Almacenamiento de credenciales en Azure Key Vault

SE APLICA A: Azure Data Factory Azure Synapse Analytics

Sugerencia

Pruebe Data Factory en Microsoft Fabric, una solución de análisis todo en uno para empresas. Microsoft Fabric abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis en tiempo real, la inteligencia empresarial y los informes. ¡Obtenga más información sobre cómo iniciar una nueva evaluación gratuita!

Puede almacenar las credenciales de los almacenes de datos y los procesos en una instancia de Azure Key Vault. Azure Data Factory las recupera al ejecutar una actividad que usa el almacén de datos o el proceso.

Actualmente, todos los tipos de actividad, excepto la actividad personalizada, admiten esta característica. En cuanto a la configuración de conectores concretos, revise la sección "Propiedades del servicio vinculado" de cada tema de conector para obtener más información.

Prerrequisitos

Esta característica se basa en la identidad administrada de Data Factory. Aprenda cómo funciona en Identidad administrada de Data Factory y asegúrese de que su instancia de Data Factory tenga una asociada.

Pasos

Para hacer referencia a una credencial almacenada en Azure Key Vault, deberá seguir estos pasos:

  1. Recuperación de la identidad administrada de Data Factory: copie el valor de "Id. del objeto de identidad administrada" que se generó junto con la factoría. Si usa la interfaz de usuario de creación de ADF, el identificador del objeto de identidad administrada se mostrará en la ventana de creación del servicio vinculado de Azure Key Vault; también puede recuperarlo de Azure Portal, consulte la sección Recuperación de la identidad administrada de Data Factory.
  2. Concesión del acceso de identidad administrada a Azure Key Vault. En el almacén de claves -> Directivas de acceso -> Agregar directiva de acceso, busque esta identidad administrada para conceder los permisos Get y List en el menú desplegable Permisos de secretos. De esta forma, la factoría designada puede acceder al secreto del almacén de claves.
  3. Cree un servicio vinculado que apunte a su instancia de Azure Key Vault. Consulte Servicio vinculado de Azure Key Vault.
  4. Cree el servicio vinculado del almacén de datos. En su configuración, haga referencia al secreto correspondiente almacenado en Azure Key Vault. Consulte Hacer referencia a un secreto almacenado en Azure Key Vault.

Servicio vinculado de Azure Key Vault

Las siguientes propiedades son compatibles con el servicio vinculado de Azure Key Vault:

Propiedad Descripción Obligatorio
type La propiedad type debe establecerse en: AzureKeyVault.
baseUrl Especifique la dirección URL de Azure Key Vault.

Uso de la IU de creación:

Select Conexiones ->Servicios vinculados ->Nuevo. En el nuevo servicio vinculado, busque y seleccione "Azure Key Vault":

Search Azure Key Vault

Seleccione el almacén de Azure Key Vault aprovisionado en el que se almacenan las credenciales. Puede hacer una conexión de prueba para asegurarse de que su conexión de AKV es válida.

Configure Azure Key Vault

Ejemplo JSON:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Secreto de referencia almacenado en el almacén de claves

Al configurar un campo en un servicio vinculado que hace referencia a un secreto del almacén de claves, se admiten las siguientes propiedades:

Propiedad Descripción Obligatorio
type La propiedad type del campo debe establecerse en: AzureKeyVaultSecret.
secretName Nombre del secreto en Azure Key Vault.
secretVersion Versión del secreto en Azure Key Vault.
Si no se especifica, siempre se usa la versión más reciente del secreto.
Si se especifica, se usa la versión dada.
No
store Hace referencia a un servicio vinculado de Azure Key Vault que se usa para almacenar las credenciales.

Uso de la IU de creación:

Seleccione Azure Key Vault para campos secretos al crear la conexión al almacén de datos/proceso. Seleccione el servicio vinculado de Azure Key Vault aprovisionado y proporcione el nombre del secreto. También puede proporcionar una versión del secreto.

Sugerencia

Para los conectores que usan cadena de conexión en el servicio vinculado, como SQL Server, Blob Storage, etc., puede elegir almacenar solo el campo secreto, por ejemplo, la contraseña, en AKV o la cadena de conexión completa. Puede encontrar ambas opciones en la interfaz de usuario.

Configure Azure Key Vault secret

Ejemplo de JSON: (consulte la sección "Contraseña")

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Consulte los almacenes de datos compatibles para ver la lista de almacenes de datos que la actividad de copia de Azure Data Factory admite como orígenes y receptores.