在 Azure Synapse Analytics 中控制無伺服器 SQL 集區的儲存體帳戶存取

無伺服器 SQL 集區查詢會直接從 Azure 儲存體讀取檔案。 存取 Azure 儲存體上檔案的許可權會控制在兩個層級：

• 儲存體層級 - 使用者應具有存取基礎儲存體檔案的許可權。 您的儲存體系統管理員應該允許 Microsoft Entra 主體讀取/寫入檔案，或產生將用來存取儲存體的共用存取簽章 （SAS） 金鑰。
• SQL 服務等級 - 使用者應該已授與許可權，才能使用 外部資料表 或執行函 OPENROWSET 式來讀取資料。 深入瞭解 本節 中的必要許可權。

本文說明您可以使用的認證類型，以及 SQL 和 Microsoft Entra 使用者如何制定認證查閱。

儲存體權限

Synapse Analytics 工作區中的無伺服器 SQL 集區可以讀取儲存在 Azure Data Lake Storage 中的檔案內容。 您必須設定儲存體的許可權，才能讓執行 SQL 查詢的使用者讀取檔案。 有三種方法可以啟用檔案的存取：

• 角色型存取控制 （RBAC） 可讓您將角色指派給存放區所在租使用者中的某些 Microsoft Entra 使用者。 讀取器必須是儲存體帳戶上儲存體 Blob 資料讀取器、儲存體 Blob 資料參與者或儲存體 Blob 資料擁有者角色的成員。 在 Azure 儲存體中寫入資料的使用者必須是儲存體 Blob 資料參與者或儲存體 Blob 資料擁有者角色的成員。 儲存體擁有者角色並不表示使用者也會儲存體資料擁有者。
• 存取控制清單 （ACL） 可讓您定義 Azure 儲存體中檔案和目錄的精細 讀取（R）、寫入（W） 和 Execute（X） 許可權 。 ACL 可以指派給 Microsoft Entra 使用者。 如果讀者想要讀取 Azure 儲存體中路徑上的檔案，則他們必須對檔案路徑中的每個資料夾具有執行 (X) ACL，以及對檔案具有讀取 (R) ACL。 深入了解如何在儲存體層中設定 ACL 權限。
• 共用存取簽章 （SAS） 可讓讀取者使用限時權杖存取 Azure Data Lake 儲存體上的檔案。 讀者甚至不需要以 Microsoft Entra 使用者身分進行驗證。 SAS 權杖包含授與讀者的權限，以及權杖有效的期間。 SAS 權杖是時間限制存取任何甚至不需要位於相同 Microsoft Entra 租使用者的使用者的絕佳選擇。 您可以在儲存體帳戶或特定目錄上定義 SAS 權杖。 深入了解使用共用存取簽章授與 Azure 儲存體資源的有限存取權。

或者，您可以允許匿名存取，讓您的檔案可公開使用。 如果您有非公用資料，則不應使用此方法。

支援的儲存體授權類型

登入無伺服器 SQL 集區的使用者必須獲授權，才能存取和查詢Azure 儲存體中的檔案，如果檔案無法公開使用。 您可以使用四種授權類型來存取非公用儲存體：使用者身 分識別、共用存取簽章 、 服務主體 和 受控識別 。

注意

當您建立工作區時，Microsoft Entra 傳遞 是預設行為。

使用者身分識別

使用者身 分識別，也稱為「Microsoft Entra 傳遞」，是一種授權類型，其中登入無伺服器 SQL 集區之 Microsoft Entra 使用者的身分識別是用來授權資料存取。 存取資料之前，Azure 儲存體系統管理員必須授與 Microsoft Entra 使用者的許可權。 如資料庫使用者資料表 支援的授權類型中所述 ，SQL 使用者類型不支援它。

重要

用戶端應用程式可能會快取 Microsoft Entra 驗證權杖。 例如，Power BI 會快取 Microsoft Entra 權杖，並在一小時內重複使用相同的權杖。 如果權杖在查詢執行中間到期，長時間執行的查詢可能會失敗。 如果您遇到在查詢中間過期的 Microsoft Entra 存取權杖所造成的查詢失敗，請考慮切換至 服務主體 、 受控識別 或 共用存取簽章 。

您必須是儲存體 Blob 資料擁有者、儲存體 Blob 資料參與者或儲存體 Blob 資料讀取者角色的成員，才能使用身分識別來存取資料。 或者，您可以指定更細緻的 ACL 規則來存取檔案和資料夾。 即使您是儲存體帳戶的擁有者，您仍然需要將自己新增至其中一個儲存體 Blob 資料角色。 若要深入瞭解 Azure Data Lake Store Gen2 中的存取控制，請檢閱 Azure Data Lake 儲存體 Gen2 中的存取控制一文。

共用存取簽章

共用存取簽章 （SAS） 提供對儲存體帳戶中資源的委派存取權。 透過 SAS，客戶可以授與用戶端存取儲存體帳戶中的資源，而不需要共用帳戶金鑰。 SAS 可讓您更細微地控制您授與 SAS 的用戶端存取類型，包括有效間隔、授與許可權、可接受的 IP 位址範圍，以及可接受的通訊協定 （HTTPs/HTTP）。

您可以流覽至 Azure 入口網站 - 儲存體 帳戶 - 共用存取簽章 - >> 設定許可權 > - > 產生 SAS 和連接字串 ，以取得 SAS 權杖。

重要

產生共用存取簽章 （SAS） 權杖時，它會在權杖開頭包含問號 （ ? ）。 若要在無伺服器 SQL 集區中使用權杖，您必須在建立認證時移除問號 （ ? ）。 例如：

SAS 權杖： ?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHcEIq78%3D

若要使用 SAS 權杖來啟用存取，您必須建立資料庫範圍或伺服器範圍的認證

重要

您無法使用 SAS 權杖存取私人儲存體帳戶。 請考慮切換至 受控識別 或 Microsoft Entra 傳遞 驗證，以存取受保護的儲存體。

服務主體

服務主體 是特定 Microsoft Entra 租使用者中全域應用程式物件的本機標記法。 在儲存體存取權要獲得使用者應用程式、服務或自動化工具的授權的情況下，此驗證方法是適當的。 如需 Microsoft Entra ID 中服務主體的詳細資訊，請參閱 Microsoft Entra ID 中的應用程式和服務主體物件。

應用程式必須在 Microsoft Entra ID 中註冊。 如需註冊程式的詳細資訊，請遵循 快速入門：向 Microsoft 身分識別平臺 註冊應用程式。 註冊應用程式之後，就可以將其服務主體用於授權。

服務主體應該指派給儲存體 Blob 資料擁有者、儲存體 Blob 資料參與者，以及儲存體 Blob 資料讀取者角色，以便應用程式存取資料。 即使服務主體是儲存體帳戶的擁有者，仍需要獲得適當的儲存體 Blob 資料角色。 作為授與儲存體檔案和資料夾存取權的替代方式，可以定義服務主體的更精細 ACL 規則。

若要深入瞭解 Azure Data Lake Store Gen2 中的存取控制，請檢閱 Azure Data Lake 儲存體 Gen2 中的存取控制。

受控服務識別

受控服務識別 或受控識別也稱為 MSI。 MSI 是 Microsoft Entra ID 的功能，可為無伺服器 SQL 集區提供 Azure 服務給 Azure 服務。 MSI 會在 Microsoft Entra 識別碼中自動建立。 此身分識別可用來授權Azure 儲存體中的資料存取要求。

存取資料之前，Azure 儲存體系統管理員必須將存取資料的許可權授與受控服務識別。 將許可權授與 MSI 的方式與將許可權授與其他任何 Microsoft Entra 使用者的方式相同。

匿名存取

您可以存取放置於允許匿名存取 之 Azure 儲存體帳戶 上的公開可用檔案。

跨租使用者案例

如果Azure 儲存體與 Synapse 無伺服器 SQL 集區位於不同的租使用者中，建議使用透過服務主體 進行授權 。 您也可以使用 SAS 授權，但 不支援受控識別 。

授權類型	受防火牆保護的儲存體	非防火牆保護的儲存體
Sas	支援	支援
Service Principal	不支援	支援

注意

如果Azure 儲存體受到 Azure 儲存體防火牆 的保護， 則不支援服務主體 。

資料庫使用者支援的授權類型

下表提供 Azure Synapse Analytics 無伺服器 SQL 端點中不同登入方法的可用Azure 儲存體授權類型：

授權類型	SQL 使用者	Microsoft Entra 使用者	服務主體
使用者身分識別	不支援	支援	支援
Sas	支援	支援	支援
服務主體	支援	支援	支援
受控識別	支援	支援	支援

支援的儲存體和授權類型

您可以使用下列授權類型和Azure 儲存體類型組合：

授權類型	Blob 儲存體	ADLS Gen1	ADLS Gen2
Sas	支援	不支援	支援
服務主體	支援	支援	支援
受控識別	支援	支援	支援
使用者身分識別	支援	支援	支援

跨租使用者案例

如果Azure 儲存體與 Azure Synapse Analytics 無伺服器 SQL 集區位於不同的租使用者中，建議使用透過服務主體 進行授權 。 您也可以使用共用存取簽章 授權。 不支援受控服務識別 。

授權類型	受防火牆保護的儲存體	非防火牆保護的儲存體
Sas	支援	支援
服務主體	不支援	支援

注意

如果Azure 儲存體受到 Azure 儲存體防火牆 的保護，且位於另一個租使用者中， 則不支援服務主體 。 請改用共用存取簽章 （SAS）。

受防火牆保護的儲存體

您可以藉由建立 資源實例規則 ，設定儲存體帳戶以允許存取特定無伺服器 SQL 集區。 存取使用防火牆保護的儲存體時，請使用 使用者身分識別 或 受控識別 。

注意

Azure 儲存體上的防火牆功能處於公開預覽狀態，且可在所有公用雲端區域中使用。

下表提供 Azure Synapse Analytics 無伺服器 SQL 端點中不同登入方法的可用防火牆保護Azure 儲存體授權類型：

授權類型	SQL 使用者	Microsoft Entra 使用者	服務主體
使用者身分識別	不支援	支援	支援
Sas	不支援	不支援	不支援
服務主體	不支援	不支援	不支援
受控識別	支援	支援	支援

使用者身分識別

若要透過使用者身分識別存取以防火牆保護的儲存體，您可以使用 Azure 入口網站 或 Az.儲存體 PowerShell 模組。

透過 Azure 入口網站 Azure 儲存體 防火牆設定

1. 在 Azure 入口網站 中搜尋您的儲存體帳戶。
2. 在主要導覽功能表中，移至 [設定 ] 底下的 [網路 ]。
3. 在 [資源實例 ] 區段中 ，新增 Azure Synapse 工作區的例外狀況。
4. 選取 Microsoft.Synapse/workspaces 作為 [資源類型 ]。
5. 選取工作區的名稱作為 實例名稱 。
6. 選取 [儲存]。

透過 PowerShell Azure 儲存體防火牆設定

請遵循下列步驟來設定儲存體帳戶，並新增 Azure Synapse 工作區的例外狀況。

1. 開啟 PowerShell 或 安裝 PowerShell 。

2. 安裝最新版的 Az.儲存體 模組和 Az.Synapse 模組，例如下列腳本：

   Install-Module -Name Az.Storage -RequiredVersion 3.4.0
   Install-Module -Name Az.Synapse -RequiredVersion 0.7.0
   

   重要

   請確定您至少 使用 3.4.0 版。 您可以執行此命令來檢查 Az.儲存體 版本：

   Get-Module -ListAvailable -Name Az.Storage | Select Version
   

3. 連線至您的 Azure 租使用者：

   Connect-AzAccount
   

4. 在 PowerShell 中定義變數：

   • 資源組名 - 您可以在儲存體帳戶概觀的Azure 入口網站 中找到此專案。
   • 帳戶名稱 - 受防火牆規則保護的儲存體帳戶名稱。
   • 租使用者識別碼 - 您可以在 Microsoft Entra ID 的 [屬性 ] 底 下的 [租使用者屬性 ] 底下，于 [Azure 入口網站中找到此 識別碼。
   • 工作區名稱 - Azure Synapse 工作區的名稱。

       $resourceGroupName = "<resource group name>"
       $accountName = "<storage account name>"
       $tenantId = "<tenant id>"
       $workspaceName = "<Azure Synapse workspace name>"
   
       $workspace = Get-AzSynapseWorkspace -Name $workspaceName
       $resourceId = $workspace.Id
       $index = $resourceId.IndexOf("/resourceGroups/", 0)
       # Replace G with g - /resourceGroups/ to /resourcegroups/
       $resourceId = $resourceId.Substring(0,$index) + "/resourcegroups/" ` 
           + $resourceId.Substring($index + "/resourceGroups/".Length)
   
       $resourceId
   

   重要

   PowerShell 腳本所傳回的值 $resourceid 應該符合此範本：/subscriptions/{subscription-id}/resourcegroups/{resource-group}/providers/Microsoft.Synapse/workspaces/{name-of-workspace} 請務必以小寫撰寫 資源群組 。

5. 新增 Azure 儲存體帳戶網路規則：

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
           TenantId = $tenantId 
           ResourceId = $resourceId
       }
   
       Add-AzStorageAccountNetworkRule @parameters
   

6. 確認儲存體帳戶網路規則已套用在儲存體帳戶防火牆中。 下列 PowerShell 腳本會將 $resourceid 先前步驟中的變數與儲存體帳戶網路規則的輸出進行比較。

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
       }
   
       $rule = Get-AzStorageAccountNetworkRuleSet @parameters
       $rule.ResourceAccessRules | ForEach-Object { 
           if ($_.ResourceId -cmatch "\/subscriptions\/(\w\-*)+\/resourcegroups\/(.)+") { 
               Write-Host "Storage account network rule is successfully configured." -ForegroundColor Green
               $rule.ResourceAccessRules
           } else {
               Write-Host "Storage account network rule is not configured correctly. Remove this rule and follow the steps in detail." -ForegroundColor Red
               $rule.ResourceAccessRules
           }
       }
   

共用存取簽章

共用存取簽章無法用來存取受防火牆保護的儲存體。

服務主體

服務主體無法用來存取受防火牆保護的儲存體。 請改用受控服務識別。

受控服務識別

您必須啟用 [ 允許信任Microsoft 服務設定 ，並將 Azure 角色 指派給 該資源實例的系統指派受控識別 。

在此情況下，資源實例的存取範圍會對應至指派給受控識別的 Azure 角色。

匿名存取

您無法使用匿名存取來存取受防火牆保護的儲存體。

認證

若要查詢位於 Azure 儲存體 中的檔案，您的無伺服器 SQL 集區端點需要包含驗證資訊的認證。 使用兩種類型的認證：

• 伺服器層級認證用於使用 OPENROWSET 函式執行的臨機操作查詢。 認證 名稱 必須符合儲存體 URL。
• 資料庫範圍認證用於外部資料表。 具有應該用來存取儲存體之認證的外部資料表參考 DATA SOURCE 。

授與管理認證的許可權

若要授與管理認證的能力：

• 若要允許使用者建立或卸載伺服器層級認證，系統管理員必須在 master 資料庫中授 ALTER ANY CREDENTIAL 與其登入的許可權。 例如：

  GRANT ALTER ANY CREDENTIAL TO [login_name];
  

• 若要允許使用者建立或卸載資料庫範圍認證，系統管理員必須將資料庫的許可權授 CONTROL 與使用者資料庫中的資料庫使用者。 例如：

  GRANT CONTROL ON DATABASE::[database_name] TO [user_name];
  

授與許可權以使用認證

存取外部儲存體的資料庫使用者必須具有使用認證的許可權。 若要使用認證，使用者必須具有 REFERENCES 特定認證的許可權。

若要授 REFERENCES 與登入之伺服器層級認證的許可權，請在 master 資料庫中使用下列 T-SQL 查詢：

GRANT REFERENCES ON CREDENTIAL::[server-level_credential] TO [login_name];

若要為資料庫使用者授與 REFERENCES 資料庫範圍認證的許可權，請在使用者資料庫中使用下列 T-SQL 查詢：

GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[database-scoped_credential] TO [user_name];

伺服器層級認證

當 SQL 登入呼叫 OPENROWSET 函式而不 DATA_SOURCE 讀取儲存體帳戶上的檔案時，會使用伺服器層級認證。

伺服器層級認證 的名稱必須 符合 Azure 儲存體的基底 URL，選擇性地後面接著容器名稱。 執行 CREATE CREDENTIAL 會新增 認證。 您必須提供 CREDENTIAL NAME 引數。

注意

不支援 自 FOR CRYPTOGRAPHIC PROVIDER 變數。

伺服器層級的 CREDENTIAL 名稱必須符合下列格式： <prefix>://<storage_account_path>[/<container_name>] 。 下表說明儲存體帳戶路徑：

外部資料來源	Prefix	儲存體帳戶路徑
Azure Blob 儲存體	https	<storage_account>.blob.core.windows.net
Azure Data Lake Storage Gen1	https	<storage_account>.azuredatalakestore.net/webhdfs/v1
Azure Data Lake Storage Gen2	https	<storage_account>.dfs.core.windows.net

然後，伺服器層級認證就可以使用下列驗證類型來存取 Azure 儲存體：

使用者身分識別

如果 Microsoft Entra 使用者是儲存體 Blob 資料擁有者、儲存體 Blob 資料參與者或儲存體 Blob 資料讀取者角色的成員，則可以存取 Azure 儲存體上的任何檔案。 Microsoft Entra 使用者不需要認證來存取儲存體。

SQL 驗證的使用者無法使用 Microsoft Entra 驗證來存取儲存體。 他們可以使用受控識別、SAS 金鑰、服務主體，或如果有公用存取儲存體，透過資料庫認證存取儲存體。

共用存取簽章

下列腳本會建立伺服器層級認證，供 函 OPENROWSET 式使用 SAS 權杖存取 Azure 儲存體上的任何檔案。 建立此認證，讓 SQL 主體能夠使用 函 OPENROWSET 式來讀取 Azure 儲存體上 SAS 金鑰所保護的檔案。 認證名稱必須符合 URL。

在下列範例查詢中，將 取代為您的實際儲存體帳戶名稱，並以 <mystorageaccountcontainername> 實際的容器名稱取代 <mystorageaccountname> ：

CREATE CREDENTIAL [https://<mystorageaccountname>.dfs.core.windows.net/<mystorageaccountcontainername>]
WITH IDENTITY='SHARED ACCESS SIGNATURE'
, SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1BrIPBNJ3VYEIq78%3D';
GO

您可以選擇只使用儲存體帳戶的基底 URL，而不需要容器名稱。

服務主體

下列腳本會建立伺服器層級認證，可用來使用服務主體進行驗證和授權來存取儲存體中的檔案。 您可以在 Azure 入口網站 中流覽應用程式註冊並選取要求儲存體存取的應用程式，以找到 AppID 。 秘密 會在應用程式註冊期間取得。 AuthorityUrl 是 Microsoft Entra ID Oauth2.0 授權單位的 URL。

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'

受控識別

下列腳本會建立伺服器層級認證，供函式用來 OPENROWSET 使用 Azure Synapse 工作區受控識別存取 Azure 儲存體上的任何檔案，這是一種特殊類型的受控服務識別。

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY='Managed Identity'

您可以選擇只使用儲存體帳戶的基底 URL，而不需要容器名稱。

公用存取

不需要伺服器層級認證，即可允許存取公開可用的檔案。 在沒有認證 的情況下建立 資料來源，以存取 Azure 儲存體上的公開可用檔案。

資料庫範圍認證

當任何主體呼叫 OPENROWSET 函式時，會使用資料庫範圍認證， DATA_SOURCE 或從 無法存取公用檔案的外部資料表 中選取資料。 資料庫範圍認證不需要符合儲存體帳戶的名稱，它會在定義儲存體位置的 DATA SOURCE 中參考。

資料庫範圍認證可讓您使用下列驗證類型來存取 Azure 儲存體：

Microsoft Entra 身分識別

如果 Microsoft Entra 使用者是儲存體 Blob 資料擁有者、儲存體 Blob 資料參與者或儲存體 Blob 資料讀取者角色的成員，則可以存取 Azure 儲存體上的任何檔案。 Microsoft Entra 使用者不需要認證來存取儲存體。

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
)

SQL 驗證的使用者無法使用 Microsoft Entra 驗證來存取儲存體。 他們可以使用受控識別、SAS 金鑰、服務主體，或如果有公用存取儲存體，透過資料庫認證存取儲存體。

共用存取簽章

下列腳本會建立認證，以使用認證中指定的 SAS 權杖存取儲存體上的檔案。 腳本會建立使用此 SAS 權杖來存取儲存體的範例外部資料源。

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>'
GO
CREATE DATABASE SCOPED CREDENTIAL [SasToken]
WITH IDENTITY = 'SHARED ACCESS SIGNATURE',
     SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1KEIq78%3D';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SasToken
)

服務主體

下列腳本會建立資料庫範圍認證，以用來存取儲存體中的檔案，並使用服務主體進行驗證和授權。 您可以在 Azure 入口網站 中流覽應用程式註冊並選取要求儲存體存取的應用程式，以找到 AppID 。 秘密 會在應用程式註冊期間取得。 AuthorityUrl 是 Microsoft Entra ID Oauth2.0 授權單位的 URL。

