Cadeias de conexão de armazenamento
Os Data Explorer do Azure podem interagir com serviços de armazenamento externos. Por exemplo, você pode criar tabelas externas do Armazenamento do Azure para consultar dados armazenados em armazenamentos externos.
Há suporte para os seguintes tipos de armazenamento externo:
- Armazenamento do Blobs do Azure
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Cada tipo de armazenamento tem formatos de cadeia de conexão correspondentes usados para descrever os recursos de armazenamento e como acessá-los. O Azure Data Explorer usa um formato de URI para descrever esses recursos de armazenamento e as propriedades necessárias para acessá-los, como credenciais de segurança.
Observação
Não há suporte para serviços Web HTTP que não implementam todo o conjunto de Armazenamento de Blobs do Azure de API, mesmo que pareçam funcionar em alguns cenários.
Modelos de cadeia de conexão de armazenamento
Cada tipo de armazenamento tem um formato de cadeia de conexão diferente. Consulte a tabela a seguir para obter cadeia de conexão modelos para cada tipo de armazenamento.
Tipo de armazenamento | Esquema | Modelo de URI |
---|---|---|
Armazenamento de Blobs do Azure | https:// |
https:// StorageAccountName.blob.core.windows.net/ Container[/ BlobName][CallerCredentials] |
Azure Data Lake Storage Gen2 | https:// |
https:// StorageAccountName.dfs.core.windows.net/ Filesystem[/ PathToDirectoryOrFile][CallerCredentials] |
Azure Data Lake Storage Gen2 | abfss:// |
abfss:// Filesystem@ StorageAccountName.dfs.core.windows.net/ [PathToDirectoryOrFile] [CallerCredentials] |
Azure Data Lake Storage Gen1 | adl:// |
adl:// StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
Amazon S3 | https:// |
https:// BucketName.s3. Regionname.amazonaws.com/ ObjectKey[CallerCredentials] |
Observação
Para impedir que segredos sejam exibidos em rastreamentos, use literais de cadeia de caracteres ofuscados.
Métodos de autenticação de armazenamento
Para interagir com o armazenamento externo não público do Azure Data Explorer, você deve especificar meios de autenticação como parte do armazenamento externo cadeia de conexão. O cadeia de conexão define o recurso a ser acessado e suas informações de autenticação.
O Azure Data Explorer dá suporte aos seguintes métodos de autenticação:
- Representação
- Identidade gerenciada
- Chave de ACESSO Compartilhado (SAS)
- Microsoft Entra token de acesso
- Chave de acesso da conta de armazenamento
- Chaves de acesso programáticas do Amazon Web Services
- URL pré-atribuída do Amazon Web Services S3
Autenticação com suporte por tipo de armazenamento
A tabela a seguir resume os métodos de autenticação disponíveis para diferentes tipos de armazenamento externo.
Método de autenticação | Disponível no Armazenamento de Blobs? | Disponível no Azure Data Lake Storage Gen 2? | Disponível no Azure Data Lake Storage Gen 1? | Disponível no Amazon S3? | Quando você deve usar esse método? |
---|---|---|---|---|---|
Representação | ✔️ | ✔️ | ✔️ | ❌ | Use para fluxos atendidos quando precisar de controle de acesso complexo sobre o armazenamento externo. Por exemplo, em fluxos de exportação contínua. Você também pode restringir o acesso de armazenamento no nível do usuário. |
Identidade gerenciada | ✔️ | ✔️ | ✔️ | ❌ | Use em fluxos autônomos, em que nenhuma entidade de segurança Microsoft Entra pode ser derivada para executar consultas e comandos. As identidades gerenciadas são a única solução de autenticação. |
Chave de ACESSO Compartilhado (SAS) | ✔️ | ✔️ | ❌ | ❌ | Os tokens SAS têm um tempo de expiração. Use ao acessar o armazenamento por um tempo limitado. |
Microsoft Entra token de acesso | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra tokens têm um tempo de expiração. Use ao acessar o armazenamento por um tempo limitado. |
Chave de acesso da conta de armazenamento | ✔️ | ✔️ | ❌ | ❌ | Quando você precisa acessar recursos continuamente. |
Chaves de acesso programáticas do Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Quando você precisar acessar os recursos do Amazon S3 continuamente. |
URL pré-atribuída do Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Quando você precisar acessar recursos do Amazon S3 com uma URL pré-atribuída temporária. |
Representação
O Azure Data Explorer representa a identidade principal do solicitante para acessar o recurso. Para usar a representação, acrescente ;impersonate
à cadeia de conexão.
