Cadeias de ligação de armazenamento
O Azure Data Explorer pode interagir com serviços de armazenamento externos. Por exemplo, pode criar tabelas externas do Armazenamento do Azure para consultar dados armazenados em armazenamentos externos.
São suportados os seguintes tipos de armazenamento externo:
- Armazenamento de Blobs do Azure
- Armazenamento do Azure Data Lake Ger2
- Armazenamento do Azure Data Lake Ger1
- Amazon S3
Cada tipo de armazenamento tem formatos de cadeia de ligação correspondentes utilizados para descrever os recursos de armazenamento e como aceder aos mesmos. O Azure Data Explorer utiliza um formato URI para descrever estes recursos de armazenamento e as propriedades necessárias para aceder aos mesmos, como credenciais de segurança.
Nota
Os serviços Web HTTP que não implementam todo o conjunto de API de Armazenamento de Blobs do Azure não são suportados, mesmo que pareçam funcionar em alguns cenários.
Modelos de cadeia de ligação de armazenamento
Cada tipo de armazenamento tem um formato de cadeia de ligação diferente. Veja a tabela seguinte para cadeia de ligação modelos para cada tipo de armazenamento.
| Tipo de armazenamento | Scheme | Modelo de URI |
|---|---|---|
| Armazenamento de Blobs do Azure | https:// |
https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Armazenamento do Azure Data Lake Ger2 | https:// |
https://StorageAccountName.dfs.core.windows.net/Filesystem[/PathToDirectoryOrFile][CallerCredentials] |
| Armazenamento do Azure Data Lake Ger2 | abfss:// |
abfss://Sistema de Ficheiros@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile] [CallerCredentials] |
| Armazenamento do Azure Data Lake Ger1 | adl:// |
adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://BucketName.s3.Nome Da Região.amazonaws.com/ObjectKey[CallerCredentials] |
Nota
Para impedir que os segredos apareçam em rastreios, utilize literais de cadeias ocultas.
Métodos de autenticação de armazenamento
Para interagir com o armazenamento externo não público do Azure Data Explorer, tem de especificar meios de autenticação como parte do armazenamento externo cadeia de ligação. O cadeia de ligação define o recurso a aceder e as respetivas informações de autenticação.
O Azure Data Explorer suporta os seguintes métodos de autenticação:
- Representação
- Identidade gerida
- Chave de Acesso Partilhado (SAS)
- Microsoft Entra token de acesso
- Chave de acesso da conta de armazenamento
- Chaves de Acesso Programático dos Serviços Web amazon
- URL pré-assinado do Amazon Web Services S3
Autenticação suportada por tipo de armazenamento
A tabela seguinte resume os métodos de autenticação disponíveis para diferentes tipos de armazenamento externo.
| Método de autenticação | Disponível no armazenamento de Blobs? | Disponível no Azure Data Lake Storage Gen2? | Disponível no Azure Data Lake Storage Gen 1? | Disponível no Amazon S3? | Quando deve utilizar este método? |
|---|---|---|---|---|---|
| Representação | ✔️ | ✔️ | ✔️ | ❌ | Utilize para fluxos assistidos quando precisar de um controlo de acesso complexo sobre o armazenamento externo. Por exemplo, em fluxos de exportação contínuas. Também pode restringir o acesso ao armazenamento ao nível do utilizador. |
| Identidade gerida | ✔️ | ✔️ | ✔️ | ❌ | Utilize em fluxos não acompanhados, em que não é possível derivar Microsoft Entra principal para executar consultas e comandos. As identidades geridas são a única solução de autenticação. |
| Chave de Acesso Partilhado (SAS) | ✔️ | ✔️ | ❌ | ❌ | Os tokens de SAS têm um tempo de expiração. Utilize ao aceder ao armazenamento durante um período de tempo limitado. |
| Microsoft Entra token de acesso | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra tokens têm um tempo de expiração. Utilize ao aceder ao armazenamento durante um período de tempo limitado. |
| Chave de acesso da conta de armazenamento | ✔️ | ✔️ | ❌ | ❌ | Quando precisar de aceder aos recursos de forma contínua. |
| Chaves de Acesso Programático dos Serviços Web amazon | ❌ | ❌ | ❌ | ✔️ | Quando precisar de aceder aos recursos do Amazon S3 de forma contínua. |
| URL pré-assinado do Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Quando precisar de aceder aos recursos do Amazon S3 com um URL pré-assinado temporário. |
Representação
O Azure Data Explorer representa a identidade principal do requerente para aceder ao recurso. Para utilizar a representação, acrescente ;impersonate ao cadeia de ligação.
| Exemplo |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
O principal tem de ter as permissões necessárias para efetuar a operação. Por exemplo, no Armazenamento de Blobs do Azure, para ler a partir do blob, o principal precisa da função Leitor de Dados de Blobs de Armazenamento e exportar para o blob o principal precisa da função Contribuidor de Dados de Blobs de Armazenamento. Para saber mais, veja Armazenamento de Blobs do Azure/Data Lake Storage Gen2 controlo de acesso ou controlo de acesso Data Lake Storage Gen1.
Identidade gerida
O Azure Data Explorer faz pedidos em nome de uma identidade gerida e utiliza a respetiva identidade para aceder aos recursos. Para uma identidade gerida atribuída pelo sistema, acrescente ;managed_identity=system ao cadeia de ligação. Para uma identidade gerida atribuída pelo utilizador, acrescente ;managed_identity={object_id} ao cadeia de ligação.
| Tipo de identidade gerida | Exemplo |
|---|---|
| Atribuída pelo sistema | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Atribuída pelo utilizador | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
A identidade gerida tem de ter as permissões necessárias para executar a operação. Por exemplo, no Armazenamento de Blobs do Azure, para ler a partir do blob, a identidade gerida precisa da função Leitor de Dados do Blob de Armazenamento e exportar para o blob a identidade gerida precisa da função Contribuidor de Dados do Blob de Armazenamento. Para saber mais, veja controlo de acesso Armazenamento de Blobs do Azure/Data Lake Storage Gen2 ou controlo de acesso Data Lake Storage Gen1.
Nota
A identidade gerida só é suportada em fluxos de Data Explorer específicos do Azure e requer a configuração da política de identidade gerida. Para obter mais informações, veja Descrição geral das identidades geridas.
Token de Acesso Partilhado (SAS)
Na portal do Azure, gere um token de SAS com as permissões necessárias.
Por exemplo, para ler a partir do armazenamento externo, especifique as permissões de Leitura e Lista e para exportar para o armazenamento externo especifique as permissões de Escrita. Para saber mais, veja delegar o acesso através de uma assinatura de acesso partilhado.
Utilize o URL de SAS como cadeia de ligação.
| Exemplo |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra token de acesso
Para adicionar um token de acesso Microsoft Entra codificado de base 64, acrescente ;token={AadToken} à cadeia de ligação. O token tem de ser para o recurso https://storage.azure.com/.
Para obter mais informações sobre como gerar um token de acesso Microsoft Entra, veja Obter um token de acesso para autorização.
| Exemplo |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Chave de acesso da conta de armazenamento
Para adicionar uma chave de acesso à conta de armazenamento, acrescente a chave ao cadeia de ligação. No Armazenamento de Blobs do Azure, acrescente ;{key} ao cadeia de ligação. Para Azure Data Lake Storage Gen2, acrescente ;sharedkey={key} ao cadeia de ligação.
| Conta de armazenamento | Exemplo |
|---|---|
| Armazenamento de Blobs do Azure | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Armazenamento do Azure Data Lake Ger2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Chaves de acesso programático do Amazon Web Services
Para adicionar chaves de acesso do Amazon Web Services, acrescente ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} ao cadeia de ligação.
| Exemplo |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
URL pré-assinado do Amazon Web Services S3
Utilize o URL pré-atribuído S3 como o cadeia de ligação.
| Exemplo |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários