Cadeias de conexão de armazenamento

  • Artigo

Os Data Explorer do Azure podem interagir com serviços de armazenamento externos. Por exemplo, você pode criar tabelas externas do Armazenamento do Azure para consultar dados armazenados em armazenamentos externos.

Há suporte para os seguintes tipos de armazenamento externo:

  • Armazenamento do Blobs do Azure
  • Azure Data Lake Storage Gen2
  • Azure Data Lake Storage Gen1
  • Amazon S3

Cada tipo de armazenamento tem formatos de cadeia de conexão correspondentes usados para descrever os recursos de armazenamento e como acessá-los. O Azure Data Explorer usa um formato de URI para descrever esses recursos de armazenamento e as propriedades necessárias para acessá-los, como credenciais de segurança.

Observação

Não há suporte para serviços Web HTTP que não implementam todo o conjunto de Armazenamento de Blobs do Azure de API, mesmo que pareçam funcionar em alguns cenários.

Modelos de cadeia de conexão de armazenamento

Cada tipo de armazenamento tem um formato de cadeia de conexão diferente. Consulte a tabela a seguir para obter cadeia de conexão modelos para cada tipo de armazenamento.

Tipo de armazenamento Esquema Modelo de URI
Armazenamento de Blobs do Azure https:// https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials]
Azure Data Lake Storage Gen2 https:// https://StorageAccountName.dfs.core.windows.net/Filesystem[/PathToDirectoryOrFile][CallerCredentials]
Azure Data Lake Storage Gen2 abfss:// abfss://Filesystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile] [CallerCredentials]
Azure Data Lake Storage Gen1 adl:// adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials]
Amazon S3 https:// https://BucketName.s3.Regionname.amazonaws.com/ObjectKey[CallerCredentials]

Observação

Para impedir que segredos sejam exibidos em rastreamentos, use literais de cadeia de caracteres ofuscados.

Métodos de autenticação de armazenamento

Para interagir com o armazenamento externo não público do Azure Data Explorer, você deve especificar meios de autenticação como parte do armazenamento externo cadeia de conexão. O cadeia de conexão define o recurso a ser acessado e suas informações de autenticação.

O Azure Data Explorer dá suporte aos seguintes métodos de autenticação:

Autenticação com suporte por tipo de armazenamento

A tabela a seguir resume os métodos de autenticação disponíveis para diferentes tipos de armazenamento externo.

Método de autenticação Disponível no Armazenamento de Blobs? Disponível no Azure Data Lake Storage Gen 2? Disponível no Azure Data Lake Storage Gen 1? Disponível no Amazon S3? Quando você deve usar esse método?
Representação ✔️ ✔️ ✔️ Use para fluxos atendidos quando precisar de controle de acesso complexo sobre o armazenamento externo. Por exemplo, em fluxos de exportação contínua. Você também pode restringir o acesso de armazenamento no nível do usuário.
Identidade gerenciada ✔️ ✔️ ✔️ Use em fluxos autônomos, em que nenhuma entidade de segurança Microsoft Entra pode ser derivada para executar consultas e comandos. As identidades gerenciadas são a única solução de autenticação.
Chave de ACESSO Compartilhado (SAS) ✔️ ✔️ Os tokens SAS têm um tempo de expiração. Use ao acessar o armazenamento por um tempo limitado.
Microsoft Entra token de acesso ✔️ ✔️ ✔️ Microsoft Entra tokens têm um tempo de expiração. Use ao acessar o armazenamento por um tempo limitado.
Chave de acesso da conta de armazenamento ✔️ ✔️ Quando você precisa acessar recursos continuamente.
Chaves de acesso programáticas do Amazon Web Services ✔️ Quando você precisar acessar os recursos do Amazon S3 continuamente.
URL pré-atribuída do Amazon Web Services S3 ✔️ Quando você precisar acessar recursos do Amazon S3 com uma URL pré-atribuída temporária.

Representação

O Azure Data Explorer representa a identidade principal do solicitante para acessar o recurso. Para usar a representação, acrescente ;impersonate à cadeia de conexão.

Exemplo
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate"

A entidade de segurança deve ter as permissões necessárias para executar a operação. Por exemplo, em Armazenamento de Blobs do Azure, para ler do blob, a entidade de segurança precisa da função Leitor de Dados do Blob de Armazenamento e exportar para o blob que a entidade de segurança precisa da função Colaborador de Dados de Blob de Armazenamento. Para saber mais, confira controle de acesso Armazenamento de Blobs do Azure/Data Lake Storage Gen2 ou controle de acesso Data Lake Storage Gen1.

Identidade gerenciada

O Azure Data Explorer faz solicitações em nome de uma identidade gerenciada e usa sua identidade para acessar recursos. Para uma identidade gerenciada atribuída pelo sistema, acrescente ;managed_identity=system à cadeia de conexão. Para uma identidade gerenciada atribuída pelo usuário, acrescente ;managed_identity={object_id} à cadeia de conexão.

Tipo de identidade gerenciada Exemplo
Atribuída pelo sistema "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system"
Atribuída pelo usuário "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab"

A identidade gerenciada deve ter as permissões necessárias para executar a operação. Por exemplo, em Armazenamento de Blobs do Azure, para ler do blob, a identidade gerenciada precisa da função Leitor de Dados do Blob de Armazenamento e exportar para o blob que a identidade gerenciada precisa da função Colaborador de Dados de Blob de Armazenamento. Para saber mais, confira controle de acesso Armazenamento de Blobs do Azure/Data Lake Storage Gen2 ou controle de acesso Data Lake Storage Gen1.

Observação

A identidade gerenciada só tem suporte em fluxos de Data Explorer específicos do Azure e requer a configuração da política de identidade gerenciada. Para obter mais informações, consulte Visão geral de identidades gerenciadas.

Token DE ACESSO Compartilhado (SAS)

No portal do Azure, gere um token SAS com as permissões necessárias.

Por exemplo, para ler do armazenamento externo, especifique as permissões de Leitura e Lista e, para exportar para o armazenamento externo, especifique as permissões de Gravação. Para saber mais, confira delegar acesso usando uma assinatura de acesso compartilhado.

Use a URL sas como o cadeia de conexão.

Exemplo
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd"

Microsoft Entra token de acesso

Para adicionar um token de acesso Microsoft Entra codificado em base 64, acrescente ;token={AadToken} ao cadeia de conexão. O token deve ser para o recurso https://storage.azure.com/.

Para obter mais informações sobre como gerar um token de acesso Microsoft Entra, consulte obter um token de acesso para autorização.

Exemplo
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..."

Chave de acesso da conta de armazenamento

Para adicionar uma chave de acesso da conta de armazenamento, acrescente a chave ao cadeia de conexão. Em Armazenamento de Blobs do Azure, acrescente ;{key} ao cadeia de conexão. Para Azure Data Lake Storage Gen 2, acrescente ;sharedkey={key} ao cadeia de conexão.

Conta de armazenamento Exemplo
Armazenamento do Blobs do Azure "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...=="
Azure Data Lake Storage Gen2 "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd"

Chaves de acesso programáticas do Amazon Web Services

Para adicionar chaves de acesso do Amazon Web Services, acrescente ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} ao cadeia de conexão.

Exemplo
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY"

URL pré-atribuída do Amazon Web Services S3

Use a URL pré-atribuída do S3 como o cadeia de conexão.

Exemplo
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN"