Azure Storage 接続マネージャー

  • [アーティクル]

適用対象: SQL Server Azure Data Factory の SSIS Integration Runtime

Azure Storage 接続マネージャーにより、SQL Server Integration Services (SSIS) パッケージは Azure ストレージ アカウントに接続できます。 接続マネージャーは、SQL Server Integration Services (SSIS) Feature Pack for Azure のコンポーネントです。

[SSIS 接続マネージャーの追加] ダイアログ ボックスで、 [AzureStorage]>[追加] を選択します。

使用できるプロパティは次のとおりです。

  • サービス: 接続先のストレージ サービスを指定します。
  • アカウント名: ストレージ アカウント名を指定します。
  • 認証: 使用する認証方法を指定します。 AccessKey、ServicePrincipal、および SharedAccessSignature の認証がサポートされています。
    • AccessKey: この認証方法には、アカウント キーを指定します。
    • ServicePrincipal: この認証方法には、サービス プリンシパルのアプリケーション IDアプリケーション キーテナント ID を指定します。 テスト接続が機能するためには、サービス プリンシパルには少なくともストレージ アカウントに対するストレージ BLOB データ閲覧者の役割を割り当てる必要があります。 詳細については、「Azure portal で RBAC を使用して Azure BLOB とキューのデータへのアクセスを付与する」を参照してください。
    • SharedAccessSignature: この認証方法では、Shared Access Signature の、少なくともトークンを指定します。 接続をテストするには、テスト対象のリソース スコープをさらに指定します。 これは、サービスコンテナー、または BLOB である可能性があります。 コンテナーBLOB には、コンテナー名と BLOB パスをそれぞれ指定します。 詳細については、Azure Storage Shared Access Signature の概要に関する記事を参照してください。
  • 環境: ストレージ アカウントをホストするクラウド環境を指定します。

Note

Microsoft Entra ID は、以前は Azure Active Directory (Azure AD) と呼ばれていました。

Azure リソース認証用のマネージド ID

Azure Data Factory (ADF) の Azure-SSIS Integration Runtime (IR) 上で SSIS パッケージを実行する場合は、Microsoft Entra 認証を、ご利用の ADF のマネージド ID と一緒に使用することで、Azure Storage にアクセスすることができます。 Azure-SSIS IR では、このマネージド ID を使用して、自分のストレージ アカウントにアクセスし、そのストレージ アカウントとの間でデータをコピーすることができます。

Note

ユーザー割り当てマネージド ID を使用して認証する場合、SSIS Integration Runtime で同じ ID での認証を有効にする必要があります。 詳細情報については、「Azure-SSIS Integration Runtime のMicrosoft Entra 認証を有効にする」を参照してください。

一般的な Azure Storage 認証については、Microsoft Entra ID を使用した Azure Storage への認証済みアクセスに関する記事をご覧ください。 Microsoft Entra 認証と、ADF のマネージド ID を使用して Azure Storage にアクセスするには、次の手順に従います。

  1. ADF 用のマネージド ID を Azure portal から検索します。 お使いのデータ ファクトリの [プロパティ] に移動します。 (マネージド ID オブジェクト ID ではなく) マネージド ID アプリケーション ID をコピーします。

  2. ADF 用のマネージド ID に対して、Azure Storage にアクセスするのに必要なアクセス許可を付与します。 ロールの詳細については、RBAC を使用した Azure Storage データへのアクセス権の管理に関する記事をご覧ください。

    • ソースとして、アクセス制御 (IAM) で、少なくともストレージ BLOB データ閲覧者の役割を付与します。
    • 宛先として、アクセス制御 (IAM) で、少なくともストレージ BLOB データ共同作成者の役割を付与します。

最後に、Azure Storage 接続マネージャーで、ADF のマネージド ID を使用して Microsoft Entra 認証を構成することができます。 これを行うには次のオプションがあります。

  • 設計時に構成します。 SSIS デザイナーで、ご利用の Azure Storage 接続マネージャーをダブルクリックして Azure Storage 接続マネージャー エディターを開きます。 [Use managed identity to authenticate on Azure](マネージド ID を使用して Azure 上で認証する) オプションをオンにします。

    Note

    SSIS デザイナーまたは SQL Server パッケージを実行しても、接続マネージャーのプロパティ ConnectUsingManagedIdentity は有効になりません。これは、ADF のマネージド ID を使用した Microsoft Entra 認証が機能しないことを示しています。

  • 実行時に構成します。 SQL Server Management Studio (SSMS) または ADF パイプラインでの SSIS パッケージの実行アクティビティを介してパッケージを実行する場合は、Azure Storage 接続マネージャーを見つけて、そのプロパティ ConnectUsingManagedIdentityTrue に更新します。

    Note

    Azure-SSIS IR では、Microsoft Entra 認証と、ADF のマネージド ID を使用すると、Azure Storage 接続マネージャーで事前に構成された他のすべての認証方法 (統合セキュリティおよびパスワードなど) がオーバーライドされます。

既存のパッケージに対して、ADF のマネージド ID を使用して Microsoft Entra 認証を構成する場合は、最新の SSIS デザイナーで SSIS プロジェクトを少なくとも 1 回リビルドする方法をお勧めしています。 Azure-SSIS IR 上で実行する SSIS プロジェクトを再配置します。これにより、プロジェクト内のすべての Azure Storage 接続マネージャーに新しい接続マネージャー プロパティ ConnectUsingManagedIdentity が自動的に追加されます。 実行時にプロパティ パス \Package.Connections[{the name of your connection manager}].Properties[ConnectUsingManagedIdentity]True に割り当てることで、プロパティのオーバーライドを直接使用する方法もあります。

ストレージ アカウントへのネットワークトラフィックをセキュリティで保護する

ADF のマネージド ID で Microsoft Entra 認証を使用する場合、Azure-SSIS Integration Runtime を仮想ネットワークに参加させてから、選択したネットワークまたはプライベート エンドポイントにアクセスを制限することでストレージ アカウントを保護できます。 手順については、例外の管理に関する記事を参照してください。

関連項目