Partilhar via


Armazenar credenciais no Azure Key Vault

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Gorjeta

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!

Você pode armazenar credenciais para armazenamentos de dados e cálculos em um Cofre de Chaves do Azure. O Azure Data Factory obtém as credenciais ao executar uma atividade que utiliza a computação/arquivo de dados.

Atualmente, todos os tipos de atividade, exceto a atividade personalizada, suportam esta funcionalidade. Para a configuração do conector especificamente, verifique a seção "propriedades do serviço vinculado" em cada tópico do conector para obter detalhes.

Pré-requisitos

Esse recurso depende da identidade gerenciada do data factory. Saiba como funciona a partir do Managed identity for Data factory e certifique-se de que o seu data factory tem um associado.

Passos

Para fazer referência a uma credencial armazenada no Cofre da Chave do Azure, você precisa:

  1. Recupere a identidade gerenciada do data factory copiando o valor de "Managed Identity Object ID" gerado junto com sua fábrica. Se você usar a interface do usuário de criação do ADF, a ID do objeto de identidade gerenciado será mostrada na janela de criação do serviço vinculado do Cofre da Chave do Azure; você também pode recuperá-lo do portal do Azure, consulte Recuperar identidade gerenciada do data factory.
  2. Conceda acesso à identidade gerenciada ao seu Cofre da Chave do Azure. No cofre de chaves - Políticas de acesso ->> Adicionar política de acesso, pesquise esta identidade gerenciada para conceder permissões Obter e Listar no menu suspenso Permissões secretas. Ele permite que esta fábrica designada para acessar segredo no cofre de chaves.
  3. Crie um serviço vinculado apontando para o Cofre da Chave do Azure. Consulte o serviço vinculado do Azure Key Vault.
  4. Crie o serviço vinculado de armazenamento de dados. Em sua configuração, faça referência ao segredo correspondente armazenado no Cofre da Chave do Azure. Consulte Fazer referência a um segredo armazenado no Cofre de Chaves do Azure.

Serviço ligado do Azure Key Vault

As seguintes propriedades têm suporte para o serviço vinculado do Azure Key Vault:

Property Descrição Obrigatório
tipo A propriedade type deve ser definida como: AzureKeyVault. Sim
baseUrl Especifique a URL do Cofre da Chave do Azure. Sim

Usando a interface do usuário de criação:

Selecione Conexões ->Serviços vinculados ->Novo. Em Novo serviço vinculado, procure e selecione "Azure Key Vault":

Pesquisar Azure Key Vault

Selecione o Cofre da Chave do Azure provisionado onde suas credenciais estão armazenadas. Você pode fazer Test Connection para se certificar de que sua conexão AKV é válida.

Configurar o Azure Key Vault

Exemplo JSON:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Referência ao segredo armazenado no cofre de chaves

As propriedades a seguir são suportadas quando você configura um campo no serviço vinculado fazendo referência a um segredo do cofre de chaves:

Property Descrição Obrigatório
tipo A propriedade type do campo deve ser definida como: AzureKeyVaultSecret. Sim
secretName O nome do segredo no Cofre da Chave do Azure. Sim
secretVersion A versão do segredo no Cofre da Chave do Azure.
Se não for especificado, ele sempre usa a versão mais recente do segredo.
Se especificado, então ele se mantém na versão dada.
Não
loja Refere-se a um serviço vinculado do Cofre da Chave do Azure que você usa para armazenar a credencial. Sim

Usando a interface do usuário de criação:

Selecione Azure Key Vault para campos secretos ao criar a conexão com seu armazenamento/computação de dados. Selecione o Serviço Vinculado do Cofre de Chaves do Azure provisionado e forneça o nome Secreto. Opcionalmente, você também pode fornecer uma versão secreta.

Gorjeta

Para conectores que usam cadeia de conexão em serviço vinculado como SQL Server, armazenamento de Blob, etc., você pode optar por armazenar apenas o campo secreto, por exemplo, senha em AKV, ou armazenar toda a cadeia de conexão em AKV. Você pode encontrar ambas as opções na interface do usuário.

Configurar o segredo do Cofre da Chave do Azure

Exemplo JSON: (consulte a seção "senha")

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Para obter uma lista de armazenamentos de dados suportados como fontes e coletores pela atividade de cópia no Azure Data Factory, consulte armazenamentos de dados com suporte.