Azure Storage-Verbindungs-ManagerAzure Storage connection manager

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Ja SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data Factoryyes SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data FactoryAnwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Ja SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data Factoryyes SSIS-Integrationslaufzeit in Azure Data FactorySSIS Integration Runtime in Azure Data Factory

Der Azure Storage-Verbindungs-Manager ermöglicht einem SQL Server Integration Services (SSIS)-Paket, die Verbindung mit einem Azure Storage-Konto herzustellen.The Azure Storage connection manager enables a SQL Server Integration Services (SSIS) package to connect to an Azure Storage account. Der Verbindungs-Manager ist eine Komponente des SQL Server Integration Services-Feature Packs (SSIS) für Azure.The connection manager is a component of the SQL Server Integration Services (SSIS) Feature Pack for Azure.

Wählen Sie im Dialogfeld SSIS-Verbindungs-Manager hinzufügen die Optionen AzureStorage > Hinzufügen aus.In the Add SSIS Connection Manager dialog box, select AzureStorage > Add.

Die folgenden Eigenschaften sind verfügbar:The following properties are available.

  • Dienst: Gibt den Speicherdienst an, mit dem eine Verbindung hergestellt werden soll.Service: Specifies the storage service to connect to.
  • Kontoname: Gibt den Speicherkontonamen an.Account name: Specifies the storage account name.
  • Authentifizierung: Gibt die zu verwendende Authentifizierungsmethode an.Authentication: Specifies the authentication method to use. „AccessKey“-, „ServicePrincipal“- und „SharedAccessSignature“-Authentifizierung werden unterstützt.AccessKey, ServicePrincipal, and SharedAccessSignature authentication are supported.
    • AccessKey: Geben Sie für diese Authentifizierungsmethode den Kontoschlüssel an.AccessKey: For this authentication method, specify the Account key.
    • ServicePrincipal: Geben Sie für diese Authentifizierungsmethode die Anwendungs-ID, den Anwendungsschlüssel und die Mandanten-ID des Dienstprinzipals an.ServicePrincipal: For this authentication method, specify the Application ID, Application key, and Tenant ID of the service principal. Damit die Testverbindung funktioniert, müssen Sie dem Dienstprinzipal für das Speicherkonto mindestens die Rolle Storage-Blobdatenleser zuweisen.For Test Connection to work, the service principal should be assigned at least the Storage Blob Data Reader role to the storage account. Weitere Informationen finden Sie unter Gewähren von Zugriff auf Azure-Blob- und -Warteschlangendaten mit RBAC über das Azure-Portal.For more information, see Grant access to Azure blob and queue data with RBAC in the Azure portal.
    • SharedAccessSignature: Geben Sie für diese Authentifizierungsmethode mindestens das Token der Shared Access Signature an.SharedAccessSignature: For this authentication method, specify at least the Token of the shared access signature. Zum Testen der Verbindung geben Sie zusätzlich den Ressourcenbereich an, der getestet werden soll.To test connection, specify additionally the resource scope to test against. Möglicherweise handelt es sich um Dienst, Container oder Blob.It may be Service, Container, or Blob. Geben Sie für Container und Blob den Containernamen bzw. den Blobpfad an.For Container and Blob, specify container name and blob path, respectively. Weitere Informationen finden Sie unter Azure Storage SAS (Shared Access Signature) – Übersicht.For more information, see Azure Storage shared access signature overview.
  • Umgebung: Gibt die Cloudumgebung an, die das Speicherkonto hostet.Environment: Specifies the cloud environment hosting the storage account.

Verwaltete Identitäten für die Authentifizierung von Azure-RessourcenManaged identities for Azure resources authentication

Beim Ausführen von SSIS-Paketen in Azure-SSIS Integration Runtime in Azure Data Factory können Sie die verwaltete Identität, die Ihrer Data Factory zugeordnet ist, zur Authentifizierung des Azure-Speichers verwenden.When running SSIS packages on Azure-SSIS integration runtime in Azure Data Factory, you can use the managed identity associated with your data factory for Azure storage authentication. Die angegebene Factory kann mithilfe dieser Identität auf Daten in Ihrem Speicherkonto zugreifen und Daten daraus oder dort hinein kopieren.The designated factory can access and copy data from or to your storage account by using this identity.

Weitere Informationen zur Azure Storage-Authentifizierung im Allgemeinen finden Sie unter Autorisieren des Zugriffs auf Azure-Blobs und -Warteschlangen mit Azure Active Directory.Refer to Authenticate access to Azure Storage using Azure Active Directory for Azure Storage authentication in general. So verwenden Sie die Authentifizierung der verwalteten Identität für Azure Storage:To use managed identity authentication for Azure Storage:

  1. Suchen Sie die verwaltete Identität für Data Factory im Azure-Portal.Find the data factory managed identity from the Azure portal. Wechseln Sie zu den Eigenschaften der Data Factory.Go to your data factory's Properties. Kopieren Sie die Anwendungs-ID der verwalteten Identität (nicht die Objekt-ID der verwalteten Identität).Copy the Managed Identity Application ID (not Managed Identity Object ID).