Exemplo |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
A entidade de segurança deve ter as permissões necessárias para executar a operação. Por exemplo, em Armazenamento de Blobs do Azure, para ler do blob, a entidade de segurança precisa da função Leitor de Dados do Blob de Armazenamento e exportar para o blob que a entidade de segurança precisa da função Colaborador de Dados de Blob de Armazenamento. Para saber mais, confira controle de acesso Armazenamento de Blobs do Azure/Data Lake Storage Gen2 ou controle de acesso Data Lake Storage Gen1.
Identidade gerenciada
O Azure Data Explorer faz solicitações em nome de uma identidade gerenciada e usa sua identidade para acessar recursos. Para uma identidade gerenciada atribuída pelo sistema, acrescente ;managed_identity=system
à cadeia de conexão. Para uma identidade gerenciada atribuída pelo usuário, acrescente ;managed_identity={object_id}
à cadeia de conexão.
Tipo de identidade gerenciada | Exemplo |
---|---|
Atribuída pelo sistema | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
Atribuída pelo usuário | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
A identidade gerenciada deve ter as permissões necessárias para executar a operação. Por exemplo, em Armazenamento de Blobs do Azure, para ler do blob, a identidade gerenciada precisa da função Leitor de Dados do Blob de Armazenamento e exportar para o blob que a identidade gerenciada precisa da função Colaborador de Dados de Blob de Armazenamento. Para saber mais, confira controle de acesso Armazenamento de Blobs do Azure/Data Lake Storage Gen2 ou controle de acesso Data Lake Storage Gen1.
Observação
A identidade gerenciada só tem suporte em fluxos de Data Explorer específicos do Azure e requer a configuração da política de identidade gerenciada. Para obter mais informações, consulte Visão geral de identidades gerenciadas.
Token DE ACESSO Compartilhado (SAS)
No portal do Azure, gere um token SAS com as permissões necessárias.
Por exemplo, para ler do armazenamento externo, especifique as permissões de Leitura e Lista e, para exportar para o armazenamento externo, especifique as permissões de Gravação. Para saber mais, confira delegar acesso usando uma assinatura de acesso compartilhado.
Use a URL sas como o cadeia de conexão.
Exemplo |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra token de acesso
Para adicionar um token de acesso Microsoft Entra codificado em base 64, acrescente ;token={AadToken}
ao cadeia de conexão. O token deve ser para o recurso https://storage.azure.com/
.
Para obter mais informações sobre como gerar um token de acesso Microsoft Entra, consulte obter um token de acesso para autorização.
Exemplo |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Chave de acesso da conta de armazenamento
Para adicionar uma chave de acesso da conta de armazenamento, acrescente a chave ao cadeia de conexão. Em Armazenamento de Blobs do Azure, acrescente ;{key}
ao cadeia de conexão. Para Azure Data Lake Storage Gen 2, acrescente ;sharedkey={key}
ao cadeia de conexão.
Conta de armazenamento | Exemplo |
---|---|
Armazenamento do Blobs do Azure | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Chaves de acesso programáticas do Amazon Web Services
Para adicionar chaves de acesso do Amazon Web Services, acrescente ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}
ao cadeia de conexão.
Exemplo |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
URL pré-atribuída do Amazon Web Services S3
Use a URL pré-atribuída do S3 como o cadeia de conexão.
Exemplo |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de