Considérations de sécurité relatives au déplacement des données dans Azure Data FactorySecurity considerations for data movement in Azure Data Factory

S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics

Cet article décrit l’infrastructure de sécurité de base qu’utilisent les services de déplacement des données dans Azure Data Factory pour vous aider à sécuriser vos données.This article describes basic security infrastructure that data movement services in Azure Data Factory use to help secure your data. Les ressources de gestion Data Factory reposent sur l’infrastructure de sécurité Azure et utilisent toutes les mesures de sécurité possibles proposées par Azure.Data Factory management resources are built on Azure security infrastructure and use all possible security measures offered by Azure.

Dans une solution Data Factory, vous créez un ou plusieurs pipelines de données.In a Data Factory solution, you create one or more data pipelines. Un pipeline constitue un regroupement logique d’activités qui exécutent ensemble une tâche.A pipeline is a logical grouping of activities that together perform a task. Ces pipelines se trouvent dans la région où la fabrique de données a été créée.These pipelines reside in the region where the data factory was created.

Bien que Data Factory soit disponible uniquement dans certaines régions, le service de déplacement de données est disponible globalement pour assurer la conformité des données, l’efficacité et une réduction des coûts de sortie réseau.Even though Data Factory is only available in few regions, the data movement service is available globally to ensure data compliance, efficiency, and reduced network egress costs.

Azure Data Factory, y compris Azure Integration Runtime et IR auto-hébergé, ne stocke aucune donnée temporaires, données de cache ou journaux, à l’exception des informations d’identification du service lié pour les banques de données cloud, chiffrées à l’aide de certificats.Azure Data Factory including Azure Integration Runtime and Self-hosted Integration Runtime does not store any temporary data, cache data or logs except for linked service credentials for cloud data stores, which are encrypted by using certificates. Grâce à Data Factory, vous créez des workflows pilotés par les données afin d’orchestrer le déplacement de données entre les banques de données prises en charge, ainsi que le traitement des données à l’aide des services de calcul situés dans d’autres régions ou dans un environnement local.With Data Factory, you create data-driven workflows to orchestrate movement of data between supported data stores, and processing of data by using compute services in other regions or in an on-premises environment. Il vous permet également analyser et gérer des workflows au moyen de Kits de développement logiciel (SDK) et d’Azure Monitor.You can also monitor and manage workflows by using SDKs and Azure Monitor.

Data Factory a obtenu les certifications suivantes :Data Factory has been certified for:

Certification CSA STARCSA STAR Certification
ISO 20000-1:2011ISO 20000-1:2011
ISO 22301:2012ISO 22301:2012
ISO 27001:2013ISO 27001:2013
ISO 27017:2015ISO 27017:2015
ISO 27018:2014ISO 27018:2014
ISO 9001:2015ISO 9001:2015
SOC 1, 2, 3SOC 1, 2, 3
HIPAA BAAHIPAA BAA

Si la conformité Azure vous intéresse et que vous désirez savoir comment Azure sécurise sa propre infrastructure, consultez le Centre de confidentialité Microsoft.If you're interested in Azure compliance and how Azure secures its own infrastructure, visit the Microsoft Trust Center. Pour obtenir la liste la plus récente de toutes les offres de conformité Azure, consultez https://aka.ms/AzureCompliance.For the latest list of all Azure Compliance offerings check - https://aka.ms/AzureCompliance.

Cet article présente les principes de sécurité à prendre en compte dans les deux scénarios de déplacement de données suivants :In this article, we review security considerations in the following two data movement scenarios:

  • Scénario cloud : Dans ce scénario, votre source et votre destination sont toutes deux accessibles publiquement via Internet.Cloud scenario: In this scenario, both your source and your destination are publicly accessible through the internet. Cela inclut les services de stockage cloud managés comme Stockage Azure, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, les services SaaS tels que Salesforce et les protocoles web tels que FTP et OData.These include managed cloud storage services such as Azure Storage, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, SaaS services such as Salesforce, and web protocols such as FTP and OData. Recherchez une liste complète des sources de données prises en charge dans Banques de données et formats pris en charge.Find a complete list of supported data sources in Supported data stores and formats.
  • Scénario hybride : Dans ce scénario, votre source ou votre destination se trouve derrière un pare-feu ou à l’intérieur d’un réseau d’entreprise local.Hybrid scenario: In this scenario, either your source or your destination is behind a firewall or inside an on-premises corporate network. Ou bien, la banque de données est un réseau ou un réseau virtuel (le plus souvent la source) et n’est pas accessible publiquement.Or, the data store is in a private network or virtual network (most often the source) and is not publicly accessible. Les serveurs de base de données hébergés sur des machines virtuelles sont également inclus dans ce scénario.Database servers hosted on virtual machines also fall under this scenario.

Nota

Cet article a été mis à jour pour pouvoir utiliser le module Azure Az PowerShell.This article has been updated to use the Azure Az PowerShell module. Le module Az PowerShell est le module PowerShell qui est recommandé pour interagir avec Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell.To get started with the Az PowerShell module, see Install Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Scénarios cloudCloud scenarios

Sécurisation des informations d’identification des banques de donnéesSecuring data store credentials

  • Stocker les informations d’identification chiffrées dans un magasin managé Azure Data Factory.Store encrypted credentials in an Azure Data Factory managed store. Data Factory permet de protéger les informations d’identification de vos banques de données en les chiffrant à l’aide de certificats managés par Microsoft.Data Factory helps protect your data store credentials by encrypting them with certificates managed by Microsoft. Ces certificats sont remplacés tous les deux ans (avec renouvellement des certificats et migration des informations d’identification).These certificates are rotated every two years (which includes certificate renewal and the migration of credentials). Pour plus d’informations sur la sécurité du stockage Azure, consultez Vue d’ensemble de la sécurité du stockage Azure.For more information about Azure Storage security, see Azure Storage security overview.
  • Stocker les informations d’identification dans Azure Key Vault.Store credentials in Azure Key Vault. Vous pouvez également stocker les informations d’identification de la banque de données dans Azure Key Vault.You can also store the data store's credential in Azure Key Vault. Data Factory récupère les informations d’identification lors de l’exécution d’une activité.Data Factory retrieves the credential during the execution of an activity. Pour plus d’informations, consultez Store credential in Azure Key Vault (Stocker les informations d’identification dans Azure Key Vault).For more information, see Store credential in Azure Key Vault.

Chiffrement des données en transitData encryption in transit

Tous les transferts de données entre les services de déplacement des données dans Data Factory et une banque de données cloud s’effectuent via un canal HTTPS ou TLS sécurisé, si la banque de données cloud prend en charge HTTPS ou TLS.If the cloud data store supports HTTPS or TLS, all data transfers between data movement services in Data Factory and a cloud data store are via secure channel HTTPS or TLS.

Nota

Toutes les connexions à Azure SQL Database et à Azure Synapse Analytics doivent être chiffrées (via SSL/TLS) lorsque les données sont en transit depuis et vers la base de données.All connections to Azure SQL Database and Azure Synapse Analytics require encryption (SSL/TLS) while data is in transit to and from the database. Lorsque vous créez un pipeline à l’aide de JSON, ajoutez la propriété de chiffrement et définissez sa valeur sur true dans la chaîne de connexion.When you're authoring a pipeline by using JSON, add the encryption property and set it to true in the connection string. Pour le stockage Azure, vous pouvez utiliser HTTPS dans la chaîne de connexion.For Azure Storage, you can use HTTPS in the connection string.

Nota

Pour activer le chiffrement en transit pendant le déplacement de données depuis Oracle, suivez l’une des options suivantes :To enable encryption in transit while moving data from Oracle follow one of the below options:

  1. Sur le serveur Oracle, accédez à Oracle Advanced Security (OAS) et configurez les paramètres de chiffrement, qui prennent en charge les chiffrements Triple DES (3DES) et Advanced Encryption Standard (AES) ; les détails sont disponibles ici.In Oracle server, go to Oracle Advanced Security (OAS) and configure the encryption settings, which supports Triple-DES Encryption (3DES) and Advanced Encryption Standard (AES), refer here for details. ADF négocie automatiquement la méthode de chiffrement pour utiliser celle que vous configurez dans OAS durant l’établissement de la connexion à Oracle.ADF automatically negotiates the encryption method to use the one you configure in OAS when establishing connection to Oracle.
  2. Dans ADF, vous pouvez ajouter EncryptionMethod=1 dans la chaîne de connexion (dans le service lié).In ADF, you can add EncryptionMethod=1 in the connection string (in the Linked Service). Cette opération utilise SSL/TLS comme méthode de chiffrement.This will use SSL/TLS as the encryption method. Pour l’utiliser, vous devez désactiver les paramètres de chiffrement non SSL dans OAS du côté serveur Oracle pour éviter tout conflit de chiffrement.To use this, you need to disable non-SSL encryption settings in OAS on the Oracle server side to avoid encryption conflict.

Nota

La version du protocole TLS utilisée est 1.2.TLS version used is 1.2.

Chiffrement des données au reposData encryption at rest

Certaines banques de données prennent en charge le chiffrement des données au repos.Some data stores support encryption of data at rest. Nous vous recommandons d’activer le mécanisme de chiffrement des données pour ces banques de données.We recommend that you enable the data encryption mechanism for those data stores.

Azure Synapse AnalyticsAzure Synapse Analytics

Transparent Data Encryption (TDE) dans Azure Synapse Analytics vous aide à vous protéger contre les menaces d’activités malveillantes, par le biais d’un chiffrement et d’un déchiffrement en temps réel de vos données au repos.Transparent Data Encryption (TDE) in Azure Synapse Analytics helps protect against the threat of malicious activity by performing real-time encryption and decryption of your data at rest. Ce comportement est transparent pour le client.This behavior is transparent to the client. Pour plus d’informations, consultez Sécuriser une base de données dans Azure Synapse Analytics.For more information, see Secure a database in Azure Synapse Analytics.

Azure SQL DatabaseAzure SQL Database

Azure SQL Database prend également en charge TDE (Transparent Data Encryption) qui vous permet de vous protéger contre toute menace d’activité malveillante, en effectuant un chiffrement et un déchiffrement en temps réel des données, sans qu’il soit nécessaire de modifier l’application.Azure SQL Database also supports transparent data encryption (TDE), which helps protect against the threat of malicious activity by performing real-time encryption and decryption of the data, without requiring changes to the application. Ce comportement est transparent pour le client.This behavior is transparent to the client. Pour plus d’informations, consultez Transparent Data Encryption avec SQL Database et Data Warehouse.For more information, see Transparent data encryption for SQL Database and Data Warehouse.

Azure Data Lake StoreAzure Data Lake Store

Azure Data Lake Store assure également le chiffrement des données stockées dans le compte.Azure Data Lake Store also provides encryption for data stored in the account. Une fois activé, Data Lake Store chiffre automatiquement les données avant qu’elles soient rendues persistantes, il les déchiffre avant qu’elles soient récupérées, les rendant transparentes pour le client qui accède aux données.When enabled, Data Lake Store automatically encrypts data before persisting and decrypts before retrieval, making it transparent to the client that accesses the data. Pour plus d’informations, consultez Sécurité dans Azure Data Lake Store.For more information, see Security in Azure Data Lake Store.

Stockage Blob Azure et stockage Table AzureAzure Blob storage and Azure Table storage

Le stockage Blob Azure et le stockage Table Azure prennent en charge le SSE (Storage Service Encryption), qui chiffre automatiquement vos données avant qu’elles ne soient persistantes dans le stockage et les déchiffre avant leur récupération.Azure Blob storage and Azure Table storage support Storage Service Encryption (SSE), which automatically encrypts your data before persisting to storage and decrypts before retrieval. Pour plus d’informations, consultez Azure Storage Service Encryption pour les données au repos.For more information, see Azure Storage Service Encryption for Data at Rest.

Amazon S3Amazon S3

Amazon S3 prend en charge le chiffrement des données au repos côté client et côté serveur.Amazon S3 supports both client and server encryption of data at rest. Pour plus d’informations, consultez Protection des données à l’aide du chiffrement.For more information, see Protecting Data Using Encryption.

Amazon RedshiftAmazon Redshift

Amazon Redshift prend en charge le chiffrement du cluster pour les données au repos.Amazon Redshift supports cluster encryption for data at rest. Pour plus d’informations, consultez Amazon Redshift Database Encryption (Chiffrement de base de données Amazon Redshift).For more information, see Amazon Redshift Database Encryption.

SalesforceSalesforce

Salesforce prend en charge Shield Platform Encryption qui permet de chiffrer tous les fichiers, pièces jointes et champs personnalisés.Salesforce supports Shield Platform Encryption that allows encryption of all files, attachments, and custom fields. Pour plus d’informations, consultez Understanding the Web Server OAuth Authentication Flow (Comprendre le flux d’authentification Web Server OAuth).For more information, see Understanding the Web Server OAuth Authentication Flow.

Scénarios hybridesHybrid scenarios

Pour les scénarios hybrides, un runtime d’intégration auto-hébergé doit être installé au sein d’un réseau local, d’un réseau virtuel (Azure) ou d’un cloud privé virtuel (Amazon).Hybrid scenarios require self-hosted integration runtime to be installed in an on-premises network, inside a virtual network (Azure), or inside a virtual private cloud (Amazon). Le runtime d’intégration auto-hébergé doit être en mesure d’accéder aux banques de données locales.The self-hosted integration runtime must be able to access the local data stores. Pour plus d’informations sur le runtime d’intégration auto-hébergé, consultez Comment créer et configurer un runtime d’intégration auto-hébergé.For more information about self-hosted integration runtime, see How to create and configure self-hosted integration runtime.

canaux de runtime d’intégration auto-hébergé

Le canal de commande autorise la communication entre les services de déplacement des données dans Data Factory et le runtime d’intégration auto-hébergé.The command channel allows communication between data movement services in Data Factory and self-hosted integration runtime. La communication contient des informations relatives à l’activité.The communication contains information related to the activity. Le canal de données est utilisé pour transférer des données entre les banques de données locales et les banques de données cloud.The data channel is used for transferring data between on-premises data stores and cloud data stores.

Informations d’identification des banques de données localesOn-premises data store credentials

Les informations d’identification peuvent être stockées dans une fabrique de données ou référencées par une fabrique de données au moment de l’exécution à partir d’Azure Key Vault.The credentials can be stored within data factory or be referenced by data factory during the runtime from Azure Key Vault. Quand vous stockez des informations d’identification dans une fabrique de données, elles sont toujours chiffrées sur le runtime d’intégration auto-hébergé.If storing credentials within data factory, it is always stored encrypted on the self-hosted integration runtime.

  • Stocker des informations d’identification localement.Store credentials locally. Si vous utilisez directement l’applet de commande Set-AzDataFactoryV2LinkedService avec les chaînes de connexion et les informations d’identification incluses dans le JSON, le service lié est chiffré et stocké sur le runtime d’intégration auto-hébergé.If you directly use the Set-AzDataFactoryV2LinkedService cmdlet with the connection strings and credentials inline in the JSON, the linked service is encrypted and stored on self-hosted integration runtime. Dans ce cas, les informations d’identification passent par le service principal Azure, hautement sécurisé, avant d’aboutir à la machine d’intégration auto-hébergée, où elles sont chiffrées et stockées.In this case the credentials flow through Azure backend service, which is extremely secure, to the self-hosted integration machine where it is finally encrypted and stored. Le runtime d’intégration auto-hébergé utilise l’API de protection des données (DPAPI) Windows pour chiffrer les données sensibles et les informations d’identification.The self-hosted integration runtime uses Windows DPAPI to encrypt the sensitive data and credential information.

  • Stocker les informations d’identification dans Azure Key Vault.Store credentials in Azure Key Vault. Vous pouvez également stocker les informations d’identification de la banque de données dans Azure Key Vault.You can also store the data store's credential in Azure Key Vault. Data Factory récupère les informations d’identification lors de l’exécution d’une activité.Data Factory retrieves the credential during the execution of an activity. Pour plus d’informations, consultez Store credential in Azure Key Vault (Stocker les informations d’identification dans Azure Key Vault).For more information, see Store credential in Azure Key Vault.

  • Stocker des informations d’identification localement sur le runtime d’intégration auto-hébergé sans les faire passer par le service back-end Azure.Store credentials locally without flowing the credentials through Azure backend to the self-hosted integration runtime. Si vous souhaitez chiffrer et stocker des informations d’identification localement sur le runtime d’intégration auto-hébergé sans les faire passer par le service back-end de la fabrique de données, suivez les étapes décrites dans Chiffrer des informations d’identification pour les banques de données locales dans Azure Data Factory.If you want to encrypt and store credentials locally on the self-hosted integration runtime without having to flow the credentials through data factory backend, follow the steps in Encrypt credentials for on-premises data stores in Azure Data Factory. Tous les connecteurs prennent en charge cette option.All connectors support this option. Le runtime d’intégration auto-hébergé utilise l’API de protection des données (DPAPI) Windows pour chiffrer les données sensibles et les informations d’identification.The self-hosted integration runtime uses Windows DPAPI to encrypt the sensitive data and credential information.

    Utilisez la cmdlet New-AzDataFactoryV2LinkedServiceEncryptedCredential pour chiffrer les informations d’identification et les informations sensibles du service lié.Use the New-AzDataFactoryV2LinkedServiceEncryptedCredential cmdlet to encrypt linked service credentials and sensitive details in the linked service. Vous pouvez ensuite utiliser le JSON retourné (avec l’élément EncryptedCredential dans la chaîne de connexion) pour créer un service lié à l’aide de la cmdlet Set-AzDataFactoryV2LinkedService.You can then use the JSON returned (with the EncryptedCredential element in the connection string) to create a linked service by using the Set-AzDataFactoryV2LinkedService cmdlet.

Ports utilisés pendant le chiffrement du service lié sur le runtime d’intégration auto-hébergéPorts used when encrypting linked service on self-hosted integration runtime

Par défaut, PowerShell utilise le port 8060 sur la machine disposant du runtime d’intégration auto-hébergé pour garantir une communication sécurisée.By default, PowerShell uses port 8060 on the machine with self-hosted integration runtime for secure communication. Ce port peut être modifié en cas de besoin.If necessary, this port can be changed.

Port HTTPS pour la passerelle

Chiffrement en transitEncryption in transit

Tous les transferts de données s’effectuent via un canal sécurisé HTTPS et TLS via TCP pour empêcher les attaques de l’intercepteur pendant la communication avec les services Azure.All data transfers are via secure channel HTTPS and TLS over TCP to prevent man-in-the-middle attacks during communication with Azure services.

Vous pouvez également utiliser un VPN IPSec ou Azure ExpressRoute pour renforcer la sécurité du canal de communication entre votre réseau local et Azure.You can also use IPSec VPN or Azure ExpressRoute to further secure the communication channel between your on-premises network and Azure.

Le réseau virtuel Azure est une représentation logique de votre réseau dans le cloud.Azure Virtual Network is a logical representation of your network in the cloud. Vous pouvez connecter un réseau local à votre réseau virtuel Azure en configurant VPN IPSec (de site à site) ou ExpressRoute (peering privé).You can connect an on-premises network to your virtual network by setting up IPSec VPN (site-to-site) or ExpressRoute (private peering).

Le tableau suivant récapitule les recommandations pour la configuration du réseau et du runtime d’intégration auto-hébergé selon différentes combinaisons d’emplacements source et de destination pour le déplacement de données hybrides.The following table summarizes the network and self-hosted integration runtime configuration recommendations based on different combinations of source and destination locations for hybrid data movement.

SourceSource DestinationDestination Configuration réseauNetwork configuration Installation du runtime d’intégrationIntegration runtime setup
LocalOn-premises Machines virtuelles et services cloud déployés au sein de réseaux virtuelsVirtual machines and cloud services deployed in virtual networks VPN IPSec (de point à site ou de site à site)IPSec VPN (point-to-site or site-to-site) Le runtime d’intégration auto-hébergé doit être installé sur une machine virtuelle Azure au sein du réseau virtuel.The self-hosted integration runtime should be installed on an Azure virtual machine in the virtual network.
LocalOn-premises Machines virtuelles et services cloud déployés au sein de réseaux virtuelsVirtual machines and cloud services deployed in virtual networks ExpressRoute (peering privé)ExpressRoute (private peering) Le runtime d’intégration auto-hébergé doit être installé sur une machine virtuelle Azure au sein du réseau virtuel.The self-hosted integration runtime should be installed on an Azure virtual machine in the virtual network.
LocalOn-premises Services Azure disposant d’un point de terminaison publicAzure-based services that have a public endpoint ExpressRoute (peering Microsoft)ExpressRoute (Microsoft peering) Le runtime d’intégration auto-hébergé peut être installé en local ou sur une machine virtuelle Azure.The self-hosted integration runtime can be installed on-premises or on an Azure virtual machine.

Les images suivantes décrivent l’utilisation du runtime d’intégration auto-hébergé pour le déplacement de données entre une base de données locale et les services Azure à l’aide d’ExpressRoute et d’un VPN IPSec (avec un réseau virtuel) :The following images show the use of self-hosted integration runtime for moving data between an on-premises database and Azure services by using ExpressRoute and IPSec VPN (with Azure Virtual Network):

ExpressRouteExpressRoute

Utiliser ExpressRoute avec passerelle

VPN IPSecIPSec VPN

VPN IPSec avec passerelle

Configurations de pare-feu et configuration de la liste d’autorisation pour les adresses IPFirewall configurations and allow list setting up for IP addresses

Nota

Vous devrez peut-être gérer les ports ou configurer une liste d’autorisation pour les domaines au niveau du pare-feu d’entreprise tel que requis par les sources de données respectives.You might have to manage ports or set up allow list for domains at the corporate firewall level as required by the respective data sources. Ce tableau utilise uniquement Azure SQL Database, Azure Synapse Analytics et Azure Data Lake Store comme exemples.This table only uses Azure SQL Database, Azure Synapse Analytics, and Azure Data Lake Store as examples.

Nota

Pour plus d’informations sur les stratégies d’accès aux données par le biais d’Azure Data Factory, consultez cet article.For details about data access strategies through Azure Data Factory, see this article.

Configuration requise du pare-feu pour un réseau local/privéFirewall requirements for on-premises/private network

Dans une entreprise, un pare-feu d’entreprise s’exécute sur le routeur central de l’organisation.In an enterprise, a corporate firewall runs on the central router of the organization. Le pare-feu Windows s’exécute en tant que démon sur la machine locale sur laquelle est installé le runtime d’intégration auto-hébergé.Windows Firewall runs as a daemon on the local machine in which the self-hosted integration runtime is installed.

Le tableau suivant indique les exigences de ports et de domaines sortants pour les pare-feu d’entreprise :The following table provides outbound port and domain requirements for corporate firewalls:

Noms de domaineDomain names Ports sortantsOutbound ports DescriptionDescription
*.servicebus.windows.net 443443 Requis par le runtime d’intégration auto-hébergé pour la création interactive.Required by the self-hosted integration runtime for interactive authoring.
{datafactory}.{region}.datafactory.azure.net
ou *.frontend.clouddatahub.netor *.frontend.clouddatahub.net
443443 Requis par le runtime d’intégration auto-hébergé pour se connecter au service Data Factory.Required by the self-hosted integration runtime to connect to the Data Factory service.
Pour les nouvelles fabriques de données créées, recherchez le nom de domaine complet à partir de votre clé de runtime d’intégration auto-hébergé dont le format est {fabrique_de_données}.{région}.datafactory.azure.net.For new created Data Factory, please find the FQDN from your Self-hosted Integration Runtime key which is in format {datafactory}.{region}.datafactory.azure.net. Pour une ancienne fabrique de données, si vous ne voyez pas le nom de domaine complet dans votre clé d’intégration auto-hébergée, utilisez *.frontend.clouddatahub.net à la place.For old Data factory, if you don't see the FQDN in your Self-hosted Integration key, please use *.frontend.clouddatahub.net instead.
download.microsoft.com 443443 Exigé par le runtime d’intégration auto-hébergé pour télécharger les mises à jour.Required by the self-hosted integration runtime for downloading the updates. Si vous avez désactivé la mise à jour automatique, vous pouvez ignorer la configuration de ce domaine.If you have disabled auto-update, you can skip configuring this domain.
*.core.windows.net 443443 Utilisé par le runtime d’intégration auto-hébergé pour se connecter au compte de stockage Azure lorsque vous utilisez la fonctionnalité copie intermédiaire.Used by the self-hosted integration runtime to connect to the Azure storage account when you use the staged copy feature.
*.database.windows.net 14331433 Nécessaire seulement quand vous copiez depuis ou vers Azure SQL Database ou Azure Synapse Analytics ; sinon, facultatif.Required only when you copy from or to Azure SQL Database or Azure Synapse Analytics and optional otherwise. Utilisez la fonctionnalité de copie intermédiaire pour copier des données vers SQL Database ou Azure Synapse Analytics sans ouvrir le port 1433.Use the staged-copy feature to copy data to SQL Database or Azure Synapse Analytics without opening port 1433.
*.azuredatalakestore.net
login.microsoftonline.com/<tenant>/oauth2/token
443443 Nécessaire lorsque vous copiez depuis ou vers Azure Data Lake Store, sinon, facultatif.Required only when you copy from or to Azure Data Lake Store and optional otherwise.

Nota

Vous devrez peut-être gérer les ports ou configurer une liste d’autorisation pour les domaines au niveau du pare-feu d’entreprise tel que requis par les sources de données respectives.You might have to manage ports or set up allow list for domains at the corporate firewall level as required by the respective data sources. Ce tableau utilise uniquement Azure SQL Database, Azure Synapse Analytics et Azure Data Lake Store comme exemples.This table only uses Azure SQL Database, Azure Synapse Analytics, and Azure Data Lake Store as examples.

Le tableau suivant indique les exigences de ports entrants pour le pare-feu Windows :The following table provides inbound port requirements for Windows Firewall:

Ports entrantsInbound ports DescriptionDescription
8060 (TCP)8060 (TCP) Requis par la cmdlet de chiffrement PowerShell comme décrit dans la rubriqueChiffrer des informations d’identification pour des banques de données locales dans Azure Data Factory et par l’application du gestionnaire des informations d’identification pour définir en toute sécurité les informations d’identification pour les banques de données locales sur le runtime d’intégration auto-hébergé.Required by the PowerShell encryption cmdlet as described in Encrypt credentials for on-premises data stores in Azure Data Factory, and by the credential manager application to securely set credentials for on-premises data stores on the self-hosted integration runtime.

Configuration requise des ports de la passerelle

Configurations IP et configuration de la liste d’autorisation dans les magasins de donnéesIP configurations and allow list setting up in data stores

Certains magasins de données dans le cloud exigent également que autorisiez l’adresse IP de la machine qui accède au magasin.Some data stores in the cloud also require that you allow the IP address of the machine accessing the store. Vérifiez que l’adresse IP de la machine runtime d’intégration auto-hébergé est autorisée ou configurée correctement dans le pare-feu.Ensure that the IP address of the self-hosted integration runtime machine is allowed or configured in the firewall appropriately.

Les magasins de données cloud suivants exigent que vous autorisiez l’adresse IP de la machine runtime d’intégration auto-hébergé.The following cloud data stores require that you allow the IP address of the self-hosted integration runtime machine. Il est possible que certains de ces magasins de données ne requièrent pas par défaut la liste d’autorisation.Some of these data stores, by default, might not require allow list.

Forum aux questionsFrequently asked questions

Le runtime d’intégration auto-hébergé peut-il être partagé entre différentes fabriques de données ?Can the self-hosted integration runtime be shared across different data factories?

Oui.Yes. Plus de détails ici.More details here.

Quelle sont les exigences de ports pour assurer un bon fonctionnement du runtime d’intégration auto-hébergé ?What are the port requirements for the self-hosted integration runtime to work?

Le runtime d’intégration auto-hébergé établit des connexions HTTP pour l’accès à Internet.The self-hosted integration runtime makes HTTP-based connections to access the internet. Le port sortant 443 doit être ouvert pour que le runtime d’intégration autohébergé puisse établir cette connexion.The outbound ports 443 must be opened for the self-hosted integration runtime to make this connection. Ouvrez le port entrant 8060 uniquement au niveau de la machine (et non au niveau du pare-feu d’entreprise) pour l’application du gestionnaire des informations d’identification.Open inbound port 8060 only at the machine level (not the corporate firewall level) for credential manager application. Si vous utilisez Azure SQL Database ou Azure Synapse Analytics comme source ou destination, vous devez également ouvrir le port 1433.If Azure SQL Database or Azure Synapse Analytics is used as the source or the destination, you need to open port 1433 as well. Pour en savoir plus, consultez la section Configurations de pare-feu et configuration de la liste d’autorisation pour les adresses IP.For more information, see the Firewall configurations and allow list setting up for IP addresses section.

Étapes suivantesNext steps

Pour en savoir plus sur les performances de l’activité de copie Azure Data Factory, consultez Guide des performances et d’optimisation de l'activité de copie.For information about Azure Data Factory Copy Activity performance, see Copy Activity performance and tuning guide.