  2. Erteilen Sie die richtige Berechtigung für die verwaltete Identität in Ihrem Speicherkonto.Grant the managed identity proper permission in your storage account. Weitere Informationen zu den Rollen finden Sie unter Verwalten von Zugriffsrechten auf Azure Storage-Daten mit RBAC.For more details about roles, see Manage access rights to Azure Storage data with RBAC.

    • Erteilen Sie ihr als Quelle in der Zugriffssteuerung (IAM) mindestens die Rolle Storage-Blobdatenleser.As source, in Access control (IAM), grant at least the Storage Blob Data Reader role.
    • Erteilen Sie ihr als Ziel in der Zugriffssteuerung (IAM) mindestens die Rolle Mitwirkender an Storage-Blobdaten.As destination, in Access control (IAM), grant at least the Storage Blob Data Contributor role.

Konfigurieren Sie dann die Authentifizierung der verwalteten Identität für den Azure Storage-Verbindungs-Manager.Then configure managed identity authentication for the Azure Storage connection manager. Es gibt dafür folgende Optionen:Here are the options to do this:

  • Konfigurieren zur Entwurfszeit.Configure at design time. Doppelklicken Sie im SSIS-Designer auf den Azure Storage-Verbindungs-Manager, um den Azure Storage-Verbindungs-Manager-Editor zu öffnen.In SSIS Designer, double-click the Azure Storage connection manager to open Azure Storage Connection Manager Editor. Wählen Sie dort Verwaltete Identität zur Authentifizierung bei Azure verwenden.Select Use managed identity to authenticate on Azure.

    Hinweis

    Derzeit hat diese Option keine Auswirkung (bedeutet, dass die Authentifizierung der verwalteten Identität nicht funktioniert) beim Ausführen des SSIS-Pakets im SSIS-Designer oder MicrosoftMicrosoft SQL Server.Currently, this option doesn't take effect (indicating that managed identity authentication doesn't work) when you run SSIS package in SSIS Designer or MicrosoftMicrosoft SQL Server.

  • Konfigurieren zur Runtime.Configure at runtime. Suchen Sie beim Ausführen des Pakets über SQL Server Management Studio (SSMS) oder die Aktivität „SSIS-Paket ausführen“ von Azure Data Factory den Azure Storage-Verbindungs-Manager.When you run the package via SQL Server Management Studio (SSMS) or Azure Data Factory Execute SSIS Package activity, find the Azure Storage connection manager. Aktualisieren Sie dessen Eigenschaft ConnectUsingManagedIdentity auf True.Update its property ConnectUsingManagedIdentity to True.

    Hinweis

    In Azure-SSIS Integration Runtime werden alle anderen Authentifizierungsmethoden (z. B. Zugriffsschlüssel, Dienstprinzipal), die im Azure Storage-Verbindungs-Manager vorkonfiguriert sind, überschrieben, wenn die Authentifizierung der verwalteten Identität für Speichervorgänge verwendet wird.In Azure-SSIS integration runtime, all other authentication methods (for example, access key and service principal) preconfigured on the Azure Storage connection manager are overridden when managed identity authentication is used for storage operations.

Hinweis

Um die Authentifizierung von verwalteten Identitäten für vorhandene Pakete zu konfigurieren, besteht die bevorzugte Methode darin, das SSIS-Projekt mindestens einmal mit dem neuesten SSIS-Designer neu zu erstellen.To configure managed identity authentication on existing packages, the preferred way is to rebuild your SSIS project with the latest SSIS Designer at least once. Stellen Sie dieses SSIS-Projekt erneut in ihrer Azure-SSIS Integration Runtime bereit, sodass die neue Eigenschaft ConnectUsingManagedIdentity des Verbindungs-Managers automatisch allen Azure Storage Verbindungs-Managern in Ihrem SSIS-Projekt hinzugefügt wird.Redeploy that SSIS project to your Azure-SSIS integration runtime, so that the new connection manager property ConnectUsingManagedIdentity is automatically added to all Azure Storage connection managers in your SSIS project. Die alternative Methode besteht darin, eine Eigenschaftsüberschreibung direkt mit dem Eigenschaftenpfad \Package.Connections[{Name Ihres Verbindungs-Managers}].Properties[ConnectUsingManagedIdentity] zur Runtime zu verwenden.The alternative way is to directly use a property override with property path \Package.Connections[{the name of your connection manager}].Properties[ConnectUsingManagedIdentity] at runtime.

Sichern von Netzwerkdatenverkehr an Ihr SpeicherkontoSecure network traffic to your storage account

Azure Data Factory ist für Azure Storage jetzt ein vertrauenswürdiger Microsoft-Dienst.Azure Data Factory is now a trusted Microsoft service to Azure storage. Wenn Sie die verwaltete Identitätsauthentifizierung verwenden, können Sie Ihr Speicherkonto schützen, indem Sie den Zugriff auf ausgewählte Netzwerke beschränken und gleichzeitig Ihrer Data Factory den Zugriff auf Ihr Speicherkonto gestatten.When you use managed identity authentication, it is possible to secure your storage account by limiting access to selected networks while still allowing your data factory to access your storage account. Anweisungen finden Sie unter Verwalten von Ausnahmen.Please refer to Managing exceptions for instructions.

Weitere InformationenSee also

Integration Services-Verbindungen (SSIS)Integration Services (SSIS) Connections