分享方式:


Azure 儲存體連線管理員

適用於:SQL Server Azure Data Factory 中的 SSIS Integration Runtime

Azure 儲存體連線管理員可讓 SQL Server Integration Services (SSIS) 套件連線到 Azure 儲存體帳戶。 連線管理員是 SQL Server Integration Services (SSIS) Feature Pack for Azure 的元件。

在 [加入 SSIS 連線管理員] 對話方塊中,選取 [AzureStorage] >[加入] 。

有下列屬性可供使用。

  • 服務: 指定要連線的目標儲存體服務。
  • 帳戶名稱: 指定儲存體帳戶名稱。
  • 驗證: 指定要使用的驗證方法。 支援 AccessKey、ServicePrincipal 和 SharedAccessSignature 驗證。
    • AccessKey: 針對這種驗證方法,指定帳戶金鑰
    • ServicePrincipal: 針對此驗證方法,請指定服務主體的應用程式識別碼應用程式金鑰租用戶識別碼。 若要讓測試連線正常執行,應將服務主體至少指派給儲存體帳戶的儲存體 Blob 資料讀者角色。 如需詳細資訊,請參閱在 Azure 入口網站中使用 RBAC 授與 Azure Blob 和佇列資料的存取權 \(部分機器翻譯\)。
    • SharedAccessSignature: 針對此驗證方法,請至少指定共用存取簽章的權杖。 若要測試連線,請另外指定要測試的資源範圍。 例如服務容器Blob。 針對容器Blob,請分別指定容器名稱和 Blob 路徑。 如需詳細資訊,請參閱 Azure 儲存體共用存取簽章概觀 (機器翻譯)。
  • 環境: 指定裝載儲存體帳戶的雲端環境。

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

Azure 資源驗證的受控識別

Azure Data Factory (ADF) 中的 Azure-SSIS Integration Runtime (IR) 上執行 SSIS 套件時,您可以透過 ADF 的受控識別,使用 Microsoft Entra 身分驗證來存取 Azure 儲存體。 您的 Azure-SSIS IR 可以使用這個受控識別,在您的儲存體帳戶存取和來回複製資料。

注意

如果使用使用者指派的受控識別進行身分驗證,必須為使用相同識別進行的身分識別啟用 SSIS Integration Runtime。 如需詳細資訊,請參閱<啟用 Azure-SSIS Integration Runtime 的 Microsoft Entra 驗證> (部分機器翻譯)。

如需 Azure 儲存體身分驗證的一般資訊,請參閱<使用 Microsoft Entra ID 對 Azure 儲存體的存取進行身分驗證> (部分機器翻譯) 一文。 若要透過 ADF 的受控識別使用 Microsoft Entra 身分驗證以存取 Azure 儲存體,請遵循下列步驟:

  1. 在 Azure 入口網站尋找 ADF 的受控識別。 前往您資料處理站的屬性。 複製 [受控識別應用程式識別碼] (不是 [受控識別物件識別碼])。

  2. 授與 ADF 的受控識別必要權限以存取 Azure 儲存體。 如需角色的詳細資訊,請參閱使用 RBAC 管理 Azure 儲存體資料的存取權一文。

    • 若是存取控制 (IAM) 中的來源,至少授與儲存體 Blob 資料讀者角色。
    • 若是存取控制 (IAM) 中的目的地,至少授與儲存體 Blob 資料參與者角色。

最後,您可以在 Azure 儲存體連線管理員上,設定透過 ADF 的受控識別使用 Microsoft Entra 身分驗證。 有兩個選項可以執行此操作:

  • 在設計階段設定。 在 SSIS Designer 中,按兩下 [Azure 儲存體連線管理員] 以開啟 [Azure 儲存體連線管理員編輯器]。 選取 [在 Azure 上使用受控識別進行驗證] 選項。

    注意

    目前,當您在 SSIS Designer 或 SQL Server 上執行套件時,連線管理員屬性 ConnectUsingManagedIdentity 並不會生效 (表示無法透過 ADF 的受控識別使用 Microsoft Entra 身分驗證)。

  • 在執行階段設定。 當您透過 SQL Server Management Studio (SSMS)ADF 管線中的執行 SSIS 套件活動來執行您的套件時,請尋找 Azure 儲存體連線管理員,並將其 ConnectUsingManagedIdentity 屬性更新為 True

    注意

    在 Azure-SSIS IR 上,透過 ADF 的受控識別使用 Microsoft Entra 身分驗證時,會覆寫在您 Azure 儲存體連線管理員上預先設定的所有其他身分驗證方法 (例如整合式安全性和密碼)。

若要在您現有的套件上設定透過 ADF 的受控識別使用 Microsoft Entra 身分驗證,建議的方法是使用最新的 SSIS Designer 重建您的 SSIS 專案至少一次。 重新部署您的 SSIS 專案以在 Azure-SSIS IR 上執行,使新的連線管理員屬性 ConnectUsingManagedIdentity 自動新增至您專案中的所有 Azure 儲存體連線管理員。 替代方案是在執行階段直接使用屬性覆寫,將屬性路徑 \Package.Connections[{您的連線管理員名稱}].Properties[ConnectUsingManagedIdentity] 指派為 True

保護目標為您儲存體帳戶的網路流量

如果透過 ADF 的受控識別使用 Microsoft Entra 身分驗證,可以將 Azure-SSIS Integration Runtime 加入虛擬網路,然後藉由限制對選取網路或私人端點的存取來保護儲存體帳戶。 如需指示,請參閱管理例外狀況一文。

另請參閱