Archiviare le credenziali in Azure Key VaultStore credential in Azure Key Vault

È possibile archiviare le credenziali per gli archivi dati e i calcoli in Azure Key Vault.You can store credentials for data stores and computes in an Azure Key Vault. Azure Data Factory recupera le credenziali durante l'esecuzione di un'attività che usa l'archivio dati o il calcolo.Azure Data Factory retrieves the credentials when executing an activity that uses the data store/compute.

Attualmente questa funzionalità è supportata da tutti i tipi di attività tranne quelle personalizzate.Currently, all activity types except custom activity support this feature. Per la configurazione del connettore in particolare, verificare i dettagli nella sezione delle proprietà del servizio collegato nell'argomento relativo a ogni connettore.For connector configuration specifically, check the "linked service properties" section in each connector topic for details.

PrerequisitiPrerequisites

Questa funzionalità si basa sull'identità gestita factory dei dati.This feature relies on the data factory managed identity. Informazioni su come funziona dal Managed identity per Data factory e assicurarsi che alla data factory è associato uno.Learn how it works from Managed identity for Data factory and make sure your data factory have an associated one.

PassaggiSteps

Per fare riferimento a una credenziale archiviata in Azure Key Vault, è necessario:To reference a credential stored in Azure Key Vault, you need to:

  1. Recuperare l'identità di data factory gestiti copiando il valore di "SERVICE IDENTITY APPLICATION ID" generato con la factory.Retrieve data factory managed identity by copying the value of "SERVICE IDENTITY APPLICATION ID" generated along with your factory. Se si usa Azure Data factory di creazione dell'interfaccia utente, l'ID applicazione identità gestita verrà visualizzata nella finestra di creazione di un servizio collegato di Azure Key Vault; è anche possibile recuperarlo dal portale di Azure, fare riferimento a Retrieve data factory di identità gestita.If you use ADF authoring UI, the managed identity application ID will be shown on the Azure Key Vault linked service creation window; you can also retrieve it from Azure portal, refer to Retrieve data factory managed identity.
  2. Concedere all'identità gestito l'accesso ad Azure Key Vault.Grant the managed identity access to your Azure Key Vault. Nell'insieme di credenziali delle chiavi -> accesso criteri -> Aggiungi nuovo -> cercare questo gestiti ID applicazione identità del concedere ottenere autorizzazione nell'elenco a discesa autorizzazioni segrete.In your key vault -> Access policies -> Add new -> search this managed identity application ID to grant Get permission in Secret permissions dropdown. Consente a questa factory designata di accedere al segreto nell'insieme di credenziali.It allows this designated factory to access secret in key vault.
  3. Creare un servizio collegato che punta ad Azure Key Vault.Create a linked service pointing to your Azure Key Vault. Fare riferimento a Servizio collegato di Azure Key Vault.Refer to Azure Key Vault linked service.
  4. Creare il servizio collegato di archivio dati, nel cui riferimento il segreto corrispondente è archiviato nell'insieme di credenziali delle chiavi.Create data store linked service, inside which reference the corresponding secret stored in key vault. Vedere Fare riferimento a un segreto nell'insieme di credenziali delle chiavi.Refer to reference secret stored in key vault.

Servizio collegato di Azure Key VaultAzure Key Vault linked service

Per il servizio collegato di Azure Key Vault sono supportate le proprietà seguenti:The following properties are supported for Azure Key Vault linked service:

ProprietàProperty DescrizioneDescription ObbligatoriaRequired
typetype La proprietà type deve essere impostata su: AzureKeyVault.The type property must be set to: AzureKeyVault. Yes
baseUrlbaseUrl Specificare l'URL di Azure Key Vault.Specify the Azure Key Vault URL. Yes

Nell'interfaccia utente:Using authoring UI:

Fare clic su Connessioni -> Servizi collegati -> +Nuovo -> cercare "Azure Key Vault":Click Connections -> Linked Services -> +New -> search for "Azure Key Vault":

Cercare Azure Key Vault

Selezionare l'insieme di credenziali delle chiavi di Azure di cui è stato effettuato il provisioning e in cui sono archiviate le credenziali.Select the provisioned Azure Key Vault where your credentials are stored. È possibile scegliere Test connessione per verificare che la connessione AKV sia valida.You can do Test Connection to make sure your AKV connection is valid.

Configurare AKV

Esempio di JSON:JSON example:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Fare riferimento a un segreto nell'insieme di credenziali delle chiaviReference secret stored in key vault

Quando si configura un campo nel servizio collegato che fa riferimento a un segreto dell'insieme di credenziali delle chiavi, sono supportate le proprietà seguenti:The following properties are supported when you configure a field in linked service referencing a key vault secret:

ProprietàProperty DescrizioneDescription ObbligatoriaRequired
typetype La proprietà type del campo deve essere impostata su: AzureKeyVaultSecret.The type property of the field must be set to: AzureKeyVaultSecret. Yes
secretNamesecretName Il nome del segreto in Azure Key Vault.The name of secret in azure key vault. Yes
secretVersionsecretVersion La versione del segreto in Azure Key Vault.The version of secret in azure key vault.
Se non specificata, usare sempre la versione più recente del segreto.If not specified, it always uses the latest version of the secret.
Se specificata, corrisponde alla versione specificata.If specified, then it sticks to the given version.
No No
storestore Fa riferimento a un servizio collegato di Azure Key Vault che si usa per archiviare la credenziale.Refers to an Azure Key Vault linked service that you use to store the credential. Yes

Nell'interfaccia utente:Using authoring UI:

Selezionare Azure Key Vault per i campi del segreto durante la creazione della connessione all'archivio dati o alle risorse di calcolo.Select Azure Key Vault for secret fields while creating the connection to your data store/compute. Selezionare il servizio collegato di Azure Key Vault di cui è stato effettuato il provisioning e specificare il nome del segreto.Select the provisioned Azure Key Vault Linked Service and provide the Secret name. Se si vuole, specificare anche la versione del segreto.You can optionally provide a secret version as well.

Suggerimento

Per i connettori con stringa di connessione nel servizio collegato, ad esempio SQL Server, archiviazione Blob e così via, è possibile scegliere di archiviare solo il campo segreto, ad esempio, la password in Azure Key Vault, o per archiviare l'intera stringa di connessione in Azure Key Vault.For connectors using connection string in linked service like SQL Server, Blob storage, etc., you can choose either to store only the secret field e.g. password in AKV, or to store the entire connection string in AKV. È possibile trovare entrambe le opzioni nell'interfaccia utente.You can find both options on the UI.

Configurare il segreto AKV

Esempio di JSON: (vedere la sezione "password")JSON example: (see the "password" section)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Passaggi successiviNext steps

Per un elenco degli archivi dati supportati come origini o sink dall'attività di copia in Azure Data Factory, vedere gli archivi dati supportati.For a list of data stores supported as sources and sinks by the copy activity in Azure Data Factory, see supported data stores.