Controllare l'accesso agli account di archiviazione per il pool SQL serverless in Azure Synapse Analytics

Una query del pool SQL serverless legge i file direttamente da Archiviazione di Azure. Le autorizzazioni per accedere ai file in Archiviazione di Azure sono controllate a due livelli:

• Livello di archiviazione: l'utente deve disporre dell'autorizzazione per accedere ai file di archiviazione sottostanti. L'amministratore della risorsa di archiviazione deve consentire all'entità di sicurezza di Microsoft Entra di leggere/scrivere file o generare una chiave di firma di accesso condiviso che verrà usata per accedere alla risorsa di archiviazione.
• Livello di servizio SQL: l'utente deve avere l'autorizzazione per leggere i dati con una tabella esterna o per eseguire la funzione OPENROWSET. Vedere altre informazioni sulle autorizzazioni necessarie in questa sezione.

Questo articolo descrive i tipi di credenziali che è possibile usare e il modo in cui viene eseguita la ricerca di credenziali per gli utenti di SQL e Microsoft Entra.

Autorizzazioni di archiviazione

Un pool SQL serverless nell'area di lavoro di Synapse Analytics può leggere il contenuto dei file archiviati in Azure Data Lake Storage. È necessario configurare le autorizzazioni per la risorsa di archiviazione per consentire a un utente che esegue una query SQL di leggere i file. Esistono tre metodi per abilitare l'accesso ai file:

• Il controllo degli accessi in base al ruolo consente di assegnare un ruolo a un utente di Microsoft Entra nel tenant in cui risiede la risorsa di archiviazione. Un lettore deve essere membro del ruolo Lettore dei dati dei BLOB di archiviazione, Collaboratore ai dati dei BLOB di archiviazione o Proprietario dei dati dei BLOB di archiviazione nell'account di archiviazione. Un utente che scrive i dati nella risorsa di archiviazione di Azure deve essere membro del ruolo Collaboratore ai dati dei BLOB di archiviazione o Proprietario dei dati dei BLOB di archiviazione. Il ruolo Proprietario della risorsa di archiviazione non implica che un utente sia anche Proprietario dei dati di archiviazione.
• Gli elenchi di controllo di accesso (ACL) consentono di definire autorizzazioni Read(R), Write(W) ed Execute(X) con granularità fine per i file e le directory nelle risorse di archiviazione di Azure. L'ACL può essere assegnato agli utenti di Microsoft Entra. Se i lettori vogliono leggere un file in un percorso in Archiviazione di Azure, devono disporre dell'ACL Execute(X) in ogni cartella nel percorso del file e dell'ACL Read(R) nel file. Altre informazioni su come impostare le autorizzazioni ACL nel livello di archiviazione.
• La firma di accesso condiviso consente a un lettore di accedere ai file in Azure Data Lake Storage usando il token con limite di tempo. Il lettore non deve nemmeno essere autenticato come utente di Microsoft Entra. Il token di firma di accesso condiviso contiene le autorizzazioni concesse al lettore e il periodo di validità del token. Il token di firma di accesso condiviso è una scelta ottimale per l'accesso con vincoli di tempo per qualsiasi utente che non deve necessariamente risiedere nello stesso tenant Microsoft Entra. Il token di firma di accesso condiviso può essere definito nell'account di archiviazione o in directory specifiche. Altre informazioni sulla concessione di accesso limitato alle risorse di Archiviazione di Azure tramite le firme di accesso condiviso.

In alternativa, è possibile rendere i file disponibili pubblicamente consentendo l'accesso anonimo. Questo approccio NON deve essere usato se si dispone di dati non pubblici.

Tipi di autorizzazione supportati per l'archiviazione

Un utente connesso a un pool SQL serverless deve essere autorizzato ad accedere e a eseguire query sui file di Archiviazione di Azure se non sono disponibili pubblicamente. È possibile usare quattro tipi di autorizzazione per accedere alle risorse di archiviazione non pubbliche: Identità utente, Firma di accesso condiviso, Entità servizio e Identità gestita.

Nota

Pass-through di Microsoft Entra è il comportamento predefinito quando si crea un'area di lavoro.

Identità utente

Identità utente: nota anche come "pass-through di Microsoft Entra", è un tipo di autorizzazione in cui per concedere l'accesso ai dati viene usata l'identità dell'utente di Microsoft Entra che ha eseguito l'accesso al pool SQL serverless. Prima di accedere ai dati, l'amministratore di Archiviazione di Azure deve concedere le apposite autorizzazioni all'utente di Microsoft Entra. Come indicato nella tabella Tipi di autorizzazione supportati per gli utenti di database, non è supportata per il tipo di utente SQL.

Importante

Un token di autenticazione di Microsoft Entra potrebbe essere memorizzato nella cache dalle applicazioni client. Ad esempio, Power BI memorizza nella cache il token di Microsoft Entra e lo riutilizza per un'ora. Le query a esecuzione prolungata potrebbero avere esito negativo se il token scade nel corso dell'esecuzione della query. Se si verificano errori di query causati dal token di accesso Microsoft Entra che scade nel corso dell'esecuzione della query, provare a passare a un'entità servizio, un'identità gestita o una firma di accesso condiviso.

L'utente deve essere membro del ruolo Proprietario dei dati dei BLOB di archiviazione, Collaboratore ai dati dei BLOB di archiviazione o Lettore dei dati dei BLOB di archiviazione per usare l'identità per accedere ai dati. In alternativa, è possibile specificare regole di controllo di accesso (ACL) con granularità fine per accedere a file e cartelle. Anche se si è proprietari di un account di archiviazione, è comunque necessario aggiungere se stessi in uno dei ruoli dei dati dei BLOB di archiviazione. Per altre informazioni sul controllo di accesso in Azure Data Lake Store Gen2, vedere l'articolo Controllo di accesso in Azure Data Lake Storage Gen2.

Firma di accesso condiviso

Firma di accesso condiviso: fornisce accesso delegato alle risorse in un account di archiviazione. Con una firma di accesso condiviso è possibile concedere ai client l'accesso alle risorse in un account di archiviazione, senza condividere le chiavi dell'account. La firma di accesso condiviso offre un controllo granulare sul tipo di accesso concesso ai client a cui viene assegnata, tra cui intervallo di validità, autorizzazioni concesse, intervallo di indirizzi IP accettabile e protocollo accettabile (HTTPS/HTTP).

Per ottenere un token di firma di accesso condiviso, passare a Portale di Azure -> Account di archiviazione -> Firma di accesso condiviso -> Configurazione autorizzazioni -> Genera firma di accesso condiviso e stringa di connessione.

Importante

Quando viene generato, il token di firma di accesso condiviso è preceduto da un punto interrogativo (?). Per usare il token nel pool SQL serverless, è necessario rimuovere il punto interrogativo (?) quando si creano le credenziali. Ad esempio:

Token di firma di accesso condiviso: ?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHcEIq78%3D

Per abilitare l'accesso tramite il token di firma di accesso condiviso, è necessario creare una credenziale con ambito database o con ambito server

Importante

Non è possibile accedere agli account di archiviazione privati con il token di firma di accesso condiviso. È consigliabile passare all'autenticazione di tipo Identità gestita o Pass-through di Microsoft Entra per accedere all'archiviazione protetta.

Entità servizio

Un'entità servizio è la rappresentazione locale di un oggetto applicazione globale in un tenant Microsoft Entra specifico. Questo metodo di autenticazione è appropriato nei casi in cui occorre autorizzare l'accesso alle risorse di archiviazione per un'applicazione utente, un servizio o uno strumento di automazione. Per altre informazioni sulle entità servizio in Microsoft Entra ID, vedere Oggetti applicazione ed entità servizio in Microsoft Entra ID.

L'applicazione deve essere registrata in Microsoft Entra ID. Per altre informazioni sul processo di registrazione, vedere Avvio rapido: Registrare un'applicazione con Microsoft Identity Platform. Dopo la registrazione dell'applicazione, è possibile usare l'entità servizio per l'autorizzazione.

L'entità servizio deve essere assegnata ai ruoli Proprietario dei dati dei BLOB di archiviazione, Collaboratore ai dati dei BLOB di archiviazione e Lettore dei dati dei BLOB di archiviazione per consentire all'applicazione di accedere ai dati. Anche se l'entità servizio è il proprietario di un account di archiviazione, deve comunque esserle concesso un ruolo per i dati dei BLOB di archiviazione appropriato. Una soluzione alternativa per concedere l'accesso a file e cartelle di archiviazione prevede la definizione di regole di controllo di accesso (ACL) con granularità fine per l'entità servizio.

Per altre informazioni sul controllo di accesso in Azure Data Lake Store Gen2, vedere Controllo di accesso in Azure Data Lake Storage Gen2.

Identità del servizio gestita

L'identità del servizio gestita è anche nota come identità gestita. Un'identità del servizio gestita è una funzionalità di Microsoft Entra ID che fornisce servizi di Azure a un servizio di Azure, in questo caso, per il pool SQL serverless. L'identità del servizio gestita viene creata automaticamente in Microsoft Entra ID. Questa identità può essere usata per autorizzare la richiesta di accesso ai dati in Archiviazione di Azure.

Prima di accedere ai dati, l'amministratore di Archiviazione di Azure deve concedere all'identità del servizio gestita le autorizzazioni per accedere ai dati. La concessione di autorizzazioni all'identità del servizio gestita avviene esattamente nello stesso modo in cui vengono concesse le autorizzazioni ad altri utenti di Microsoft Entra.

Accesso anonimo

È possibile accedere ai file disponibili pubblicamente presenti negli account di archiviazione di Azure che consentono l'accesso anonimo.

Scenari tra tenant

Nei casi in cui Archiviazione di Azure risiede in un tenant diverso dal pool SQL serverless di Synapse, l'autorizzazione tramite l'entità servizio è il metodo consigliato. È anche possibile usare l'autorizzazione tramite firma di accesso condiviso, mentre l'identità gestita non è supportata.

Tipo di autorizzazione	Archiviazione protetta da firewall	Archiviazione non protetta da firewall
Firma di accesso condiviso	Supportata	Supportata
Entità servizio	Non supportato	Supportato

Nota

Se l'account di archiviazione di Azure è protetto da un firewall di Archiviazione di Azure, l'entità servizio non sarà supportata.

Tipi di autorizzazione supportati per gli utenti di database

La tabella seguente fornisce i tipi di autorizzazione di Archiviazione di Azure disponibili per metodi di accesso diversi in un endpoint SQL serverless di Azure Synapse Analytics:

Tipo di autorizzazione	Utente SQL	Utente di Microsoft Entra	Entità servizio
Identità utente	Non supportato	Supportata	Supportata
Firma di accesso condiviso	Supportata	Supportato	Supportata
Entità servizio	Supportata	Supportato	Supportata
Identità gestita	Supportata	Supportato	Supportata

Tipi di autorizzazione e archiviazione supportati

È possibile usare le combinazioni seguenti di tipi di autorizzazione e tipi di archiviazione di Azure:

Tipo di autorizzazione	Archiviazione BLOB	ADLS Gen1	ADLS Gen2
Firma di accesso condiviso	Supportata	Non supportato	Supportato
Entità servizio	Supportata	Supportato	Supportata
Identità gestita	Supportata	Supportato	Supportata
Identità utente	Supportata	Supportato	Supportata

Scenari tra tenant

Nei casi in cui Archiviazione di Azure risiede in un tenant diverso dal pool SQL serverless di Azure Synapse Analytics, l'autorizzazione tramite l'entità servizio è il metodo consigliato. È anche possibile usare l'autorizzazione con firma di accesso condiviso. L'identità del servizio gestita non è supportata.

Tipo di autorizzazione	Archiviazione protetta da firewall	Archiviazione non protetta da firewall
Firma di accesso condiviso	Supportata	Supportata
Entità servizio	Non supportato	Supportato

Nota

Se l'account di archiviazione di Azure è protetto da un firewall di Archiviazione di Azure e risiede in un altro tenant, l'entità servizio non sarà supportata. Provare invece a usare un token di firma di accesso condiviso.

Archiviazione protetta da firewall

È possibile configurare gli account di archiviazione per consentire l'accesso a un pool SQL serverless specifico creando una regola di istanza della risorsa. Per accedere a un account di archiviazione protetto da firewall, usare l'identità utente o l'identità gestita.

Nota

La funzionalità firewall in Archiviazione di Azure è disponibile in anteprima pubblica ed è disponibile in tutte le aree del cloud pubblico.

La tabella seguente fornisce i tipi di autorizzazione di Archiviazione di Azure protetta da firewall disponibili per metodi di accesso diversi in un endpoint SQL serverless di Azure Synapse Analytics:

Tipo di autorizzazione	Utente SQL	Utente di Microsoft Entra	Entità servizio
Identità utente	Non supportato	Supportata	Supportata
Firma di accesso condiviso	Non supportato	Non supportato	Non supportato
Entità servizio	Non supportato	Non supportato	Non supportato
Identità gestita	Supportata	Supportato	Supportata

Identità utente

Per accedere all'account di archiviazione protetto da firewall tramite l'identità utente, è possibile usare il portale di Azure o il modulo Az.Storage di PowerShell.

Configurazione del firewall di Archiviazione di Azure tramite il portale di Azure

1. Cercare l'account di archiviazione nel portale di Azure.
2. Nel menu di spostamento principale passare a Rete in Impostazioni.
3. Nella sezione Istanze della risorsa aggiungere un'eccezione per l'area di lavoro di Azure Synapse.
4. Selezionare Microsoft.Synapse/workspaces come Tipo di risorsa.
5. Selezionare il nome dell'area di lavoro come Nome istanza.
6. Seleziona Salva.

Configurazione del firewall di Archiviazione di Azure tramite PowerShell

Seguire questa procedura per configurare l'account di archiviazione e aggiungere un'eccezione per l'area di lavoro di Azure Synapse.

1. Aprire o installare PowerShell.

2. Installare le versioni più recenti del modulo Az.Storage e del modulo Az.Synapse, ad esempio nello script seguente:

   Install-Module -Name Az.Storage -RequiredVersion 3.4.0
   Install-Module -Name Az.Synapse -RequiredVersion 0.7.0
   

   Importante

   Assicurarsi di usare almeno la versione 3.4.0. È possibile verificare la versione di Az.Storage eseguendo questo comando:

   Get-Module -ListAvailable -Name Az.Storage | Select Version
   

3. Connettersi al tenant di Azure:

   Connect-AzAccount
   

4. Definire le variabili in PowerShell:

   • Nome del gruppo di risorse: è possibile trovarlo nel portale di Azure nella Panoramica dell'account di archiviazione.
   • Nome account: nome dell'account di archiviazione protetto dalle regole del firewall.
   • ID tenant: è possibile trovarlo nel portale di Azure in Microsoft Entra ID, in Proprietà, Proprietà tenant.
   • Nome area di lavoro: nome dell'area di lavoro di Azure Synapse.

       $resourceGroupName = "<resource group name>"
       $accountName = "<storage account name>"
       $tenantId = "<tenant id>"
       $workspaceName = "<Azure Synapse workspace name>"
   
       $workspace = Get-AzSynapseWorkspace -Name $workspaceName
       $resourceId = $workspace.Id
       $index = $resourceId.IndexOf("/resourceGroups/", 0)
       # Replace G with g - /resourceGroups/ to /resourcegroups/
       $resourceId = $resourceId.Substring(0,$index) + "/resourcegroups/" ` 
           + $resourceId.Substring($index + "/resourceGroups/".Length)
   
       $resourceId
   

   Importante

   Il valore di $resourceid restituito dallo script di PowerShell deve corrispondere a questo modello: /subscriptions/{subscription-id}/resourcegroups/{resource-group}/providers/Microsoft.Synapse/workspaces/{name-of-workspace} È importante scrivere resourcegroups in lettere minuscole.

5. Aggiungere una regola di rete dell'account di archiviazione di Azure:

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
           TenantId = $tenantId 
           ResourceId = $resourceId
       }
   
       Add-AzStorageAccountNetworkRule @parameters
   

6. Verificare che la regola di rete dell'account di archiviazione sia stata applicata nel firewall dell'account di archiviazione. Lo script di PowerShell seguente confronta la variabile $resourceid dei passaggi precedenti con l'output della regola di rete dell'account di archiviazione.

       $parameters = @{
           ResourceGroupName = $resourceGroupName
           Name = $accountName
       }
   
       $rule = Get-AzStorageAccountNetworkRuleSet @parameters
       $rule.ResourceAccessRules | ForEach-Object { 
           if ($_.ResourceId -cmatch "\/subscriptions\/(\w\-*)+\/resourcegroups\/(.)+") { 
               Write-Host "Storage account network rule is successfully configured." -ForegroundColor Green
               $rule.ResourceAccessRules
           } else {
               Write-Host "Storage account network rule is not configured correctly. Remove this rule and follow the steps in detail." -ForegroundColor Red
               $rule.ResourceAccessRules
           }
       }
   

Firma di accesso condiviso

Non è possibile usare le firme di accesso condiviso per accedere all'archiviazione protetta dal firewall.

Entità servizio

Non è possibile usare l'entità servizio per accedere all'archiviazione protetta dal firewall. Usare invece un'identità del servizio gestita.

Identità del servizio gestita

È necessario abilitare l'impostazione Consenti servizi Microsoft attendibili e assegnare un ruolo di Azure all'identità gestita assegnata dal sistema per tale istanza della risorsa.

In questo caso l'ambito di accesso dell'istanza della risorsa corrisponde al ruolo di Azure assegnato all'identità gestita.

Accesso anonimo

Non è possibile accedere all'archiviazione protetta dal firewall usando l'accesso anonimo.

Titolo

Per eseguire query su un file in Archiviazione di Azure, l'endpoint del pool SQL serverless deve disporre di credenziali contenenti le informazioni di autenticazione. Vengono usati due tipi di credenziali:

• Le credenziali a livello di server vengono usate per le query ad hoc eseguite con la funzione OPENROWSET. Il nome delle credenziali deve corrispondere all'URL di archiviazione.
• Le credenziali con ambito database vengono usate per le tabelle esterne. La tabella esterna fa riferimento a DATA SOURCE con le credenziali che devono essere usate per accedere all'archiviazione.

Concedere le autorizzazioni per gestire le credenziali

Per concedere la possibilità di gestire le credenziali:

• Per consentire a un utente di creare o eliminare credenziali a livello di server, un amministratore deve concedere l'autorizzazione ALTER ANY CREDENTIAL al relativo account di accesso nel database master. Ad esempio:

  GRANT ALTER ANY CREDENTIAL TO [login_name];
  

• Per consentire a un utente di creare o eliminare credenziali con ambito database, un amministratore deve concedere l'autorizzazione CONTROL sul database all'utente di database nel database utente. Ad esempio:

  GRANT CONTROL ON DATABASE::[database_name] TO [user_name];
  

Concedere le autorizzazioni per l'uso delle credenziali

Gli utenti del database che accedono all'archiviazione esterna devono disporre delle autorizzazioni per usare le credenziali. Per usare le credenziali, l'utente deve disporre dell'autorizzazione REFERENCES per una credenziale specifica.

Per concedere l'autorizzazione REFERENCES per credenziali a livello di server per un account di accesso, usare la query T-SQL seguente nel database master:

GRANT REFERENCES ON CREDENTIAL::[server-level_credential] TO [login_name];

Per concedere l'autorizzazione REFERENCES per credenziali con ambito database per un utente di database, usare la query T-SQL seguente nel database utente:

GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[database-scoped_credential] TO [user_name];

Credenziali a livello di server

Le credenziali con ambito server vengono usate quando un account di accesso SQL chiama la funzione OPENROWSET senza DATA_SOURCE per leggere i file in un account di archiviazione.

Il nome delle credenziali a livello di server deve corrispondere all'URL di base dell'archiviazione di Azure, seguito facoltativamente da un nome di contenitore. Per aggiungere una credenziale, eseguire CREATE CREDENTIAL. È necessario specificare l'argomento CREDENTIAL NAME.

Nota

L'argomento FOR CRYPTOGRAPHIC PROVIDER non è supportato.

Il nome delle credenziali a livello di server deve seguire il formato seguente: <prefix>://<storage_account_path>[/<container_name>]. I percorsi degli account di archiviazione sono descritti nella tabella seguente:

Origine dati esterna	Prefisso	Percorso dell'account di archiviazione
Archiviazione BLOB di Azure	https	<storage_account>.blob.core.windows.net
Azure Data Lake Storage Gen1	https	<storage_account>.azuredatalakestore.net/webhdfs/v1
Azure Data Lake Storage Gen2	https	<storage_account>.dfs.core.windows.net

Le credenziali a livello di server possono quindi accedere ad Archiviazione di Azure usando i tipi di autenticazione seguenti:

Identità utente

Gli utenti di Microsoft Entra possono accedere a qualsiasi file nell'archiviazione di Azure se sono membri del ruolo Proprietario dei dati dei BLOB di archiviazione, Collaboratore ai dati dei BLOB di archiviazione o Lettore dei dati dei BLOB di archiviazione. Gli utenti di Microsoft Entra non necessitano di credenziali per accedere alle risorse di archiviazione.

Gli utenti che hanno eseguito l'autenticazione di SQL non possono usare l'autenticazione di Microsoft Entra per accedere all'archiviazione. Possono accedere all'archiviazione tramite credenziali del database usando un'identità gestita, una chiave di firma di accesso condiviso, un'entità servizio o se è disponibile l'accesso pubblico alla risorsa di archiviazione.

Firma di accesso condiviso

Lo script seguente crea credenziali a livello di server che possono essere usate dalla funzione OPENROWSET per accedere a qualsiasi file in Archiviazione di Azure tramite il token di firma di accesso condiviso. Creare queste credenziali per abilitare l'entità di sicurezza SQL per l'utilizzo della funzione OPENROWSET per eseguire la lettura di file protetti con la chiave di firma di accesso condiviso in Archiviazione di Azure. Il nome delle credenziali deve corrispondere all'URL.

Nella query di esempio seguente sostituire <mystorageaccountname> con il nome effettivo dell'account di archiviazione e <mystorageaccountcontainername> con il nome effettivo del contenitore:

CREATE CREDENTIAL [https://<mystorageaccountname>.dfs.core.windows.net/<mystorageaccountcontainername>]
WITH IDENTITY='SHARED ACCESS SIGNATURE'
, SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1BrIPBNJ3VYEIq78%3D';
GO

Facoltativamente, è possibile usare solo l'URL di base dell'account di archiviazione, senza il nome del contenitore.

Entità servizio

Lo script seguente crea credenziali a livello di server che possono essere usate per accedere ai file in una risorsa di archiviazione usando l'entità servizio per l'autenticazione e l'autorizzazione. Per trovare il valore di AppID, vedere Registrazioni app nel portale di Azure e selezionare l'pp che richiede l'accesso alle risorse di archiviazione. Il valore di Secret viene ottenuto durante la registrazione dell'app. AuthorityUrl è l'URL dell'autorità Oauth2.0 di Microsoft Entra ID.

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'

Identità gestita

Lo script seguente crea credenziali a livello di server che possono essere usate dalla funzione OPENROWSET per accedere a qualsiasi file in Archiviazione di Azure con l'identità gestita dell'area di lavoro.

CREATE CREDENTIAL [https://<storage_account>.dfs.core.windows.net/<container>]
WITH IDENTITY='Managed Identity'

Facoltativamente, è possibile usare solo l'URL di base dell'account di archiviazione, senza il nome del contenitore.

Accesso pubblico

Le credenziali a livello di server non sono necessarie per consentire l'accesso a file disponibili pubblicamente. Creare un'origine dati senza credenziali per accedere ai file disponibili pubblicamente in Archiviazione di Azure.

Credenziali con ambito database

Le credenziali con ambito database vengono usate quando un'entità chiama la funzione OPENROWSET con DATA_SOURCE o seleziona i dati da una tabella esterna che non ha accesso ai file pubblici. Le credenziali con ambito database non devono corrispondere al nome dell'account di archiviazione perché vi è fatto riferimento nell'origine dati che definisce il percorso di archiviazione.

Le credenziali con ambito database consentono l'accesso ad Archiviazione di Azure usando i tipi di autenticazione seguenti:

Identità di Microsoft Entra

Gli utenti di Microsoft Entra possono accedere a qualsiasi file nell'archiviazione di Azure se sono membri dei ruoli Proprietario dei dati dei BLOB di archiviazione, Collaboratore ai dati dei BLOB di archiviazione o Lettore dei dati dei BLOB di archiviazione. Gli utenti di Microsoft Entra non necessitano di credenziali per accedere alle risorse di archiviazione.

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
)

Gli utenti che hanno eseguito l'autenticazione di SQL non possono usare l'autenticazione di Microsoft Entra per accedere all'archiviazione. Possono accedere all'archiviazione tramite credenziali del database usando un'identità gestita, una chiave di firma di accesso condiviso, un'entità servizio o se è disponibile l'accesso pubblico alla risorsa di archiviazione.

Firma di accesso condiviso

Lo script seguente crea una credenziale usata per accedere ai file nell'archivio tramite il token di firma di accesso condiviso specificato nella credenziale. Lo script crea un'origine dati esterna di esempio che usa questo token di firma di accesso condiviso per accedere alla risorsa di archiviazione.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>'
GO
CREATE DATABASE SCOPED CREDENTIAL [SasToken]
WITH IDENTITY = 'SHARED ACCESS SIGNATURE',
     SECRET = 'sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-04-18T20:42:12Z&st=2019-04-18T12:42:12Z&spr=https&sig=lQHczNvrk1KEIq78%3D';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SasToken
)

Entità servizio

Lo script seguente crea credenziali con ambito database che possono essere usate per accedere ai file in una risorsa di archiviazione usando l'entità servizio per l'autenticazione e l'autorizzazione. Per trovare il valore di AppID, vedere Registrazioni app nel portale di Azure e selezionare l'pp che richiede l'accesso alle risorse di archiviazione. Il valore di Secret viene ottenuto durante la registrazione dell'app. AuthorityUrl è l'URL dell'autorità Oauth2.0 di Microsoft Entra ID.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>

CREATE DATABASE SCOPED CREDENTIAL [<CredentialName>] WITH
IDENTITY = '<AppID>@<AuthorityUrl>' 
, SECRET = '<Secret>'
GO
CREATE EXTERNAL DATA SOURCE MyDataSource
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = CredentialName
)

Identità gestita

Lo script seguente crea credenziali con ambito database che possono essere usate per una rappresentazione dell'utente di Microsoft Entra corrente come identità gestita del servizio. Lo script crea un'origine dati esterna di esempio che usa l'identità dell'area di lavoro per accedere alla risorsa di archiviazione.

-- Optional: Create MASTER KEY if not exists in database:
-- CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Very Strong Password>
CREATE DATABASE SCOPED CREDENTIAL SynapseIdentity
WITH IDENTITY = 'Managed Identity';
GO
CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = SynapseIdentity
)

Le credenziali con ambito database non devono corrispondere al nome dell'account di archiviazione perché verranno usate in modo esplicito nell'origine dati che definisce il percorso di archiviazione.

Accesso pubblico

Le credenziali con ambito database non sono necessarie per consentire l'accesso a file disponibili pubblicamente. Creare un'origine dati senza credenziali per accedere ai file disponibili pubblicamente in Archiviazione di Azure.

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.blob.core.windows.net/<container>/<path>'
)

Le credenziali con ambito database vengono usate nelle origini dati esterne per specificare il metodo di autenticazione che verrà usato per accedere a questa risorsa di archiviazione:

CREATE EXTERNAL DATA SOURCE mysample
WITH (    LOCATION   = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>',
          CREDENTIAL = <name of database scoped credential> 
)

Esempi

Accedere a un'origine dati disponibile pubblicamente

Usare lo script seguente per creare una tabella che accede all'origine dati disponibile pubblicamente.

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat]
       WITH ( FORMAT_TYPE = PARQUET)
GO
CREATE EXTERNAL DATA SOURCE publicData
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<public_container>/<path>' )
GO

CREATE EXTERNAL TABLE dbo.userPublicData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [publicData],
       FILE_FORMAT = [SynapseParquetFormat] )

L'utente del database può leggere il contenuto dei file dall'origine dati usando una tabella esterna o la funzione OPENROWSET che fa riferimento all'origine dati:

SELECT TOP 10 * FROM dbo.userPublicData;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet',
                                DATA_SOURCE = 'mysample',
                                FORMAT='PARQUET') as rows;
GO

Accedere a un'origine dati tramite credenziali

Modificare lo script seguente per creare una tabella esterna che accede ad Archiviazione di Azure tramite il token di firma di accesso condiviso, l'identità di Microsoft Entra dell'utente o l'identità gestita dell'area di lavoro.

-- Create master key in databases with some password (one-off per database)
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong password>'
GO

-- Create databases scoped credential that use Managed Identity, SAS token or service principal. User needs to create only database-scoped credentials that should be used to access data source:

CREATE DATABASE SCOPED CREDENTIAL WorkspaceIdentity
WITH IDENTITY = 'Managed Identity'
GO
CREATE DATABASE SCOPED CREDENTIAL SasCredential
WITH IDENTITY = 'SHARED ACCESS SIGNATURE', SECRET = 'sv=2019-10-1********ZVsTOL0ltEGhf54N8KhDCRfLRI%3D'
GO
CREATE DATABASE SCOPED CREDENTIAL SPNCredential WITH
IDENTITY = '**44e*****8f6-ag44-1890-34u4-22r23r771098@https://login.microsoftonline.com/**do99dd-87f3-33da-33gf-3d3rh133ee33/oauth2/token' 
, SECRET = '.7OaaU_454azar9WWzLL.Ea9ePPZWzQee~'
GO
-- Create data source that one of the credentials above, external file format, and external tables that reference this data source and file format:

CREATE EXTERNAL FILE FORMAT [SynapseParquetFormat] WITH ( FORMAT_TYPE = PARQUET)
GO

CREATE EXTERNAL DATA SOURCE mysample
WITH ( LOCATION = 'https://<storage_account>.dfs.core.windows.net/<container>/<path>'
-- Uncomment one of these options depending on authentication method that you want to use to access data source:
--,CREDENTIAL = WorkspaceIdentity 
--,CREDENTIAL = SasCredential 
--,CREDENTIAL = SPNCredential
)

CREATE EXTERNAL TABLE dbo.userData ( [id] int, [first_name] varchar(8000), [last_name] varchar(8000) )
WITH ( LOCATION = 'parquet/user-data/*.parquet',
       DATA_SOURCE = [mysample],
       FILE_FORMAT = [SynapseParquetFormat] );

L'utente del database può leggere il contenuto dei file dall'origine dati usando una tabella esterna o la funzione OPENROWSET che fa riferimento all'origine dati:

SELECT TOP 10 * FROM dbo.userdata;
GO
SELECT TOP 10 * FROM OPENROWSET(BULK 'parquet/user-data/*.parquet', DATA_SOURCE = 'mysample', FORMAT='PARQUET') as rows;
GO

Passaggi successivi

Questi articoli illustrano come eseguire query su diversi tipi di file e cartelle e su come creare e usare le viste:

• Eseguire query su file CSV
• Eseguire query su cartelle e più file CSV
• Eseguire query su file specifici
• Eseguire query su file Parquet
• Creare e usare viste
• Eseguire query su file JSON
• Eseguire query su tipi annidati di Parquet