Строки подключения службы хранилища
Azure Data Explorer могут взаимодействовать со службами внешнего хранилища. Например, можно создать внешние таблицы службы хранилища Azure , чтобы запрашивать данные, хранящиеся во внешних хранилищах.
Поддерживаются следующие типы внешнего хранилища:
- хранилище BLOB-объектов Azure
- Azure Data Lake Storage 2-го поколения
- Хранилище Azure Data Lake Storage 1-го поколения
- Amazon S3
Каждый тип хранилища имеет соответствующие строка подключения форматы, используемые для описания ресурсов хранилища и способа доступа к ним. Azure Data Explorer использует формат URI для описания этих ресурсов хранилища и свойств, необходимых для доступа к ним, таких как учетные данные безопасности.
Примечание
Веб-службы HTTP, которые не реализуют весь набор API Хранилище BLOB-объектов Azure, не поддерживаются, даже если они работают в некоторых сценариях.
Шаблоны строка подключения хранилища
Каждый тип хранилища имеет свой формат строка подключения. Шаблоны строка подключения для каждого типа хранилища см. в следующей таблице.
Тип хранения | Схема | Шаблон URI |
---|---|---|
хранилище BLOB-объектов Azure | https:// |
https:// StorageAccountName.blob.core.windows.net/ Container[/ BlobName][CallerCredentials] |
Azure Data Lake Storage 2-го поколения | https:// |
https:// StorageAccountName.dfs.core.windows.net/ Файловая система[/ PathToDirectoryOrFile][CallerCredentials] |
Azure Data Lake Storage 2-го поколения | abfss:// |
abfss:// Файловая система@ StorageAccountName.dfs.core.windows.net/ [PathToDirectoryOrFile] [CallerCredentials] |
Хранилище Azure Data Lake Storage 1-го поколения | adl:// |
adl:// StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
Amazon S3 | https:// |
https:// BucketName.s3. Имя_.amazonaws.com/ регионаObjectKey[CallerCredentials] |
Примечание
Чтобы предотвратить отображение секретов в трассировках, используйте скрытые строковые литералы.
Способы проверки подлинности в хранилище
Для взаимодействия с непублишным внешним хранилищем из Azure Data Explorer необходимо указать средства проверки подлинности в строка подключения внешнего хранилища. Строка подключения определяет ресурс для доступа и сведения о проверке подлинности.
Azure Data Explorer поддерживает следующие методы проверки подлинности:
- Олицетворение
- Управляемое удостоверение
- Ключ общего доступа (SAS)
- маркер доступа Microsoft Entra
- Ключ доступа к учетной записи хранения
- Программные ключи доступа Amazon Web Services
- Предварительно подписанный URL-адрес Amazon Web Services S3
Поддерживается проверка подлинности по типу хранилища
В следующей таблице перечислены доступные методы проверки подлинности для различных внешних типов хранилищ.
Метод проверки подлинности | Доступно в хранилище BLOB-объектов? | Доступно в Azure Data Lake Storage 2-го поколения? | Доступно в Azure Data Lake Storage 1-го поколения? | Доступно в Amazon S3? | Когда следует использовать этот метод? |
---|---|---|---|---|---|
Олицетворение | ✔️ | ✔️ | ✔️ | ❌ | Используйте для хученных потоков, когда требуется сложное управление доступом к внешнему хранилищу. Например, в непрерывных потоках экспорта. Вы также можете ограничить доступ к хранилищу на уровне пользователя. |
Управляемое удостоверение | ✔️ | ✔️ | ✔️ | ❌ | Используется в автоматических потоках, где для выполнения запросов и команд невозможно получить Microsoft Entra субъекта. Управляемые удостоверения — это единственное решение для проверки подлинности. |
Ключ общего доступа (SAS) | ✔️ | ✔️ | ❌ | ❌ | Срок действия маркеров SAS истек. Используйте при доступе к хранилищу в течение ограниченного времени. |
маркер доступа Microsoft Entra | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra маркеры имеют срок действия. Используйте при доступе к хранилищу в течение ограниченного времени. |
Ключ доступа к учетной записи хранения | ✔️ | ✔️ | ❌ | ❌ | Когда необходимо получить доступ к ресурсам на постоянной основе. |
Программные ключи доступа Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Если вам нужно получить доступ к ресурсам Amazon S3 на постоянной основе. |
Предварительно подписанный URL-адрес Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Если вам нужно получить доступ к ресурсам Amazon S3 с временным url-адресом с предварительно заданным url-адресом. |
Олицетворение
Azure Data Explorer олицетворяет удостоверение субъекта запроса для доступа к ресурсу. Чтобы использовать олицетворение, добавьте ;impersonate
к строка подключения.
Пример |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Субъект должен иметь необходимые разрешения для выполнения операции. Например, в Хранилище BLOB-объектов Azure для чтения из большого двоичного объекта субъекту требуется роль читателя данных BLOB-объектов хранилища, а для экспорта в большой двоичный объект субъекту требуется роль участник данных BLOB-объектов хранилища. Дополнительные сведения см. в статье управление доступом Хранилище BLOB-объектов Azure и Data Lake Storage 2-го поколения или управление доступом Data Lake Storage 1-го поколения.
Управляемое удостоверение
Azure Data Explorer отправляет запросы от имени управляемого удостоверения и использует его удостоверение для доступа к ресурсам. Для управляемого удостоверения, назначаемого системой, добавьте ;managed_identity=system
к строка подключения. Для управляемого удостоверения, назначаемого пользователем, добавьте ;managed_identity={object_id}
к строка подключения.
Тип управляемого удостоверения | Пример |
---|---|
Назначаемое системой | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
Назначаемое пользователем | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Управляемое удостоверение должно иметь необходимые разрешения для выполнения операции. Например, в Хранилище BLOB-объектов Azure для чтения из большого двоичного объекта управляемому удостоверению требуется роль читателя данных BLOB-объектов хранилища, а для экспорта в большой двоичный объект управляемому удостоверению требуется роль участника данных BLOB-объектов хранилища. Дополнительные сведения см. в статье управление доступом Хранилище BLOB-объектов Azure и Data Lake Storage 2-го поколения или управление доступом Data Lake Storage 1-го поколения.
Примечание
Управляемое удостоверение поддерживается только в определенных потоках Data Explorer Azure и требует настройки политики управляемых удостоверений. Дополнительные сведения см. в статье Общие сведения об управляемых удостоверениях.
Маркер общего доступа (SAS)
В портал Azure создайте маркер SAS с необходимыми разрешениями.
Например, для чтения из внешнего хранилища укажите разрешения Чтение и Список, а для экспорта во внешнее хранилище — разрешения на запись. Дополнительные сведения см. в статье Делегирование доступа с помощью подписанного URL-адреса.
Используйте URL-адрес SAS в качестве строка подключения.
Пример |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
маркер доступа Microsoft Entra
Чтобы добавить маркер доступа в кодировке Base-64 Microsoft Entra, добавьте ;token={AadToken}
к строка подключения. Маркер должен быть для ресурса https://storage.azure.com/
.
Дополнительные сведения о создании маркера доступа Microsoft Entra см. в статье Получение маркера доступа для авторизации.
Пример |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Ключ доступа к учетной записи хранения
Чтобы добавить ключ доступа к учетной записи хранения, добавьте его в строка подключения. В Хранилище BLOB-объектов Azure добавьте ;{key}
к строка подключения. Для Azure Data Lake Storage 2-го поколения добавьте ;sharedkey={key}
к строка подключения.
Учетная запись хранения | Пример |
---|---|
хранилище BLOB-объектов Azure | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
Azure Data Lake Storage 2-го поколения | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Программные ключи доступа Amazon Web Services
Чтобы добавить ключи доступа Amazon Web Services, добавьте ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}
к строка подключения.
Пример |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Предварительно подписанный URL-адрес Amazon Web Services S3
Используйте предварительно подписанный URL-адрес S3 в качестве строка подключения.
Пример |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по