blob Storage/ Data Lake Storage Gen2) lub Data Lake Storage Gen1 access control (Kontrola dostępu usługi Data Lake Storage Gen1).
Uwaga
Tożsamość zarządzana jest obsługiwana tylko w określonych przepływach usługi Azure Data Explorer i wymaga skonfigurowania zasad tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz Omówienie tożsamości zarządzanych.
Token dostępu współdzielonego (SAS)
W witrynie Azure Portal wygeneruj token SAS z wymaganymi uprawnieniami.
Na przykład aby odczytywać dane z magazynu zewnętrznego, określ uprawnienia Odczyt i lista, a następnie wyeksportować do magazynu zewnętrznego, określ uprawnienia do zapisu. Aby dowiedzieć się więcej, zobacz Delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego.
Użyj adresu URL sygnatury dostępu współdzielonego jako parametry połączenia.
| Przykład |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Token dostępu firmy Microsoft Entra
Aby dodać zakodowany w formacie base-64 token dostępu firmy Microsoft Entra, dołącz ;token={AadToken} go do parametry połączenia. Token musi być przeznaczony dla zasobu https://storage.azure.com/.
Aby uzyskać więcej informacji na temat generowania tokenu dostępu firmy Microsoft Entra, zobacz uzyskiwanie tokenu dostępu do autoryzacji.
| Przykład |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Klucz dostępu do konta magazynu
Aby dodać klucz dostępu do konta magazynu, dołącz klucz do parametry połączenia. W usłudze Azure Blob Storage dołącz ;{key} do parametry połączenia. W przypadku usługi Azure Data Lake Storage Gen 2 dołącz ;sharedkey={key} element do parametry połączenia.
| Konto magazynu | Przykład |
|---|---|
| Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programowe klucze dostępu usługi Amazon Web Services
Aby dodać klucze dostępu usługi Amazon Web Services, dołącz ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} go do parametry połączenia.
| Przykład |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Adres URL wstępnie podpisany przez usługę Amazon Web Services S3
Użyj wstępnie podpisanego adresu URL S3 jako parametry połączenia.
| Przykład |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla