Archiviare le credenziali in Azure Key VaultStore credential in Azure Key Vault

È possibile archiviare le credenziali per gli archivi dati e i calcoli in Azure Key Vault.You can store credentials for data stores and computes in an Azure Key Vault. Azure Data Factory recupera le credenziali durante l'esecuzione di un'attività che usa l'archivio dati o il calcolo.Azure Data Factory retrieves the credentials when executing an activity that uses the data store/compute.

Attualmente questa funzionalità è supportata da tutti i tipi di attività tranne quelle personalizzate.Currently, all activity types except custom activity support this feature. Per la configurazione del connettore in particolare, verificare i dettagli nella sezione delle proprietà del servizio collegato nell'argomento relativo a ogni connettore.For connector configuration specifically, check the "linked service properties" section in each connector topic for details.

PrerequisitiPrerequisites

Questa funzionalità si basa sull'identità gestita data factory.This feature relies on the data factory managed identity. Scopri come funziona da identità gestita per data factory e assicurati che i data factory dispongano di un elemento associato.Learn how it works from Managed identity for Data factory and make sure your data factory have an associated one.

PassaggiSteps

Per fare riferimento a una credenziale archiviata in Azure Key Vault, è necessario:To reference a credential stored in Azure Key Vault, you need to:

  1. Recuperare data factory identità gestita copiando il valore di "ID applicazione identità gestita" generato insieme alla Factory.Retrieve data factory managed identity by copying the value of "Managed Identity Application ID" generated along with your factory. Se si usa l'interfaccia utente di creazione di ADF, l'ID dell'applicazione di identità gestita verrà visualizzato nella finestra di creazione del servizio collegato Azure Key Vault; è anche possibile recuperarlo dalla portale di Azure, vedere recuperare data factory identità gestita.If you use ADF authoring UI, the managed identity application ID will be shown on the Azure Key Vault linked service creation window; you can also retrieve it from Azure portal, refer to Retrieve data factory managed identity.
  2. Concedere all'identità gestita l'accesso all'Azure Key Vault.Grant the managed identity access to your Azure Key Vault. Nell'insieme di credenziali delle chiavi-> criteri di accesso-> Aggiungi nuovo > cercare questo ID applicazione gestito identità per concedere l'autorizzazione Get nell'elenco a discesa autorizzazioni segrete.In your key vault -> Access policies -> Add new -> search this managed identity application ID to grant Get permission in Secret permissions dropdown. Consente a questa factory designata di accedere al segreto nell'insieme di credenziali.It allows this designated factory to access secret in key vault.
  3. Creare un servizio collegato che punta ad Azure Key Vault.Create a linked service pointing to your Azure Key Vault. Fare riferimento a Servizio collegato di Azure Key Vault.Refer to Azure Key Vault linked service.
  4. Creare il servizio collegato di archivio dati, nel cui riferimento il segreto corrispondente è archiviato nell'insieme di credenziali delle chiavi.Create data store linked service, inside which reference the corresponding secret stored in key vault. Vedere Fare riferimento a un segreto nell'insieme di credenziali delle chiavi.Refer to reference secret stored in key vault.

Servizio collegato di Azure Key VaultAzure Key Vault linked service

Per il servizio collegato di Azure Key Vault sono supportate le proprietà seguenti:The following properties are supported for Azure Key Vault linked service:

ProprietàProperty DescrizioneDescription ObbligatoriaRequired
typetype La proprietà type deve essere impostata su: AzureKeyVault.The type property must be set to: AzureKeyVault. YesYes
baseUrlbaseUrl Specificare l'URL di Azure Key Vault.Specify the Azure Key Vault URL. YesYes

Nell'interfaccia utente:Using authoring UI:

Fare clic su Connessioni -> Servizi collegati -> +Nuovo -> cercare "Azure Key Vault":Click Connections -> Linked Services -> +New -> search for "Azure Key Vault":

Cercare Azure Key Vault

Selezionare l'insieme di credenziali delle chiavi di Azure di cui è stato effettuato il provisioning e in cui sono archiviate le credenziali.Select the provisioned Azure Key Vault where your credentials are stored. È possibile scegliere Test connessione per verificare che la connessione AKV sia valida.You can do Test Connection to make sure your AKV connection is valid.

Configurare AKV

Esempio di JSON:JSON example:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Fare riferimento a un segreto nell'insieme di credenziali delle chiaviReference secret stored in key vault

Quando si configura un campo nel servizio collegato che fa riferimento a un segreto dell'insieme di credenziali delle chiavi, sono supportate le proprietà seguenti:The following properties are supported when you configure a field in linked service referencing a key vault secret:

ProprietàProperty DescrizioneDescription ObbligatoriaRequired
typetype La proprietà type del campo deve essere impostata su: AzureKeyVaultSecret.The type property of the field must be set to: AzureKeyVaultSecret. Yes
secretNamesecretName Nome del segreto in Azure Key Vault.The name of secret in Azure Key Vault. Yes
secretVersionsecretVersion Versione di Secret in Azure Key Vault.The version of secret in Azure Key Vault.
Se non specificata, usare sempre la versione più recente del segreto.If not specified, it always uses the latest version of the secret.
Se specificata, corrisponde alla versione specificata.If specified, then it sticks to the given version.
NoNo
storestore Fa riferimento a un servizio collegato di Azure Key Vault che si usa per archiviare la credenziale.Refers to an Azure Key Vault linked service that you use to store the credential. Yes

Nell'interfaccia utente:Using authoring UI:

Selezionare Azure Key Vault per i campi del segreto durante la creazione della connessione all'archivio dati o alle risorse di calcolo.Select Azure Key Vault for secret fields while creating the connection to your data store/compute. Selezionare il servizio collegato di Azure Key Vault di cui è stato effettuato il provisioning e specificare il nome del segreto.Select the provisioned Azure Key Vault Linked Service and provide the Secret name. Se si vuole, specificare anche la versione del segreto.You can optionally provide a secret version as well.

Suggerimento

Per i connettori che usano la stringa di connessione nel servizio collegato, ad esempio SQL Server, archiviazione BLOB e così via, è possibile scegliere di archiviare solo il campo segreto, ad esempio la password in AKV, o di archiviare l'intera stringa di connessione in AKV.For connectors using connection string in linked service like SQL Server, Blob storage, etc., you can choose either to store only the secret field e.g. password in AKV, or to store the entire connection string in AKV. È possibile trovare entrambe le opzioni nell'interfaccia utente.You can find both options on the UI.

Configurare il segreto AKV

Esempio di JSON: (vedere la sezione "password")JSON example: (see the "password" section)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Passaggi successiviNext steps

Per un elenco degli archivi dati supportati come origini o sink dall'attività di copia in Azure Data Factory, vedere gli archivi dati supportati.For a list of data stores supported as sources and sinks by the copy activity in Azure Data Factory, see supported data stores.