Przechowywanie poświadczeń w usłudze Azure Key Vault
DOTYCZY:
Azure Data Factory Azure Synapse Analytics
Napiwek
Wypróbuj usługę Data Factory w usłudze Microsoft Fabric — rozwiązanie analityczne typu all-in-one dla przedsiębiorstw. Usługa Microsoft Fabric obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym, analizy biznesowej i raportowania. Dowiedz się, jak bezpłatnie rozpocząć nową wersję próbną !
Poświadczenia dla magazynów danych i obliczeń można przechowywać w usłudze Azure Key Vault. Usługa Azure Data Factory pobiera poświadczenia podczas wykonywania działania, które korzysta z magazynu danych/zasobów obliczeniowych.
Obecnie wszystkie typy działań z wyjątkiem działań niestandardowych obsługują tę funkcję. W przypadku konfiguracji łącznika sprawdź sekcję "Właściwości połączonej usługi" w każdym temacie łącznika, aby uzyskać szczegółowe informacje.
Wymagania wstępne
Ta funkcja opiera się na tożsamości zarządzanej usługi Data Factory. Dowiedz się, jak działa ona z poziomu tożsamości zarządzanej dla fabryki danych i upewnij się, że twoja fabryka danych ma skojarzona z nią tożsamość.
Kroki
Aby odwołać się do poświadczeń przechowywanych w usłudze Azure Key Vault, musisz:
- Pobierz tożsamość zarządzaną fabryki danych, kopiując wartość "Identyfikator obiektu tożsamości zarządzanej" wygenerowaną wraz z fabryką. Jeśli używasz interfejsu użytkownika tworzenia usługi ADF, identyfikator obiektu tożsamości zarządzanej będzie wyświetlany w oknie tworzenia połączonej usługi Azure Key Vault; Możesz również pobrać go z witryny Azure Portal, zobacz Pobieranie tożsamości zarządzanej fabryki danych.
- Udziel tożsamości zarządzanej dostępu do usługi Azure Key Vault. W magazynie kluczy —> zasady dostępu —> Dodaj zasady dostępu wyszukaj tę tożsamość zarządzaną, aby przyznać uprawnienia Pobierz i Wyświetl na liście rozwijanej Uprawnienia wpisu tajnego. Umożliwia tej wyznaczonej fabryce dostęp do wpisu tajnego w magazynie kluczy.
- Utwórz połączoną usługę wskazującą usługę Azure Key Vault. Zapoznaj się z połączoną usługą Azure Key Vault.
- Utwórz połączoną usługę magazynu danych. W konfiguracji odwołaj się do odpowiedniego wpisu tajnego przechowywanego w usłudze Azure Key Vault. Zapoznaj się z tematem Odwołanie do wpisu tajnego przechowywanego w usłudze Azure Key Vault.
Połączona usługa Azure Key Vault
Następujące właściwości są obsługiwane w przypadku połączonej usługi Azure Key Vault:
| Właściwości | Opis | Wymagania |
|---|---|---|
| type | Właściwość type musi być ustawiona na: AzureKeyVault. | Tak |
| baseUrl | Określ adres URL usługi Azure Key Vault. | Tak |
Korzystanie z interfejsu użytkownika tworzenia:
Wybierz pozycję Połączenie ions ->Linked Services ->New. W obszarze Nowa połączona usługa wyszukaj i wybierz pozycję "Azure Key Vault":
Wybierz aprowizowaną usługę Azure Key Vault, w której są przechowywane poświadczenia. Możesz wykonać test Połączenie ion, aby upewnić się, że połączenie usługi AKV jest prawidłowe.
Przykład JSON:
{
"name": "AzureKeyVaultLinkedService",
"properties": {
"type": "AzureKeyVault",
"typeProperties": {
"baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
}
}
}
Wpis tajny odwołania przechowywany w magazynie kluczy
Następujące właściwości są obsługiwane podczas konfigurowania pola w połączonej usłudze odwołującej się do wpisu tajnego magazynu kluczy:
| Właściwości | Opis | Wymagania |
|---|---|---|
| type | Właściwość type pola musi być ustawiona na: AzureKeyVaultSecret. | Tak |
| secretName | Nazwa wpisu tajnego w usłudze Azure Key Vault. | Tak |
| secretVersion | Wersja wpisu tajnego w usłudze Azure Key Vault. Jeśli nie zostanie określony, zawsze używa najnowszej wersji wpisu tajnego. Jeśli zostanie określona, zostanie ona przyklejana do danej wersji. |
Nie. |
| store | Odwołuje się do połączonej usługi Azure Key Vault używanej do przechowywania poświadczeń. | Tak |
Korzystanie z interfejsu użytkownika tworzenia:
Wybierz usługę Azure Key Vault dla pól wpisów tajnych podczas tworzenia połączenia z magazynem danych/obliczeniami. Wybierz aprowizowaną połączoną usługę Azure Key Vault i podaj nazwę wpisu tajnego. Opcjonalnie możesz również podać wersję wpisu tajnego.
Napiwek
W przypadku łączników korzystających z parametry połączenia w połączonej usłudze, takiej jak SQL Server, Blob Storage itp., można wybrać przechowywanie tylko pola wpisu tajnego, np. hasła w usłudze AKV lub przechowywania całego parametry połączenia w usłudze AKV. Obie opcje można znaleźć w interfejsie użytkownika.
Przykład JSON: (zobacz sekcję "hasło")
{
"name": "DynamicsLinkedService",
"properties": {
"type": "Dynamics",
"typeProperties": {
"deploymentType": "<>",
"organizationName": "<>",
"authenticationType": "<>",
"username": "<>",
"password": {
"type": "AzureKeyVaultSecret",
"secretName": "<secret name in AKV>",
"store":{
"referenceName": "<Azure Key Vault linked service>",
"type": "LinkedServiceReference"
}
}
}
}
}
Powiązana zawartość
Aby uzyskać listę magazynów danych obsługiwanych jako źródła i ujścia działania kopiowania w usłudze Azure Data Factory, zobacz obsługiwane magazyny danych.