Gerenciador de conexões do Armazenamento do Azure

Aplica-se a:SQL Server SSIS Integration Runtime no Azure Data Factory

O gerenciador de conexões do Armazenamento do Azure habilita a conexão de um pacote do SSIS (SQL Server Integration Services) com uma conta do Armazenamento do Azure. O gerenciador de conexões é um componente do Feature Pack do SSIS (SQL Server Integration Services) para Azure.

Na caixa de diálogo Adicionar Gerenciador de Conexões do SSIS, selecione AzureStorage>Adicionar.

As propriedades a seguir estão disponíveis.

  • Serviço: especifica o serviço de armazenamento ao qual se conectar.
  • Nome da conta: especifica o nome da conta de armazenamento.
  • Autenticação: especifica o método de autenticação a ser usado. Há suporte para autenticação com AccessKey, ServicePrincipal e SharedAccessSignature.
    • AccessKey: para esse método de autenticação, especifique a chave de conta.
    • ServicePrincipal: Para esse método de autenticação, especifique a ID do aplicativo, a Chave do aplicativo e a ID do locatário da entidade de serviço. Para que a Conexão de teste funcione, a entidade de serviço precisa ser atribuída pelo menos à função de Leitor de Dados do Storage Blob para a conta de armazenamento. Para obter mais informações, confira Conceder acesso ao blob do Azure e dados de fila com RBAC no portal do Azure.
    • SharedAccessSignature: para esse método de autenticação, especifique pelo menos o Token da assinatura de acesso compartilhado. Para testar a conexão, especifique também o escopo de recurso a ser testado. Esse escopo pode ser o Serviço, o Contêiner ou o Blob. Para Contêiner e Blob, especifique o nome do contêiner e o caminho do blob, respectivamente. Para obter mais informações, confira Visão geral da assinatura de acesso compartilhado do Armazenamento do Azure.
  • Ambiente: especifica o ambiente de nuvem que hospeda a conta de armazenamento.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Identidades gerenciadas para autenticação de recursos do Azure

Ao executar pacotes do SSIS no Azure-SSIS Integration Runtime (IR) no Azure Data Factory (ADF), você pode usar a autenticação do Microsoft Entra com a identidade gerenciada do seu ADF para acessar o Armazenamento do Azure. O seu Azure-SSIS IR pode acessar dados e copiá-los de/para a sua conta de armazenamento por meio dessa identidade gerenciada.

Observação

Ao fazer a autenticação com uma identidade gerenciada atribuída pelo usuário, o SSIS Integration Runtime precisará ser habilitado para autenticação com a mesma identidade. Para obter mais informações, confira Habilitar a autenticação do Microsoft Entra para Azure-SSIS Integration Runtime.

Consulte o artigo Autenticar o acesso ao Armazenamento do Microsoft Azure usando o Microsoft Entra ID para obter mais informações sobre autenticação do Armazenamento do Azure em geral. Para usar a autenticação do Microsoft Entra com a identidade gerenciada do seu ADF para acessar o Armazenamento do Microsoft Azure, siga estas etapas:

  1. Encontre a identidade gerenciada do seu ADF a partir do portal do Azure. Acesse as Propriedades do data factory. Copie a ID do Aplicativo da Identidade Gerenciada (não a ID de Objeto da Identidade Gerenciada).

  2. Conceda à identidade gerenciada do ADF as permissões necessárias para acessar o Armazenamento do Microsoft Azure. Para obter mais detalhes sobre as funções, confira o artigo Gerenciar direitos de acesso aos dados do Armazenamento do Microsoft Azure com o RBAC.

    • Como origem, em Controle de acesso (IAM), conceda, pelo menos, a função de Leitor de Dados do Storage Blob.
    • Como destino, em Controle de acesso (IAM), conceda, pelo menos, a função de Colaborador de Dados do Storage Blob.

Por fim, você pode configurar a autenticação do Microsoft Entra com a identidade gerenciada do ADF no gerenciador de conexões do Armazenamento do Microsoft Azure. Veja a seguir as opções para fazer isso:

  • Configurar em tempo de design. No SSIS Designer, clique duas vezes no gerenciador de conexões de Armazenamento do Microsoft Azure para abrir o Editor do gerenciador de conexões do Armazenamento do Microsoft Azure. Selecione a opção Usar identidade gerenciada para autenticar no Azure.

    Observação

    A propriedade do gerenciador de conexões ConnectUsingManagedIdentity não entra em vigor quando você executa o pacote no Designer do SSIS ou no SQL Server, indicando que a autenticação do Microsoft Entra com a identidade gerenciada do ADF não funciona.

  • Configurar em tempo de execução. Ao executar o pacote por meio do SQL Server Management Studio (SSMS) ou da atividade de Executar o Pacote SSIS no pipeline do ADF, localize o gerenciador de conexões do Armazenamento do Microsoft Azure e atualize sua propriedade ConnectUsingManagedIdentity para True.

    Observação

    No Azure-SSIS IR, todos os outros métodos de autenticação (por exemplo, segurança integrada e senha) pré-configurados em seu gerenciador de conexões do Armazenamento do Microsoft Azure são substituídos ao usar a autenticação do Microsoft Entra com a identidade gerenciada do ADF.

Para configurar a autenticação do Microsoft Entra com a identidade gerenciada do ADF em pacotes existentes, a maneira preferencial é recompilar seu projeto SSIS com o Designer do SSIS mais recente pelo menos uma vez. Reimplante esse projeto SSIS para executar no Azure-SSIS IR, para que a nova propriedade do gerenciador de conexões ConnectUsingManagedIdentity seja automaticamente adicionada a todos os gerenciadores de conexões de Armazenamento do Microsoft Azure no projeto. Como alternativa, pode-se usar diretamente a substituição de propriedade com o caminho de propriedade \Package.Connections[{o nome do seu gerenciador de conexões}].Properties[ConnectUsingManagedIdentity] atribuído a True no tempo de execução.

Proteger o tráfego de rede na sua conta de armazenamento

Quando você usa a autenticação do Microsoft Entra com a identidade gerenciada do seu ADF, é possível associar seu Azure-SSIS integration runtime a uma rede virtual e, em seguida, proteger sua conta de armazenamento limitando o acesso a redes selecionadas ou a ponto de extremidade privado. Confira o artigo Gerenciar exceções para obter instruções.

Confira também