스토리지 연결 문자열
Azure Data Explorer 외부 스토리지 서비스와 상호 작용할 수 있습니다. 예를 들어 외부 스토리지에 저장된 데이터를 쿼리하기 위해 Azure Storage 외부 테이블을 만들 수 있습니다.
다음과 같은 유형의 외부 스토리지가 지원됩니다.
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
각 스토리지 유형에는 스토리지 리소스 및 액세스 방법을 설명하는 데 사용되는 해당 연결 문자열 형식이 있습니다. Azure Data Explorer URI 형식을 사용하여 이러한 스토리지 리소스 및 액세스에 필요한 속성(예: 보안 자격 증명)을 설명합니다.
참고
일부 시나리오에서 작동하는 것처럼 보이는 경우에도 전체 API Azure Blob Storage 집합을 구현하지 않는 HTTP 웹 서비스는 지원되지 않습니다.
스토리지 연결 문자열 템플릿
각 스토리지 유형에는 다른 연결 문자열 형식이 있습니다. 각 스토리지 유형에 대한 연결 문자열 템플릿은 다음 표를 참조하세요.
| 스토리지 유형 | 구성표 | URI 템플릿 |
|---|---|---|
| Azure Blob Storage | https:// |
https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Azure Data Lake Storage Gen2 | https:// |
https://StorageAccountName.dfs.core.windows.net/Filesystem[/PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen2 | abfss:// |
abfss://파일 시스템@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile] [CallerCredentials] |
| Azure Data Lake Storage Gen1 | adl:// |
adl://StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://BucketName.s3.RegionName.amazonaws.com/ObjectKey[CallerCredentials] |
참고
비밀이 추적에 표시되지 않도록 하려면 난독 처리를 한 문자열 리터럴을 사용합니다.
스토리지 인증 방법
Azure Data Explorer 비공개 외부 스토리지와 상호 작용하려면 외부 스토리지 연결 문자열 일부로 인증 수단을 지정해야 합니다. 연결 문자열 액세스할 리소스와 해당 인증 정보를 정의합니다.
Azure Data Explorer 다음 인증 방법을 지원합니다.
- 가장
- 관리 ID
- SAS(공유 액세스) 키
- 액세스 토큰 Microsoft Entra
- 스토리지 계정 액세스 키
- Amazon Web Services 프로그래밍 방식 액세스 키
- Amazon Web Services S3 미리 서명된 URL
스토리지 유형별로 지원되는 인증
다음 표에서는 다양한 외부 스토리지 유형에 사용 가능한 인증 방법을 요약합니다.
| 인증 방법 | Blob Storage에서 사용할 수 있나요? | Azure Data Lake Storage Gen 2에서 사용할 수 있나요? | Azure Data Lake Storage Gen 1에서 사용할 수 있나요? | Amazon S3에서 사용할 수 있나요? | 이 메서드는 언제 사용해야 하나요? |
|---|---|---|---|---|---|
| 가장 | ✔️ | ✔️ | ✔️ | ❌ | 외부 스토리지에 대한 복잡한 액세스 제어가 필요한 경우 참석 흐름에 사용합니다. 예를 들어 연속 내보내기 흐름에서 입니다. 사용자 수준에서 스토리지 액세스를 제한할 수도 있습니다. |
| 관리 ID | ✔️ | ✔️ | ✔️ | ❌ | 무인 흐름에서 를 사용합니다. 여기서 쿼리 및 명령을 실행하기 위해 Microsoft Entra 보안 주체를 파생할 수 없습니다. 관리 ID는 유일한 인증 솔루션입니다. |
| SAS(공유 액세스) 키 | ✔️ | ✔️ | ❌ | ❌ | SAS 토큰에는 만료 시간이 있습니다. 제한된 시간 동안 스토리지에 액세스할 때 사용합니다. |
| 액세스 토큰 Microsoft Entra | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra 토큰에는 만료 시간이 있습니다. 제한된 시간 동안 스토리지에 액세스할 때 사용합니다. |
| 스토리지 계정 액세스 키 | ✔️ | ✔️ | ❌ | ❌ | 리소스에 지속적으로 액세스해야 하는 경우 |
| Amazon Web Services 프로그래밍 방식 액세스 키 | ❌ | ❌ | ❌ | ✔️ | Amazon S3 리소스에 지속적으로 액세스해야 하는 경우 |
| Amazon Web Services S3 미리 서명된 URL | ❌ | ❌ | ❌ | ✔️ | 임시 미리 서명된 URL을 사용하여 Amazon S3 리소스에 액세스해야 하는 경우 |
가장
Azure Data Explorer 요청자의 보안 주체 ID를 가장하여 리소스에 액세스합니다. 가장을 사용하려면 연결 문자열 추가 ;impersonate 합니다.
| 예제 |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
보안 주체는 작업을 수행하는 데 필요한 권한이 있어야 합니다. 예를 들어 Azure Blob Storage Blob에서 읽으려면 보안 주체에 Storage Blob 데이터 판독기 역할이 필요하고 Blob으로 내보내려면 보안 주체에 Storage Blob 데이터 기여자 역할이 필요합니다. 자세한 내용은 Azure Blob Storage/Data Lake Storage Gen2 액세스 제어 또는 Data Lake Storage Gen1 액세스 제어를 참조하세요.
관리 ID
Azure Data Explorer 관리 ID를 대신하여 요청을 수행하고 ID를 사용하여 리소스에 액세스합니다. 시스템 할당 관리 ID의 경우 연결 문자열 추가 ;managed_identity=system 합니다. 사용자가 할당한 관리 ID의 경우 연결 문자열 추가 ;managed_identity={object_id} 합니다.
| 관리 ID 유형 | 예제 |
|---|---|
| 시스템 할당 | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| 사용자 할당 | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
관리 ID에는 작업을 수행하는 데 필요한 권한이 있어야 합니다. 예를 들어 Azure Blob Storage Blob에서 읽으려면 관리 ID에 Storage Blob 데이터 읽기 권한자 역할이 필요하고 Blob으로 내보내려면 관리 ID에 Storage Blob 데이터 기여자 역할이 필요합니다. 자세한 내용은 Azure Blob Storage/Data Lake Storage Gen2 액세스 제어 또는 Data Lake Storage Gen1 액세스 제어를 참조하세요.
참고
관리 ID는 특정 Azure Data Explorer 흐름에서만 지원되며 관리 ID 정책을 설정해야 합니다. 자세한 내용은 관리 ID 개요를 참조하세요.
SAS(공유 액세스) 토큰
Azure Portal 필요한 권한으로 SAS 토큰을 생성합니다.
예를 들어 외부 스토리지에서 읽으려면 읽기 및 목록 권한을 지정하고 외부 스토리지로 내보내려면 쓰기 권한을 지정합니다. 자세한 내용은 공유 액세스 서명을 사용하여 액세스 위임을 참조하세요.
SAS URL을 연결 문자열 사용합니다.
| 예제 |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
액세스 토큰 Microsoft Entra
base-64로 인코딩된 Microsoft Entra 액세스 토큰을 추가하려면 연결 문자열 추가 ;token={AadToken} 합니다. 토큰은 리소스 https://storage.azure.com/에 대한 토큰이어야 합니다.
Microsoft Entra 액세스 토큰을 생성하는 방법에 대한 자세한 내용은 권한 부여를 위한 액세스 토큰 가져오기를 참조하세요.
| 예제 |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
스토리지 계정 액세스 키
스토리지 계정 액세스 키를 추가하려면 연결 문자열 키를 추가합니다. Azure Blob Storage 연결 문자열 추가 ;{key} 합니다. Azure Data Lake Storage Gen 2의 경우 연결 문자열 추가 ;sharedkey={key} 합니다.
| 스토리지 계정 | 예제 |
|---|---|
| Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Amazon Web Services 프로그래밍 방식 액세스 키
Amazon Web Services 액세스 키를 추가하려면 연결 문자열 추가 ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} 합니다.
| 예제 |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Amazon Web Services S3 미리 서명된 URL
S3 미리 서명된 URL을 연결 문자열 사용합니다.
| 예제 |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기