Azure Data Factory - Considérations de sécurité relatives au déplacement des donnéesAzure Data Factory - Security considerations for data movement

Notes

Cet article s’applique à la version 1 de Data Factory.This article applies to version 1 of Data Factory. Si vous utilisez la version actuelle du service Data Factory, consultez Considérations de sécurité relatives au déplacement des données dans Azure Data Factory.If you are using the current version of the Data Factory service, see data movement security considerations for Data Factory.

IntroductionIntroduction

Cet article décrit l’infrastructure de sécurité de base qu’utilisent les services de déplacement des données dans Azure Data Factory pour sécuriser vos données.This article describes basic security infrastructure that data movement services in Azure Data Factory use to secure your data. Les ressources de gestion d’Azure Data Factory reposent sur l’infrastructure de sécurité Azure et utilisent toutes les mesures de sécurité proposées par Azure.Azure Data Factory management resources are built on Azure security infrastructure and use all possible security measures offered by Azure.

Dans une solution Data Factory, vous créez un ou plusieurs pipelines de données.In a Data Factory solution, you create one or more data pipelines. Un pipeline constitue un regroupement logique d’activités qui exécutent ensemble une tâche.A pipeline is a logical grouping of activities that together perform a task. Ces pipelines se trouvent dans la région où la fabrique de données a été créée.These pipelines reside in the region where the data factory was created.

Même si Data Factory est disponible uniquement dans USA Ouest, USA Est et Europe Nord, le service de déplacement des données est mondialement disponible dans plusieurs régions.Even though Data Factory is available in only West US, East US, and North Europe regions, the data movement service is available globally in several regions. Le service Data Factory s’assure que les données ne quittent pas une zone/région géographique donnée, sauf si vous demandez explicitement au service d’utiliser une autre région dans le cas où le service de déplacement des données n’est pas encore déployé dans cette région.Data Factory service ensures that data does not leave a geographical area/ region unless you explicitly instruct the service to use an alternate region if the data movement service is not yet deployed to that region.

Azure Data Factory ne stocke aucune donnée à l’exception des informations d’identification du service lié pour les banques de données cloud, qui sont chiffrées à l’aide de certificats.Azure Data Factory itself does not store any data except for linked service credentials for cloud data stores, which are encrypted using certificates. Il vous permet de créer des workflows pilotés par les données afin d’orchestrer le déplacement de données entre les banques de données prises en charge, ainsi que le traitement des données à l’aide des services de calcul situés dans d’autres régions ou dans un environnement local.It lets you create data-driven workflows to orchestrate movement of data between supported data stores and processing of data using compute services in other regions or in an on-premises environment. Il vous permet également de surveiller et gérer des workflows au moyen de programmes et à l’aide des mécanismes de l’interface utilisateur.It also allows you to monitor and manage workflows using both programmatic and UI mechanisms.

Le déplacement des données à l’aide d’Azure Data Factory a obtenu les certifications suivantes :Data movement using Azure Data Factory has been certified for:

Si la conformité Azure vous intéresse et que vous désirez savoir comment Azure protège sa propre infrastructure, consultez le Centre de confidentialité Microsoft.If you are interested in Azure compliance and how Azure secures its own infrastructure, visit the Microsoft Trust Center.

Cet article présente les principes de sécurité à prendre en compte dans les deux scénarios de déplacement de données suivants :In this article, we review security considerations in the following two data movement scenarios:

  • Scénario cloud : dans ce scénario, votre source et votre destination sont toutes deux accessibles publiquement via Internet.Cloud scenario- In this scenario, both your source and destination are publicly accessible through internet. Cela inclut les services de stockage cloud managés comme Stockage Azure, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, les services SaaS tels que Salesforce et les protocoles web tels que FTP et OData.These include managed cloud storage services like Azure Storage, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, SaaS services such as Salesforce, and web protocols such as FTP and OData. Vous trouverez ici une liste complète des sources de données prises en charge.You can find a complete list of supported data sources here.
  • Scénario hybride : dans ce scénario, votre source ou votre destination se trouve derrière un pare-feu ou au sein d’un réseau d’entreprise local, ou la banque de données se trouve dans un réseau privé/virtuel réseau (le plus souvent la source) et n’est pas accessible publiquement.Hybrid scenario- In this scenario, either your source or destination is behind a firewall or inside an on-premises corporate network or the data store is in a private network/ virtual network (most often the source) and is not publicly accessible. Les serveurs de base de données hébergés sur des machines virtuelles sont également inclus dans ce scénario.Database servers hosted on virtual machines also fall under this scenario.

Notes

Cet article a été mis à jour pour pouvoir utiliser le module Azure Az PowerShell.This article has been updated to use the Azure Az PowerShell module. Le module Az PowerShell est le module PowerShell qui est recommandé pour interagir avec Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell.To get started with the Az PowerShell module, see Install Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Scénarios cloudCloud scenarios

Sécurisation des informations d’identification des banques de donnéesSecuring data store credentials

Azure Data Factory protège les informations d’identification de vos banques de données en les chiffrant à l’aide de certificats gérés par Microsoft.Azure Data Factory protects your data store credentials by encrypting them by using certificates managed by Microsoft. Ces certificats sont remplacés tous les deux ans (avec renouvellement des certificats et migration des informations d’identification).These certificates are rotated every two years (which includes renewal of certificate and migration of credentials). Ces informations d’identification chiffrées sont stockées de manière sécurisée dans un stockage Azure géré par les services de gestion d’Azure Data Factory.These encrypted credentials are securely stored in an Azure Storage managed by Azure Data Factory management services. Pour plus d’informations sur la sécurité du stockage Azure, consultez l’article Vue d’ensemble des fonctionnalités de sécurité du stockage Azure.For more information about Azure Storage security, refer Azure Storage Security Overview.

Chiffrement des données en transitData encryption in transit

Tous les transferts de données entre les services de déplacement des données dans Data Factory et une banque de données cloud s’effectuent via un canal HTTPS ou TLS sécurisé, si la banque de données cloud prend en charge HTTPS ou TLS.If the cloud data store supports HTTPS or TLS, all data transfers between data movement services in Data Factory and a cloud data store are via secure channel HTTPS or TLS.

Notes

Toutes les connexions à Azure SQL Database et à Azure Synapse Analytics doivent toujours être chiffrées (via SSL/TLS) lorsque les données sont en transit depuis et vers la base de données.All connections to Azure SQL Database and Azure Synapse Analytics always require encryption (SSL/TLS) while data is in transit to and from the database. Lorsque vous créez un pipeline à l’aide d’un éditeur JSON, ajoutez la propriété encryption et définissez sa valeur sur true dans la chaîne de connexion.While authoring a pipeline using a JSON editor, add the encryption property and set it to true in the connection string. Si vous utilisez l’Assistant de copie, celui-ci définit cette propriété par défaut.When you use the Copy Wizard, the wizard sets this property by default. Pour le stockage Azure, vous pouvez utiliser HTTPS dans la chaîne de connexion.For Azure Storage, you can use HTTPS in the connection string.

Chiffrement des données au reposData encryption at rest

Certaines banques de données prennent en charge le chiffrement des données au repos.Some data stores support encryption of data at rest. Nous vous suggérons d’activer le mécanisme de chiffrement des données pour ces banques de données.We suggest that you enable data encryption mechanism for those data stores.

Azure Synapse AnalyticsAzure Synapse Analytics

Transparent Data Encryption (TDE) dans Azure Synapse Analytics vous aide à vous protéger contre les menaces d’activités malveillantes, par le biais d’un chiffrement et déchiffrement en temps réel de vos données au repos.Transparent Data Encryption (TDE) in Azure Synapse Analytics helps with protecting against the threat of malicious activity by performing real-time encryption and decryption of your data at rest. Ce comportement est transparent pour le client.This behavior is transparent to the client. Pour plus d’informations, consultez Sécuriser une base de données dans Azure Synapse Analytics.For more information, see Secure a database in Azure Synapse Analytics.

Azure SQL DatabaseAzure SQL Database

Azure SQL Database prend également en charge TDE (Transparent Data Encryption) qui vous protège contre toute menace d’activité malveillante, en effectuant un chiffrement et un déchiffrement en temps réel des données, sans qu’il soit nécessaire de modifier l’application.Azure SQL Database also supports transparent data encryption (TDE), which helps with protecting against the threat of malicious activity by performing real-time encryption and decryption of the data without requiring changes to the application. Ce comportement est transparent pour le client.This behavior is transparent to the client. Pour plus d’informations, consultez Transparent Data Encryption avec Azure SQL Database.For more information, see Transparent Data Encryption with Azure SQL Database.

Azure Data Lake StoreAzure Data Lake Store

Azure Data Lake Store assure également le chiffrement des données stockées dans le compte.Azure Data Lake store also provides encryption for data stored in the account. Dans ce cas, il chiffre automatiquement les données avant qu’elles soient rendues persistantes, il les déchiffre avant qu’elles soient récupérées. Ainsi, ces opérations sont totalement transparentes vis-à-vis du client qui accède aux données.When enabled, Data Lake store automatically encrypts data before persisting and decrypts before retrieval, making it transparent to the client accessing the data. Pour plus d’informations, consultez Sécurité dans Azure Data Lake Store.For more information, see Security in Azure Data Lake Store.

Stockage Blob Azure et Stockage de tables AzureAzure Blob Storage and Azure Table Storage

Stockage Blob Azure et le stockage de tables Azure prennent en charge SSE (Storage Service Encryption), qui chiffre vos données avant qu’elles ne soient persistantes dans le stockage et qui les déchiffre avant leur récupération.Azure Blob Storage and Azure Table storage supports Storage Service Encryption (SSE), which automatically encrypts your data before persisting to storage and decrypts before retrieval. Pour plus d’informations, consultez Azure Storage Service Encryption pour les données au repos.For more information, see Azure Storage Service Encryption for Data at Rest.

Amazon S3Amazon S3

Amazon S3 prend en charge le chiffrement des données au repos côté client et côté serveur.Amazon S3 supports both client and server encryption of data at Rest. Pour plus d’informations, consultez Protection des données à l’aide du chiffrement.For more information, see Protecting Data Using Encryption. Actuellement, Data Factory ne prend pas en charge Amazon S3 dans un cloud privé virtuel (VPC).Currently, Data Factory does not support Amazon S3 inside a virtual private cloud (VPC).

Amazon RedshiftAmazon Redshift

Amazon Redshift prend en charge le chiffrement du cluster pour les données au repos.Amazon Redshift supports cluster encryption for data at rest. Pour plus d’informations, consultez Amazon Redshift Database Encryption (Chiffrement de base de données Amazon Redshift).For more information, see Amazon Redshift Database Encryption. Actuellement, Data Factory ne prend pas en charge Amazon Redshift dans un cloud privé virtuel (VPC).Currently, Data Factory does not support Amazon Redshift inside a VPC.

SalesforceSalesforce

Salesforce prend en charge Shield Platform qui permet de chiffrer tous les fichiers, pièces jointes et champs personnalisés.Salesforce supports Shield Platform Encryption that allows encryption of all files, attachments, custom fields. Pour plus d’informations, consultez Understanding the Web Server OAuth Authentication Flow (Comprendre le flux d’authentification Web Server OAuth).For more information, see Understanding the Web Server OAuth Authentication Flow.

Scénarios hybrides (à l’aide de la passerelle de gestion des données)Hybrid Scenarios (using Data Management Gateway)

Pour les scénarios hybrides, la passerelle de gestion des données doit être installée au sein d’un réseau local, d’un réseau virtuel (Azure) ou d’un cloud privé virtuel (Amazon).Hybrid scenarios require Data Management Gateway to be installed in an on-premises network or inside a virtual network (Azure) or a virtual private cloud (Amazon). La passerelle doit pouvoir accéder aux banques de données locales.The gateway must be able to access the local data stores. Pour obtenir des informations détaillées sur la passerelle, consultez l’article Passerelle de gestion des données.For more information about the gateway, see Data Management Gateway.

Canaux de passerelle de gestion de données

Le canal de commande établit la communication entre les services de déplacement des données dans Data Factory et la passerelle de gestion des données.The command channel allows communication between data movement services in Data Factory and Data Management Gateway. La communication contient des informations relatives à l’activité.The communication contains information related to the activity. Le canal de données est utilisé pour transférer des données entre les banques de données locales et les banques de données cloud.The data channel is used for transferring data between on-premises data stores and cloud data stores.

Informations d’identification des banques de données localesOn-premises data store credentials

Les informations d’identification associées à vos banques de données locales sont stockées en local (et non dans le cloud).The credentials for your on-premises data stores are stored locally (not in the cloud). Elles peuvent être définies de trois façons différentes.They can be set in three different ways.

  • À l’aide de texte brut (moins sécurisé) via HTTPS depuis le portail Azure ou l’Assistant de copie.Using plain-text (less secure) via HTTPS from Azure Portal/ Copy Wizard. Les informations d’identification sont transmises en texte brut à la passerelle locale.The credentials are passed in plain-text to the on-premises gateway.
  • À l’aide de la bibliothèque de chiffrement JavaScript depuis l’Assistant de copie.Using JavaScript Cryptography library from Copy Wizard.
  • À l’aide de l’application Gestionnaire des informations d’identification ClickOnce.Using click-once based credentials manager app. L’application ClickOnce s’exécute sur l’ordinateur local ayant accès à la passerelle et définit les informations d’identification pour la banque de données.The click-once application executes on the on-premises machine that has access to the gateway and sets credentials for the data store. Cette option et l’option suivante sont les plus sécurisées.This option and the next one are the most secure options. L’application Gestionnaire des informations d’identification utilise par défaut le port 8050 de l’ordinateur hébergeant la passerelle pour établir une communication sécurisée.The credential manager app, by default, uses the port 8050 on the machine with gateway for secure communication.
  • Utilisez la cmdlet PowerShell New-AzureRmDataFactoryEncryptValue pour chiffrer les informations d’identification.Use New-AzDataFactoryEncryptValue PowerShell cmdlet to encrypt credentials. L'applet de commande utilise le certificat qui a servi à configurer la passerelle pour chiffrer les informations d'identification.The cmdlet uses the certificate that gateway is configured to use to encrypt the credentials. Vous pouvez utiliser les informations d’identification chiffrées retournées par cette cmdlet et les ajouter à l’élément EncryptedCredential de la chaîne de connexion dans le fichier JSON que vous utilisez avec la cmdlet New-AzDataFactoryLinkedService ou dans l’extrait de code JSON de Data Factory Editor dans le portail.You can use the encrypted credentials returned by this cmdlet and add it to EncryptedCredential element of the connectionString in the JSON file that you use with the New-AzDataFactoryLinkedService cmdlet or in the JSON snippet in the Data Factory Editor in the portal. Cette option et l’application ClickOnce sont les options les plus sécurisées.This option and the click-once application are the most secure options.

Chiffrement à partir de la bibliothèque de chiffrement JavaScriptJavaScript cryptography library-based encryption

Vous pouvez chiffrer les informations d’identification des banques de données à l’aide de la bibliothèque de chiffrement JavaScript depuis l’Assistant de copie.You can encrypt data store credentials using JavaScript Cryptography library from the Copy Wizard. Lorsque vous sélectionnez cette option, l’Assistant de copie récupère la clé publique de la passerelle et l’utilise pour chiffrer les informations d’identification des banques de données.When you select this option, the Copy Wizard retrieves the public key of gateway and uses it to encrypt the data store credentials. Les informations d’identification sont déchiffrées par l’ordinateur de la passerelle et protégées par l’API de protection des données Windows (DPAPI).The credentials are decrypted by the gateway machine and protected by Windows DPAPI.

Navigateurs pris en charge : IE8, IE9, IE10, IE11, Microsoft Edge, ainsi que les derniers navigateurs Firefox, Chrome, Opera et Safari.Supported browsers: IE8, IE9, IE10, IE11, Microsoft Edge, and latest Firefox, Chrome, Opera, Safari browsers.

Application Gestionnaire des informations d’identification ClickOnceClick-once credentials manager app

Vous pouvez lancer l’application Gestionnaire des informations d’identification ClickOnce depuis le portail Azure ou l’Assistant de copie lors de la création de pipelines.You can launch the click-once based credential manager app from Azure portal/Copy Wizard when authoring pipelines. Cette application s’assure que les informations d’identification ne sont pas transférées en texte brut sur le réseau.This application ensures that credentials are not transferred in plain text over the wire. Elle utilise par défaut le port 8050 de l’ordinateur hébergeant la passerelle pour établir une communication sécurisée.By default, it uses the port 8050 on the machine with gateway for secure communication. Ce port peut être modifié en cas de besoin.If necessary, this port can be changed.

Port HTTPS pour la passerelle

La passerelle de gestion des données utilise actuellement un seul certificat.Currently, Data Management Gateway uses a single certificate. Ce certificat est créé lors de l’installation de la passerelle (pour toutes les passerelles de gestion des données créées après novembre 2016 et ayant une version 2.4.xxxx.x ou ultérieure).This certificate is created during the gateway installation (applies to Data Management Gateway created after November 2016 and version 2.4.xxxx.x or later). Vous pouvez remplacer ce certificat par votre propre certificat SSL/TLS.You can replace this certificate with your own SSL/TLS certificate. Ce certificat est utilisé par l’application Gestionnaire des informations d’identification ClickOnce pour se connecter en toute sécurité à l’ordinateur de la passerelle et définir les informations d’identification des banques de données.This certificate is used by the click-once credential manager application to securely connect to the gateway machine for setting data store credentials. Il stocke les informations d’identification des banques de données en local et de manière sécurisée à l’aide de l’API Windows DPAPI sur l’ordinateur qui héberge la passerelle.It stores data store credentials securely on-premises by using the Windows DPAPI on the machine with gateway.

Notes

Les passerelles plus anciennes qui ont été installées avant novembre 2016 ou ayant une version 2.3.xxxx.x continuent à utiliser les informations d’identification chiffrées et stockées dans le cloud.Older gateways that were installed before November 2016 or of version 2.3.xxxx.x continue to use credentials encrypted and stored on cloud. Même si vous mettez à niveau la passerelle vers la dernière version, les informations d’identification ne sont pas migrées vers un ordinateur local.Even if you upgrade the gateway to the latest version, the credentials are not migrated to an on-premises machine

Version de la passerelle (lors de la création)Gateway version (during creation) Informations d’identification stockéesCredentials Stored Chiffrement/sécurité des informations d’identificationCredential encryption/ security
< = 2.3.xxxx.x< = 2.3.xxxx.x Dans le cloudOn cloud Chiffrement à l’aide d’un certificat (différent de celui utilisé par l’application Gestionnaire des informations d’identification)Encrypted using certificate (different from the one used by Credential manager app)
> = 2.4.xxxx.x> = 2.4.xxxx.x LocalementOn premises Sécurisation à l’aide de DPAPISecured via DPAPI

Chiffrement en transitEncryption in transit

Tous les transferts de données s’effectuent via un canal sécurisé HTTPS et TLS via TCP pour empêcher les attaques de l’intercepteur pendant la communication avec les services Azure.All data transfers are via secure channel HTTPS and TLS over TCP to prevent man-in-the-middle attacks during communication with Azure services.

Vous pouvez également utiliser un VPN IPSec ou ExpressRoute pour renforcer la sécurité du canal de communication entre votre réseau local et Azure.You can also use IPSec VPN or Express Route to further secure the communication channel between your on-premises network and Azure.

Un réseau virtuel est une représentation logique de votre réseau dans le cloud.Virtual network is a logical representation of your network in the cloud. Vous pouvez connecter un réseau local à votre réseau virtuel Azure (VNet) en configurant un VPN IPSec (de site à site) ou ExpressRoute (peering privé).You can connect an on-premises network to your Azure virtual network (VNet) by setting up IPSec VPN (site-to-site) or Express Route (Private Peering)

Le tableau suivant récapitule les recommandations de configuration réseau et de la passerelle selon différentes combinaisons d’emplacements source et de destination pour le déplacement de données hybrides.The following table summarizes the network and gateway configuration recommendations based on different combinations of source and destination locations for hybrid data movement.

SourceSource DestinationDestination Configuration réseauNetwork configuration Configuration de la passerelleGateway setup
LocalOn-premises Machines virtuelles et services cloud déployés au sein de réseaux virtuelsVirtual machines and cloud services deployed in virtual networks VPN IPSec (de point à site ou de site à site)IPSec VPN (point-to-site or site-to-site) La passerelle peut être installée en local ou sur une machine virtuelle Azure au sein du réseau virtuelGateway can be installed either on-premises or on an Azure virtual machine (VM) in VNet
LocalOn-premises Machines virtuelles et services cloud déployés au sein de réseaux virtuelsVirtual machines and cloud services deployed in virtual networks ExpressRoute (peering privé)ExpressRoute (Private Peering) La passerelle peut être installée en local ou sur une machine virtuelle Azure au sein du réseau virtuelGateway can be installed either on-premises or on an Azure VM in VNet
LocalOn-premises Services Azure disposant d’un point de terminaison publicAzure-based services that have a public endpoint ExpressRoute (peering public)ExpressRoute (Public Peering) La passerelle doit être installée en localGateway must be installed on-premises

Les illustrations suivantes décrivent l’utilisation de la passerelle de gestion des données pour le déplacement de données entre une base de données locale et les services Azure à l’aide d’ExpressRoute et d’un VPN IPSec (avec un réseau virtuel) :The following images show the usage of Data Management Gateway for moving data between an on-premises database and Azure services using Express route and IPSec VPN (with Virtual Network):

Express Route :Express Route:

ExpressRoute avec passerelle

IPSec VPN :IPSec VPN:

VPN IPSec avec passerelle

Configurations de pare-feu et filtrage des adresses IP de la passerelleFirewall configurations and filtering IP address of gateway

Configuration requise du pare-feu pour un réseau local/privéFirewall requirements for on-premises/private network

Dans une entreprise, le pare-feu d’entreprise s’exécute sur le routeur central.In an enterprise, a corporate firewall runs on the central router of the organization. Le pare-feu Windows s’exécute quant à lui en tant que démon sur l’ordinateur local sur lequel est installée la passerelle.And, Windows firewall runs as a daemon on the local machine on which the gateway is installed.

Le tableau suivant indique les paramètres de port sortant et de domaine requis pour le pare-feu d’entreprise.The following table provides outbound port and domain requirements for the corporate firewall.

Noms de domaineDomain names Ports sortantsOutbound ports DescriptionDescription
*.servicebus.windows.net 443, 80443, 80 Requis par la passerelle pour se connecter aux services de déplacement des données dans Data FactoryRequired by the gateway to connect to data movement services in Data Factory
*.core.windows.net 443443 Utilisé par la passerelle pour se connecter au compte de stockage Azure lorsque vous utilisez la fonctionnalité de copie intermédiaire.Used by the gateway to connect to Azure Storage Account when you use the staged copy feature.
*.frontend.clouddatahub.net 443443 Requis par la passerelle pour se connecter au service Azure Data Factory.Required by the gateway to connect to the Azure Data Factory service.
*.database.windows.net 14331433 (FACULTATIF) Requis lorsque votre destination est Azure SQL Database ou Azure Synapse Analytics.(OPTIONAL) needed when your destination is Azure SQL Database/ Azure Synapse Analytics. Utilisez la fonctionnalité de copie intermédiaire pour copier des données vers Azure SQL Database/Azure Synapse Analytics sans ouvrir le port 1433.Use the staged copy feature to copy data to Azure SQL Database/Azure Synapse Analytics without opening the port 1433.
*.azuredatalakestore.net 443443 (Facultatif) nécessaire lorsque votre destination est Azure Data Lake Store.(OPTIONAL) needed when your destination is Azure Data Lake store

Notes

Vous serez peut-être amené à gérer les ports/domaines de filtrage au niveau du pare-feu de l'entreprise, comme l'exigent les sources de données correspondantes.You may have to manage ports/filtering domains at the corporate firewall level as required by respective data sources. Ce tableau utilise uniquement Azure SQL Database, Azure Synapse Analytics et Azure Data Lake Store comme exemples.This table only uses Azure SQL Database, Azure Synapse Analytics, Azure Data Lake Store as examples.

