Хранение учетных данных в Azure Key Vault

  • Статья

Область применения:Фабрика данных Azure Azure Synapse Analytics

Совет

Попробуйте использовать фабрику данных в Microsoft Fabric, решение для аналитики с одним интерфейсом для предприятий. Microsoft Fabric охватывает все, от перемещения данных до обработки и анализа данных в режиме реального времени, бизнес-аналитики и отчетности. Узнайте, как бесплатно запустить новую пробную версию !

Учетные данные для хранилищ данных и вычислительных ресурсов можно хранить в Azure Key Vault. Фабрика данных Azure извлекает учетные данные при выполнении действия, которое использует хранилище данных или вычислительный ресурс.

Сейчас эта функция поддерживается для всех видов действий, кроме пользовательских действий. Дополнительные сведения о настройке соединителя см. в разделе "Свойства связанной службы" в статьях, посвященных каждому типу соединителей.

Необходимые компоненты

Эта функция основывается на управляемом удостоверении фабрики данных. Узнайте, как работает управляемое удостоверение фабрики данных, и убедитесь, что фабрике данных назначено такое удостоверение.

Шаги

Чтобы указать учетные данные, хранимые в Azure Key Vault, необходимо:

  1. Получить управляемое удостоверение фабрики данных, скопировав значение идентификатора объекта управляемого удостоверения, созданного вместе с фабрикой. Если вы используете пользовательский интерфейс создания ADF, идентификатор объекта управляемого удостоверения будет отображаться в окне создания связанной службы Azure Key Vault. Вы также можете получить его на портале Azure. См. раздел Получение управляемого удостоверения.
  2. Предоставить управляемому удостоверению доступ к Azure Key Vault. В хранилище ключей — политики доступа —>> добавление политики доступа, выполните поиск по этому управляемому удостоверению, чтобы предоставить разрешения get и list в раскрывающемся списке разрешений секрета. Это позволит указанной фабрике получить доступ к секрету в хранилище ключей.
  3. Создайте связанную службу, указывающую на Azure Key Vault. Дополнительные сведения см. в разделе Связанная служба Azure Key Vault.
  4. Создайте связанную службу хранилища данных. В своей конфигурации сослаться на соответствующий секрет, хранящийся в Azure Key Vault. См. ссылку на секрет, хранящийся в Azure Key Vault.

Связанная служба Azure Key Vault

Для связанной службы Azure Key Vault поддерживаются следующие свойства:

Свойство Описание: Обязательное поле
type Для свойства type необходимо задать значение AzureKeyVault. Да
BaseUrl Укажите URL-адрес Azure Key Vault. Да

С помощью пользовательского интерфейса для создания:

Выберите Подключения ->Связанные службы ->Создать. В окне создания связанной службы найдите и выберите Azure Key Vault.

Search Azure Key Vault

Выберите подготовленное хранилище ключей Azure, в котором хранятся ваши учетные данные. Вы можете выполнить тестовое подключение, чтобы убедиться, что ваше подключение AKV действительно.

Configure Azure Key Vault

Пример JSON:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Указание секрета, хранящегося в хранилище ключей

Следующие свойства поддерживаются при настройке поля в связанной службе, указывающей секрет хранилища ключей:

Свойство Описание: Обязательное поле
type Для свойства type поля необходимо задать значение AzureKeyVaultSecret. Да
secretName; Имя секрета в Azure Key Vault. Да
secretVersion Версия секрета в Azure Key Vault.
Если не указано, используется последняя версия секрета.
Если указано, то он придерживается указанной версии.		 No
хранилище Ссылается на связанную службу Azure Key Vault, которая используется для хранения учетных данных. Да

С помощью пользовательского интерфейса для создания:

Выберите Azure Key Vault для секретных полей при создании подключения к своему хранилищу данных или вычислительному ресурсу. Выберите подготовленную связанную службу Azure Key Vault и укажите имя секрета. Вы также можете предоставить версию секрета.

Совет

Для соединителей, использующих строку подключения в связанной службе, например SQL Server, хранилище BLOB-объектов и т. д., можно выбрать хранение в AKV только поля секрета либо всей строки подключения. В пользовательском интерфейсе можно найти оба варианта.

Configure Azure Key Vault secret

Пример JSON: (см. раздел "пароль") 

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Связанный контент

В таблице Поддерживаемые хранилища данных приведен список хранилищ данных, которые поддерживаются в качестве источников и приемников для действия копирования в фабрике данных Azure.