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>

CREATE DATABASE SCOPED CREDENTIAL [<CredentialName>] WITH
IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'
GO
CREATE EXTERNAL DATA SOURCE MyDataSource
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = CredentialName
)

受控識別

下列腳本會建立資料庫範圍認證，可用來模擬目前的 Microsoft Entra 使用者作為服務的受控識別。 此腳本會建立使用工作區身分識別來存取儲存體的範例外部資料源。

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>
CREATE DATABASE SCOPED CREDENTIAL SynapseIdentity
WITH IDENTITY = 'Managed Identity';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SynapseIdentity
)

資料庫範圍認證不需要符合儲存體帳戶的名稱，因為它會明確用於定義儲存體位置的 DATA SOURCE 中。

公用存取

不需要資料庫範圍認證，即可允許存取公開可用的檔案。 建立 資料來源，而不需要認證 即可存取 Azure 儲存體上的公開可用檔案。

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.blob.core.windows.net/<container>/<path>'
)

資料庫範圍認證用於外部資料源，以指定將用來存取此儲存體的驗證方法：

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = <name of database scoped credential> 
)

範例

存取公開可用的資料來源

使用下列腳本來建立可存取公開可用資料來源的資料表。

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat]
       WITH ( FORMAT_TYPE = PARQUET)
GO
CREATE EXTERNAL DATA SOURCE publicData
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<public_container>/<path>' )
GO

CREATE EXTERNAL TABLE dbo.userPublicData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [publicData],
       FILE_FORMAT = [SynapseParquetFormat] )

資料庫使用者可以使用參考資料源的外部資料表或 OPENROWSET 函式，從資料來源讀取檔案的內容：

SELECT TOP 10 * FROM dbo.userPublicData;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet',
                                DATA_SOURCE = 'mysample',
                                FORMAT='PARQUET') as rows;
GO

使用認證存取資料來源

修改下列腳本以建立外部資料表，以使用 SAS 權杖、使用者的 Microsoft Entra 身分識別或工作區的受控識別來存取 Azure 儲存體。

-- Create master key in databases with some password (one-off per database)
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong password>'
GO

-- Create databases scoped credential that use Managed Identity, SAS token or service principal. User needs to create only database-scoped credentials that should be used to access data source:

CREATE DATABASE SCOPED CREDENTIAL WorkspaceIdentity
WITH IDENTITY = 'Managed Identity'
GO
CREATE DATABASE SCOPED CREDENTIAL SasCredential
WITH IDENTITY = 'SHARED ACCESS SIGNATURE', SECRET = 'sv=2019-10-1********ZVsTOL0ltEGhf54N8KhDCRfLRI%3D'
GO
CREATE DATABASE SCOPED CREDENTIAL SPNCredential WITH
IDENTITY = '**44e*****8f6-ag44-1890-34u4-22r23r771098@https://login.microsoftonline.com/**do99dd-87f3-33da-33gf-3d3rh133ee33/oauth2/token' 
, SECRET = '.7OaaU_454azar9WWzLL.Ea9ePPZWzQee~'
GO
-- Create data source that one of the credentials above, external file format, and external tables that reference this data source and file format:

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat] WITH ( FORMAT_TYPE = PARQUET)
GO

CREATE EXTERNAL DATA SOURCE mysample
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
-- Uncomment one of these options depending on authentication method that you want to use to access data source:
--,CREDENTIAL = WorkspaceIdentity 
--,CREDENTIAL = SasCredential 
--,CREDENTIAL = SPNCredential
)

CREATE EXTERNAL TABLE dbo.userData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [mysample],
       FILE_FORMAT = [SynapseParquetFormat] );

資料庫使用者可以使用 參考資料源的外部資料表 或 OPENROWSET 函式，從資料來源讀取檔案的內容：

SELECT TOP 10 * FROM dbo.userdata;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet', DATA_SOURCE = 'mysample', FORMAT='PARQUET') as rows;
GO

下一步

這些文章可協助您瞭解如何查詢不同的資料夾類型、檔案類型，以及建立和使用檢視：

• 查詢單一 CSV 檔案
• 查詢資料夾和多個 CSV 檔案
• 查詢特定檔案
• 查詢 Parquet 檔案
• 建立和使用檢視
• 查詢 JSON 檔案
• 查詢 Parquet 巢狀類型