Le tableau suivant indique les paramètres de port entrant requis pour le pare-feu Windows.The following table provides inbound port requirements for the windows firewall.

Ports entrantsInbound ports DescriptionDescription
8050 (TCP)8050 (TCP) Requis par l’application Gestionnaire des informations d’identification pour définir en toute sécurité les informations d’identification des banques de données locales sur la passerelle.Required by the credential manager application to securely set credentials for on-premises data stores on the gateway.

Configuration requise des ports de la passerelle

Configuration/filtrage des adresses IP dans la banque de donnéesIP configurations/filtering in data store

Pour certaines banques de données hébergées dans le cloud, vous devez également approuver l'adresse IP de l'ordinateur qui y accède.Some data stores in the cloud also require approving of IP address of the machine accessing them. Vérifiez que l'adresse IP de l'ordinateur de passerelle est approuvée/correctement configurée dans le pare-feu.Ensure that the IP address of the gateway machine is approved/configured in firewall appropriately.

Les banques de données cloud suivantes requièrent l'approbation de l'adresse IP de l'ordinateur de passerelle.The following cloud data stores require approving of IP address of the gateway machine. Certaines de ces banques de données peuvent ne pas nécessiter l'approbation des adresses IP par défaut.Some of these data stores, by default, may not require approving of the IP address.

Forum aux questionsFrequently asked questions

Question : La passerelle peut-elle être partagée entre plusieurs fabriques de données ?Question: Can the Gateway be shared across different data factories? Réponse : Nous ne prenons pas encore en charge cette fonctionnalité.Answer: We do not support this feature yet. mais y travaillons activement.We are actively working on it.

Question : Quels sont les paramètres de port permettant de garantir le bon fonctionnement de la passerelle ?Question: What are the port requirements for the gateway to work? Réponse : La passerelle établit des connexions HTTP pour l’accès à Internet.Answer: Gateway makes HTTP-based connections to open internet. Les ports sortants 443 et 80 doivent être ouverts pour que la passerelle puisse établir cette connexion.The outbound ports 443 and 80 must be opened for gateway to make this connection. Ouvrez le port entrant 8050 uniquement au niveau de l’ordinateur (et non au niveau du pare-feu d’entreprise) pour l’application Gestionnaire des informations d’identification.Open Inbound Port 8050 only at the machine level (not at corporate firewall level) for Credential Manager application. Si vous utilisez Azure SQL Database ou Azure Synapse Analytics comme source/destination, vous devez également ouvrir le port 1433.If Azure SQL Database or Azure Synapse Analytics is used as source/ destination, then you need to open 1433 port as well. Pour plus d'informations, consultez la section [Configurations de pare-feu et filtrage d'adresses IP](#firewall-configurations-and-filtering-ip-address-of gateway).For more information, see [Firewall configurations and filtering IP addresses](#firewall-configurations-and-filtering-ip-address-of gateway) section.

Question : De quels certificats la passerelle a-t-elle besoin ?Question: What are certificate requirements for Gateway? Réponse : La passerelle actuelle requiert un certificat utilisé par l’application Gestionnaire des informations d’identification pour configurer en toute sécurité les informations d’identification des banques de données.Answer: Current gateway requires a certificate that is used by the credential manager application for securely setting data store credentials. Ce certificat est un certificat auto-signé créé et configuré lors de l’installation de la passerelle.This certificate is a self-signed certificate created and configured by the gateway setup. Vous pouvez également utiliser votre propre certificat TLS/SSL.You can use your own TLS/SSL certificate instead. Pour en savoir plus, consultez la section Application Gestionnaire des informations d’identification ClickOnce.For more information, see click-once credential manager application section.

Étapes suivantesNext steps

Pour en savoir plus sur les performances de l’activité de copie, consultez le Guide sur les performances et le réglage de l’activité de copie.For information about performance of copy activity, see Copy activity performance and tuning guide.