Storage-verbindingsreeksen
Azure Data Explorer kunnen communiceren met externe opslagservices. U kunt bijvoorbeeld een externe Azure Storage-tabel maken om query's uit te voeren op gegevens die zijn opgeslagen in externe opslagen.
De volgende typen externe opslag worden ondersteund:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Elk type opslag heeft overeenkomstige verbindingsreeks indelingen die worden gebruikt om de opslagresources te beschrijven en hoe ze toegankelijk zijn. Azure Data Explorer maakt gebruik van een URI-indeling om deze opslagresources te beschrijven en de eigenschappen die nodig zijn om er toegang toe te krijgen, zoals beveiligingsreferenties.
Notitie
HTTP-webservices die niet de volledige API-set met Azure Blob Storage implementeren, worden niet ondersteund, zelfs niet als ze in sommige scenario's lijken te werken.
Sjablonen voor opslag verbindingsreeks
Elk opslagtype heeft een andere verbindingsreeks indeling. Zie de volgende tabel voor verbindingsreeks sjablonen voor elk opslagtype.
Opslagtype | Schema | URI-sjabloon |
---|---|---|
Azure Blob Storage | https:// |
https:// StorageAccountName.blob.core.windows.net/ Container[/ BlobName][CallerCredentials] |
Azure Data Lake Storage Gen2 | https:// |
https:// StorageAccountName.dfs.core.windows.net/ Bestandssysteem[/ PathToDirectoryOrFile][CallerCredentials] |
Azure Data Lake Storage Gen2 | abfss:// |
abfss:// Bestandssysteem@ StorageAccountName.dfs.core.windows.net/ [PathToDirectoryOrFile] [CallerCredentials] |
Azure Data Lake Storage Gen1 | adl:// |
adl:// StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
Amazon S3 | https:// |
https:// BucketName.s3. RegionName.amazonaws.com/ ObjectKey[CallerCredentials] |
Notitie
Als u wilt voorkomen dat geheimen worden weergegeven in traceringen, gebruikt u verborgen letterlijke tekenreeksen.
Verificatiemethoden voor opslag
Als u wilt communiceren met niet-openbare externe opslag vanuit Azure Data Explorer, moet u verificatiemiddelen opgeven als onderdeel van de verbindingsreeks voor externe opslag. De verbindingsreeks definieert de resource die moet worden geopend en de bijbehorende verificatiegegevens.
Azure Data Explorer ondersteunt de volgende verificatiemethoden:
- Imitatie
- Beheerde identiteit
- SAS-sleutel (Shared Access)
- Microsoft Entra toegangstoken
- Toegangssleutel voor opslagaccount
- Programmatische toegangssleutels voor Amazon Web Services
- Vooraf ondertekende URL van Amazon Web Services S3
Ondersteunde verificatie op opslagtype
De volgende tabel bevat een overzicht van de beschikbare verificatiemethoden voor verschillende externe opslagtypen.
Verificatiemethode | Beschikbaar in Blob Storage? | Beschikbaar in Azure Data Lake Storage Gen 2? | Beschikbaar in Azure Data Lake Storage Gen 1? | Beschikbaar in Amazon S3? | Wanneer moet u deze methode gebruiken? |
---|---|---|---|---|---|
Imitatie | ✔️ | ✔️ | ✔️ | ❌ | Gebruik dit voor bezochte stromen wanneer u complex toegangsbeheer voor de externe opslag nodig hebt. Bijvoorbeeld in stromen voor continue export. U kunt ook de toegang tot opslag beperken op gebruikersniveau. |
Beheerde identiteit | ✔️ | ✔️ | ✔️ | ❌ | Gebruik in stromen zonder toezicht, waarbij geen Microsoft Entra principal kan worden afgeleid om query's en opdrachten uit te voeren. Beheerde identiteiten zijn de enige verificatieoplossing. |
SAS-sleutel (Shared Access) | ✔️ | ✔️ | ❌ | ❌ | SAS-tokens hebben een verlooptijd. Te gebruiken bij het openen van opslag voor een beperkte tijd. |
Microsoft Entra toegangstoken | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra tokens hebben een verlooptijd. Te gebruiken bij het openen van opslag voor een beperkte tijd. |
Toegangssleutel voor opslagaccount | ✔️ | ✔️ | ❌ | ❌ | Wanneer u doorlopend toegang nodig hebt tot resources. |
Programmatische toegangssleutels voor Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Wanneer u doorlopend toegang nodig hebt tot Amazon S3-resources. |
Vooraf ondertekende URL van Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Wanneer u toegang nodig hebt tot Amazon S3-resources met een tijdelijke, vooraf ondertekende URL. |
Imitatie
Azure Data Explorer imiteert de principal-identiteit van de aanvrager voor toegang tot de resource. Als u imitatie wilt gebruiken, voegt u toe ;impersonate
aan de verbindingsreeks.
Voorbeeld |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
De principal moet over de benodigde machtigingen beschikken om de bewerking uit te voeren. Als u bijvoorbeeld in Azure Blob Storage wilt lezen uit de blob, heeft de principal de rol Lezer voor opslagblobgegevens nodig en voor het exporteren naar de blob heeft de principal de rol Inzender voor opslagblobgegevens nodig. Zie toegangsbeheer Azure Blob Storage/Data Lake Storage Gen2 of Data Lake Storage Gen1 toegangsbeheer voor meer informatie.
Beheerde identiteit
Azure Data Explorer doet aanvragen namens een beheerde identiteit en gebruikt de bijbehorende identiteit om toegang te krijgen tot resources. Voeg voor een door het systeem toegewezen beheerde identiteit toe ;managed_identity=system
aan de verbindingsreeks. Voeg voor een door de gebruiker toegewezen beheerde identiteit toe ;managed_identity={object_id}
aan de verbindingsreeks.
Type beheerde identiteit | Voorbeeld |
---|---|
Door het systeem toegewezen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
Door de gebruiker toegewezen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
De beheerde identiteit moet over de benodigde machtigingen beschikken om de bewerking uit te voeren. Als u bijvoorbeeld in Azure Blob Storage wilt lezen uit de blob, heeft de beheerde identiteit de rol Lezer voor opslagblobgegevens nodig en voor het exporteren naar de blob heeft de beheerde identiteit de rol Inzender voor opslagblobgegevens nodig. Zie toegangsbeheer Azure Blob Storage/Data Lake Storage Gen2 of Data Lake Storage Gen1 toegangsbeheer voor meer informatie.
Notitie
Beheerde identiteit wordt alleen ondersteund in specifieke Azure Data Explorer-stromen en vereist het instellen van het beleid voor beheerde identiteiten. Zie Overzicht van beheerde identiteiten voor meer informatie.
SAS-token (Shared Access)
Genereer in de Azure Portal een SAS-token met de vereiste machtigingen.
Als u bijvoorbeeld wilt lezen uit de externe opslag, geeft u de machtigingen Lezen en Lijst op en geeft u voor het exporteren naar de externe opslag de schrijfmachtigingen op. Zie Toegang delegeren met behulp van een shared access signature voor meer informatie.
Gebruik de SAS-URL als de verbindingsreeks.
Voorbeeld |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra toegangstoken
Als u een met base 64 gecodeerd Microsoft Entra toegangstoken wilt toevoegen, voegt u toe ;token={AadToken}
aan de verbindingsreeks. Het token moet voor de resource https://storage.azure.com/
zijn.
Zie Een toegangstoken voor autorisatie ophalen voor meer informatie over het genereren van een Microsoft Entra toegangstoken.
Voorbeeld |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Toegangssleutel voor opslagaccount
Als u een toegangssleutel voor het opslagaccount wilt toevoegen, voegt u de sleutel toe aan de verbindingsreeks. Voeg in Azure Blob Storage toe ;{key}
aan de verbindingsreeks. Voeg voor Azure Data Lake Storage Gen 2 toe ;sharedkey={key}
aan de verbindingsreeks.
Storage-account | Voorbeeld |
---|---|
Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programmatische toegangssleutels van Amazon Web Services
Als u toegangssleutels voor Amazon Web Services wilt toevoegen, voegt u toe ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}
aan de verbindingsreeks.
Voorbeeld |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Vooraf ondertekende URL van Amazon Web Services S3
Gebruik de vooraf door S3 ondertekende URL als de verbindingsreeks.
Voorbeeld |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor