Considerações sobre segurança para movimentação de dados no Azure Data FactorySecurity considerations for data movement in Azure Data Factory

APLICA-SE A: Azure Data Factory Azure Synapse Analytics (Versão prévia)

Este artigo descreve a infraestrutura básica de segurança usada pelos serviços de movimentação de dados no Azure Data Factory para ajudar a proteger seus dados.This article describes basic security infrastructure that data movement services in Azure Data Factory use to help secure your data. Os recursos de gerenciamento do Data Factory se baseiam na infraestrutura de segurança do Azure e usam todas as medidas de segurança possíveis oferecidas pelo Azure.Data Factory management resources are built on Azure security infrastructure and use all possible security measures offered by Azure.

Em uma solução de Data Factory, você cria um ou mais pipelinesde dados.In a Data Factory solution, you create one or more data pipelines. Um pipeline é um agrupamento lógico de atividades que, juntas, executam uma tarefa.A pipeline is a logical grouping of activities that together perform a task. Esses pipelines residem na região em que o data factory foi criado.These pipelines reside in the region where the data factory was created.

Mesmo que a fábrica de dados está disponível apenas em algumas regiões, o serviço de movimentação de dados é disponível globalmente para garantir a conformidade de dados, eficiência e rede reduzida os custos de saída.Even though Data Factory is only available in few regions, the data movement service is available globally to ensure data compliance, efficiency, and reduced network egress costs.

O Azure Data Factory não armazena nenhum dado, exceto as credenciais do serviço vinculado de armazenamentos de dados em nuvem, que são criptografadas usando certificados.Azure Data Factory does not store any data except for linked service credentials for cloud data stores, which are encrypted by using certificates. Com o Data Factory, você cria fluxos de trabalho controlados por dados para orquestrar a movimentação de dados entre os armazenamentos de dados com suporte e o processamento de dados usando serviços de computação em outras regiões ou em um ambiente local.With Data Factory, you create data-driven workflows to orchestrate movement of data between supported data stores, and processing of data by using compute services in other regions or in an on-premises environment. Você também pode monitorar e gerenciar fluxos de trabalho usando SDKs e Azure Monitor.You can also monitor and manage workflows by using SDKs and Azure Monitor.

O Data Factory foi certificado para:Data Factory has been certified for:

Certificação CSA STARCSA STAR Certification
ISO 20000-1:2011ISO 20000-1:2011
ISO 22301:2012ISO 22301:2012
ISO 27001:2013ISO 27001:2013
ISO 27017:2015ISO 27017:2015
ISO 27018:2014ISO 27018:2014
ISO 9001:2015ISO 9001:2015
SOC 1, 2, 3SOC 1, 2, 3
HIPAA BAAHIPAA BAA

Se você estiver interessado na conformidade do Azure e como ele protege sua própria infraestrutura, visite a Central de Confiabilidade da Microsoft.If you're interested in Azure compliance and how Azure secures its own infrastructure, visit the Microsoft Trust Center. Para obter a lista mais recente de todas as ofertas de conformidade do Azure, confira: https://aka.ms/AzureCompliance.For the latest list of all Azure Compliance offerings check - https://aka.ms/AzureCompliance.

Neste artigo, examinamos as considerações sobre segurança nestes dois cenários de movimentação de dados:In this article, we review security considerations in the following two data movement scenarios:

  • Cenário de nuvem : neste cenário, sua origem e destino são publicamente acessíveis por meio da Internet.Cloud scenario : In this scenario, both your source and your destination are publicly accessible through the internet. Isso inclui serviços de armazenamento em nuvem gerenciados, como o armazenamento do Azure, o Azure Synapse Analytics (anteriormente SQL Data Warehouse), o banco de dados SQL do Azure, Azure Data Lake Store, Amazon S3, Amazon redshift, serviços SaaS como Salesforce e protocolos da Web, como FTP e OData.These include managed cloud storage services such as Azure Storage, Azure Synapse Analytics (formerly SQL Data Warehouse), Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, SaaS services such as Salesforce, and web protocols such as FTP and OData. Localizar uma lista completa de fontes de dados com suporte em Armazenamentos de dados e formatos com suporte.Find a complete list of supported data sources in Supported data stores and formats.
  • Cenário híbrido : nesse cenário, sua origem ou destino está atrás de um firewall ou dentro de uma rede corporativa local.Hybrid scenario : In this scenario, either your source or your destination is behind a firewall or inside an on-premises corporate network. Ou, o armazenamento de dados está em uma particular ou rede virtual (geralmente a origem) e não está acessível publicamente.Or, the data store is in a private network or virtual network (most often the source) and is not publicly accessible. Os servidores de banco de dados hospedados em máquinas virtuais também se enquadram nesse cenário.Database servers hosted on virtual machines also fall under this scenario.

Observação

Este artigo foi atualizado para usar o novo módulo Az do Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Você ainda pode usar o módulo AzureRM, que continuará a receber as correções de bugs até pelo menos dezembro de 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para saber mais sobre o novo módulo Az e a compatibilidade com o AzureRM, confira Apresentação do novo módulo Az do Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obter instruções de instalação do módulo Az, confira Instalar o Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Cenários de nuvemCloud scenarios

Protegendo as credenciais do armazenamento de dadosSecuring data store credentials

  • Armazene credenciais criptografadas em um armazenamento gerenciado do Azure Data Factory .Store encrypted credentials in an Azure Data Factory managed store . O Data Factory ajuda a proteger suas credenciais de armazenamento de dados criptografando-as com certificados gerenciados pela Microsoft.Data Factory helps protect your data store credentials by encrypting them with certificates managed by Microsoft. Esses certificados são trocados a cada dois anos (que inclui a renovação do certificado e a migração de credenciais).These certificates are rotated every two years (which includes certificate renewal and the migration of credentials). Para obter mais informações sobre a segurança do Armazenamento do Azure, consulte Visão geral de segurança do Armazenamento do Azure.For more information about Azure Storage security, see Azure Storage security overview.
  • Armazene as credenciais no Azure Key Vault .Store credentials in Azure Key Vault . Você também pode armazenar credenciais do repositório de dados em Azure Key Vault.You can also store the data store's credential in Azure Key Vault. O Data Factory recupera as credenciais durante a execução de uma atividade.Data Factory retrieves the credential during the execution of an activity. Para obter mais informações, consulte Armazenar credenciais no Azure Key Vault.For more information, see Store credential in Azure Key Vault.

Criptografia de dados em trânsitoData encryption in transit

Caso o armazenamento de dados em nuvem dê suporte a HTTPS ou TLS, todas as transferências de dados entre serviços de movimentação de dados no Data Factory e um armazenamento de dados em nuvem ocorrerão por meio de um canal seguro HTTPS ou TLS.If the cloud data store supports HTTPS or TLS, all data transfers between data movement services in Data Factory and a cloud data store are via secure channel HTTPS or TLS.

Observação

Todas as conexões com o banco de dados SQL do Azure e o Azure Synapse Analytics exigem Criptografia (SSL/TLS), enquanto os dados estão em trânsito para e do banco.All connections to Azure SQL Database and Azure Synapse Analytics require encryption (SSL/TLS) while data is in transit to and from the database. Ao criar um pipeline usando JSON, adicione a propriedade criptografia e defina-a como verdadeira na cadeia de conexão.When you're authoring a pipeline by using JSON, add the encryption property and set it to true in the connection string. Para o armazenamento do Azure, você pode usar https na cadeia de conexão.For Azure Storage, you can use HTTPS in the connection string.

Observação

Para habilitar a criptografia em trânsito, simultaneamente movendo dados do Oracle, siga uma das opções abaixo:To enable encryption in transit while moving data from Oracle follow one of the below options:

  1. No servidor Oracle, acesse OAS (Segurança Avançada da Oracle) e defina as configurações de criptografia, que dão suporte a 3DES (criptografia DES tripla) e AES (criptografia AES). Consulte os detalhes aqui.In Oracle server, go to Oracle Advanced Security (OAS) and configure the encryption settings, which supports Triple-DES Encryption (3DES) and Advanced Encryption Standard (AES), refer here for details. O ADF negocia automaticamente o método de criptografia para usar aquele que você configura no OAS ao estabelecer a conexão com o Oracle.ADF automatically negotiates the encryption method to use the one you configure in OAS when establishing connection to Oracle.
  2. Em ADF, você pode adicionar EncryptionMethod=1 na cadeia de conexão (no serviço vinculado).In ADF, you can add EncryptionMethod=1 in the connection string (in the Linked Service). Essa opção usará SSL/TLS como o método de criptografia.This will use SSL/TLS as the encryption method. Para usar essa, é necessário desabilitar as configurações de criptografia não SSL no OAS no lado do servidor Oracle para evitar conflitos de criptografia.To use this, you need to disable non-SSL encryption settings in OAS on the Oracle server side to avoid encryption conflict.

Observação

A versão do TLS usada é a 1.2.TLS version used is 1.2.

Criptografia de dados em repousoData encryption at rest

Alguns armazenamentos de dados dão suporte à criptografia de dados em repouso.Some data stores support encryption of data at rest. Recomendamos que você habilite o mecanismo de criptografia de dados nesses armazenamentos de dados.We recommend that you enable the data encryption mechanism for those data stores.

Azure Synapse AnalyticsAzure Synapse Analytics

O Transparent Data Encryption (TDE) na análise de Synapse do Azure ajuda a proteger contra a ameaça de atividades mal-intencionadas, executando criptografia e descriptografia em tempo real de seus dados em repouso.Transparent Data Encryption (TDE) in Azure Synapse Analytics helps protect against the threat of malicious activity by performing real-time encryption and decryption of your data at rest. Esse comportamento é transparente para o cliente.This behavior is transparent to the client. Para obter mais informações, consulte proteger um banco de dados no Azure Synapse Analytics.For more information, see Secure a database in Azure Synapse Analytics.

Banco de Dados SQL do AzureAzure SQL Database

O Banco de Dados SQL do Azure também dá suporte à TDE (Transparent Data Encryption), que ajuda a proteger contra ameaças de atividades mal-intencionadas por meio da execução de criptografia e descriptografia em tempo real dos dados, sem a necessidade de alterações no aplicativo.Azure SQL Database also supports transparent data encryption (TDE), which helps protect against the threat of malicious activity by performing real-time encryption and decryption of the data, without requiring changes to the application. Esse comportamento é transparente para o cliente.This behavior is transparent to the client. Para obter mais informações, consulte Transparent Data Encryption para o Banco de Dados SQL e SQL Warehouse.For more information, see Transparent data encryption for SQL Database and Data Warehouse.

Repositório Azure Data LakeAzure Data Lake Store

O Azure Data Lake Store também fornece criptografia para os dados armazenados na conta.Azure Data Lake Store also provides encryption for data stored in the account. Quando está habilitado, o Data Lake Store criptografa os dados automaticamente antes de persisti-los e descriptografá-los antes da recuperação, tornando-os transparentes para o cliente que acessa os dados.When enabled, Data Lake Store automatically encrypts data before persisting and decrypts before retrieval, making it transparent to the client that accesses the data. Para obter mais informações, consulte Segurança no Azure Data Lake Store.For more information, see Security in Azure Data Lake Store.

Armazenamento de Blobs do Azure e armazenamento de Tabelas do AzureAzure Blob storage and Azure Table storage

O armazenamento de Blobs do Azure e o armazenamento de Tabelas do Azure dão suporte à SSE (Storage Service Encryption), que criptografa os dados automaticamente antes de persisti-los no armazenamento e descriptografa-os antes da recuperação.Azure Blob storage and Azure Table storage support Storage Service Encryption (SSE), which automatically encrypts your data before persisting to storage and decrypts before retrieval. Para obter mais informações, consulte Criptografia de serviço do Armazenamento do Azure para dados em repouso.For more information, see Azure Storage Service Encryption for Data at Rest.

Amazon S3Amazon S3

O Amazon S3 dá suporte à criptografia de cliente e de servidor de dados em repouso.Amazon S3 supports both client and server encryption of data at rest. Para obter mais informações, consulte Proteger dados usando a criptografia.For more information, see Protecting Data Using Encryption.

Amazon RedshiftAmazon Redshift

O Amazon Redshift dá suporte à criptografia de cluster de dados em repouso.Amazon Redshift supports cluster encryption for data at rest. Para obter mais informações, consulte Criptografia de banco de dados do Amazon Redshift.For more information, see Amazon Redshift Database Encryption.

SalesforceSalesforce

O Salesforce dá suporte à Shield Platform Encryption, que permite a criptografia de todos os arquivos, anexos e campos personalizados.Salesforce supports Shield Platform Encryption that allows encryption of all files, attachments, and custom fields. Para obter mais informações, consulte Noções básicas sobre o fluxo de autenticação OAuth do Servidor Web.For more information, see Understanding the Web Server OAuth Authentication Flow.

Cenários híbridosHybrid scenarios

Os cenários híbridos exigem que o runtime de integração auto-hospedada seja instalado em uma rede local, dentro de uma rede virtual (Azure) ou dentro de uma nuvem privada virtual (Amazon).Hybrid scenarios require self-hosted integration runtime to be installed in an on-premises network, inside a virtual network (Azure), or inside a virtual private cloud (Amazon). O runtime de integração auto-hospedada deve ser capaz de acessar os armazenamentos de dados locais.The self-hosted integration runtime must be able to access the local data stores. Para obter mais informações sobre o runtime de integração auto-hospedada, consulte Como criar e configurar o runtime de integração auto-hospedada.For more information about self-hosted integration runtime, see How to create and configure self-hosted integration runtime.

Canais do runtime de integração auto-hospedada

O canal de comando permite a comunicação entre os serviços de movimentação de dados no Data Factory e no runtime de integração auto-hospedada.The command channel allows communication between data movement services in Data Factory and self-hosted integration runtime. A comunicação contém informações relacionadas à atividade.The communication contains information related to the activity. O canal de dados é usado para transferir dados entre armazenamentos de dados locais e armazenamentos de dados em nuvem.The data channel is used for transferring data between on-premises data stores and cloud data stores.

Credenciais do armazenamento de dados localOn-premises data store credentials

As credenciais podem ser armazenadas dentro de data factory ou ser referenciadas por data Factory durante o tempo de execução de Azure Key Vault.The credentials can be stored within data factory or be referenced by data factory during the runtime from Azure Key Vault. Se estiver armazenando credenciais no data factory, ela será sempre armazenada criptografada no tempo de execução de integração auto-hospedado.If storing credentials within data factory, it is always stored encrypted on the self-hosted integration runtime.

  • Armazenar credenciais localmente .Store credentials locally . Se você usar diretamente o cmdlet set-AzDataFactoryV2LinkedService com as cadeias de conexão e as credenciais embutidas no JSON, o serviço vinculado será criptografado e armazenado no tempo de execução de integração auto-hospedado.If you directly use the Set-AzDataFactoryV2LinkedService cmdlet with the connection strings and credentials inline in the JSON, the linked service is encrypted and stored on self-hosted integration runtime. Nesse caso, o fluxo de credenciais por meio do serviço de back-end do Azure, que é extremamente seguro, para o computador de integração auto-hospedado no qual ele é finalmente criptografado e armazenado.In this case the credentials flow through Azure backend service, which is extremely secure, to the self-hosted integration machine where it is finally encrypted and stored. O runtime de integração auto-hospedada usa Windows DPAPI para criptografar dados confidenciais e informações de credenciais.The self-hosted integration runtime uses Windows DPAPI to encrypt the sensitive data and credential information.

  • Armazene as credenciais no Azure Key Vault .Store credentials in Azure Key Vault . Você também pode armazenar credenciais do repositório de dados em Azure Key Vault.You can also store the data store's credential in Azure Key Vault. O Data Factory recupera as credenciais durante a execução de uma atividade.Data Factory retrieves the credential during the execution of an activity. Para obter mais informações, consulte Armazenar credenciais no Azure Key Vault.For more information, see Store credential in Azure Key Vault.

  • Armazene credenciais localmente sem fluir as credenciais por meio do back-end do Azure para o tempo de execução de integração auto-hospedado .Store credentials locally without flowing the credentials through Azure backend to the self-hosted integration runtime . Se você quiser criptografar e armazenar credenciais localmente no tempo de execução de integração auto-hospedado sem precisar fluir as credenciais por meio de data factory back-end, siga as etapas em criptografar credenciais para armazenamentos de dados locais no Azure data Factory.If you want to encrypt and store credentials locally on the self-hosted integration runtime without having to flow the credentials through data factory backend, follow the steps in Encrypt credentials for on-premises data stores in Azure Data Factory. Todos os conectores oferecem suporte a essa opção.All connectors support this option. O runtime de integração auto-hospedada usa Windows DPAPI para criptografar dados confidenciais e informações de credenciais.The self-hosted integration runtime uses Windows DPAPI to encrypt the sensitive data and credential information.

    Use o cmdlet New-AzDataFactoryV2LinkedServiceEncryptedCredential para criptografar credenciais de serviço vinculadas e detalhes confidenciais no serviço vinculado.Use the New-AzDataFactoryV2LinkedServiceEncryptedCredential cmdlet to encrypt linked service credentials and sensitive details in the linked service. Em seguida, você pode usar o JSON retornado (com o elemento EncryptedCredential na cadeia de conexão) para criar um serviço vinculado usando o cmdlet set-AzDataFactoryV2LinkedService .You can then use the JSON returned (with the EncryptedCredential element in the connection string) to create a linked service by using the Set-AzDataFactoryV2LinkedService cmdlet.

Portas usadas para criptografar o serviço vinculado no runtime de integração auto-hospedadaPorts used when encrypting linked service on self-hosted integration runtime

Por padrão, o PowerShell usa a porta 8060 no computador com o tempo de execução de integração auto-hospedado para comunicação segura.By default, PowerShell uses port 8060 on the machine with self-hosted integration runtime for secure communication. Se necessário, essa porta pode ser alterada.If necessary, this port can be changed.

Porta HTTPS do gateway

Criptografia em trânsitoEncryption in transit

Todas as transferências de dados são feitas por meio do canal seguro HTTPS e TLS via TCP para impedir ataques man-in-the-middle durante a comunicação com os serviços do Azure.All data transfers are via secure channel HTTPS and TLS over TCP to prevent man-in-the-middle attacks during communication with Azure services.

Você também pode usar a VPN IPsec ou o Azure ExpressRoute para fornecer proteção adicional ao canal de comunicação entre a rede local e o Azure.You can also use IPSec VPN or Azure ExpressRoute to further secure the communication channel between your on-premises network and Azure.

A Rede Virtual do Azure é uma representação lógica de sua rede na nuvem.Azure Virtual Network is a logical representation of your network in the cloud. Você pode conectar uma rede local à rede virtual ao configurar a VPN IPsec (site a site) ou o ExpressRoute (emparelhamento privado).You can connect an on-premises network to your virtual network by setting up IPSec VPN (site-to-site) or ExpressRoute (private peering).

A tabela a seguir resume as recomendações de configuração de rede e runtime de integração auto-hospedada de acordo com diferentes combinações dos locais de origem e de destino para a movimentação de dados híbridos.The following table summarizes the network and self-hosted integration runtime configuration recommendations based on different combinations of source and destination locations for hybrid data movement.

FonteSource DestinoDestination Configuração de redeNetwork configuration Configuração do runtime de integraçãoIntegration runtime setup
LocalOn-premises Máquinas virtuais e serviços de nuvem implantados em redes virtuaisVirtual machines and cloud services deployed in virtual networks VPN IPsec (ponto a site ou site a site)IPSec VPN (point-to-site or site-to-site) O tempo de execução de integração auto-hospedado deve ser instalado em uma máquina virtual do Azure na rede virtual.The self-hosted integration runtime should be installed on an Azure virtual machine in the virtual network.
LocalOn-premises Máquinas virtuais e serviços de nuvem implantados em redes virtuaisVirtual machines and cloud services deployed in virtual networks ExpressRoute (emparelhamento privado)ExpressRoute (private peering) O tempo de execução de integração auto-hospedado deve ser instalado em uma máquina virtual do Azure na rede virtual.The self-hosted integration runtime should be installed on an Azure virtual machine in the virtual network.
LocalOn-premises Serviços baseados no Azure que têm um ponto de extremidade públicoAzure-based services that have a public endpoint ExpressRoute (emparelhamento da Microsoft)ExpressRoute (Microsoft peering) O Integration Runtime de hospedagem interna pode ser instalado localmente ou em uma máquina virtual do Azure.The self-hosted integration runtime can be installed on-premises or on an Azure virtual machine.

As imagens a seguir mostram o uso do runtime de integração auto-hospedada para mover dados entre um banco de dados local e os serviços do Azure usando o ExpressRoute e a VPN IPsec (com a Rede Virtual do Azure):The following images show the use of self-hosted integration runtime for moving data between an on-premises database and Azure services by using ExpressRoute and IPSec VPN (with Azure Virtual Network):

ExpressRouteExpressRoute

Usar o ExpressRoute com o gateway

VPN IPSecIPSec VPN

VPN IPsec com gateway

Configurações de firewall e lista de permissões de configuração para endereços IPFirewall configurations and allow list setting up for IP addresses

Observação

Talvez você precise gerenciar portas ou configurar a lista de permissões para domínios no nível do firewall corporativo, conforme exigido pelas respectivas fontes de dados.You might have to manage ports or set up allow list for domains at the corporate firewall level as required by the respective data sources. Esta tabela usa apenas o banco de dados SQL do Azure, o Azure Synapse Analytics e o Azure Data Lake Store como exemplos.This table only uses Azure SQL Database, Azure Synapse Analytics, and Azure Data Lake Store as examples.

Observação

Para obter detalhes sobre estratégias de acesso a dados por meio de Azure Data Factory, consulte Este artigo.For details about data access strategies through Azure Data Factory, see this article.

Requisitos de firewall para a rede local/privadaFirewall requirements for on-premises/private network

Em uma empresa, um firewall corporativo é executado no roteador central da organização.In an enterprise, a corporate firewall runs on the central router of the organization. O Firewall do Windows é executado como um daemon no computador local em que o runtime de integração auto-hospedada está instalado.Windows Firewall runs as a daemon on the local machine in which the self-hosted integration runtime is installed.

A tabela a seguir fornece os requisitos de porta de saída e de domínio dos firewalls corporativos:The following table provides outbound port and domain requirements for corporate firewalls:

Nomes de domíniosDomain names Portas de saídaOutbound ports DescriçãoDescription
*.servicebus.windows.net 443443 Exigido pelo runtime de integração auto-hospedada para criação interativa.Required by the self-hosted integration runtime for interactive authoring.
{datafactory}.{region}.datafactory.azure.net
ou *.frontend.clouddatahub.netor *.frontend.clouddatahub.net
443443 Necessárias para que o runtime de integração auto-hospedada se conecte ao serviço do Data Factory.Required by the self-hosted integration runtime to connect to the Data Factory service.
Para um Data Factory recém-criado, localize o FQDN na sua chave de Runtime de Integração Auto-Hospedada que está no formato {datafactory}.{região}.datafactory.azure.net.For new created Data Factory, please find the FQDN from your Self-hosted Integration Runtime key which is in format {datafactory}.{region}.datafactory.azure.net. Para o Data Factory antigo, se você não vir o FQDN na sua chave de Integração Auto-Hospedada, use *.frontend.clouddatahub.net.For old Data factory, if you don't see the FQDN in your Self-hosted Integration key, please use *.frontend.clouddatahub.net instead.
download.microsoft.com 443443 Exigido pelo runtime de integração auto-hospedada para fazer o download das atualizações.Required by the self-hosted integration runtime for downloading the updates. Se você tiver desabilitado a atualização automática, poderá ignorar a configuração desse domínio.If you have disabled auto-update, you can skip configuring this domain.
*.core.windows.net 443443 Usada pelo runtime de integração auto-hospedada para se conectar à conta de armazenamento do Azure ao usar o recurso cópia em etapas.Used by the self-hosted integration runtime to connect to the Azure storage account when you use the staged copy feature.
*.database.windows.net 14331433 Obrigatório somente quando você copia do Banco de Dados SQL do Azure ou do Azure Synapse Analytics ou para ambos; caso contrário, opcional.Required only when you copy from or to Azure SQL Database or Azure Synapse Analytics and optional otherwise. Use o recurso de cópia em etapas para copiar dados para o Banco de Dados SQL ou Synapse Analytics sem abrir a porta 1433.Use the staged-copy feature to copy data to SQL Database or Synapse Analytics without opening port 1433.
*.azuredatalakestore.net
login.microsoftonline.com/<tenant>/oauth2/token
443443 Obrigatório somente quando você copia do Azure Data Lake Storage ou para ele; caso contrário, opcional.Required only when you copy from or to Azure Data Lake Store and optional otherwise.

Observação

Talvez você precise gerenciar portas ou configurar a lista de permissões para domínios no nível do firewall corporativo, conforme exigido pelas respectivas fontes de dados.You might have to manage ports or set up allow list for domains at the corporate firewall level as required by the respective data sources. Esta tabela usa apenas o banco de dados SQL do Azure, o Azure Synapse Analytics e o Azure Data Lake Store como exemplos.This table only uses Azure SQL Database, Azure Synapse Analytics, and Azure Data Lake Store as examples.

A tabela a seguir fornece os requisitos de porta de entrada do Firewall do Windows:The following table provides inbound port requirements for Windows Firewall:

Portas de entradaInbound ports DescriçãoDescription
8060 (TCP)8060 (TCP) Exigido pelo cmdlet de criptografia do PowerShell conforme descrito em Criptografar credenciais para armazenamentos de dados locais no Azure Data Factory, e pelo aplicativo gerenciador de credenciais para definir credenciais com segurança para armazenamentos de dados locais no runtime de integração auto-hospedada.Required by the PowerShell encryption cmdlet as described in Encrypt credentials for on-premises data stores in Azure Data Factory, and by the credential manager application to securely set credentials for on-premises data stores on the self-hosted integration runtime.

Requisitos de porta do gateway

Configurações de IP e lista de permissões configuradas em armazenamentos de dadosIP configurations and allow list setting up in data stores

Alguns armazenamentos de dados na nuvem também exigem que você permita o endereço IP do computador que está acessando o repositório.Some data stores in the cloud also require that you allow the IP address of the machine accessing the store. Verifique se o endereço IP do computador de tempo de execução de integração auto-hospedado é permitido ou configurado no firewall adequadamente.Ensure that the IP address of the self-hosted integration runtime machine is allowed or configured in the firewall appropriately.

Os seguintes armazenamentos de dados de nuvem exigem que você permita o endereço IP do computador do Integration Runtime de hospedagem interna.The following cloud data stores require that you allow the IP address of the self-hosted integration runtime machine. Por padrão, alguns desses armazenamentos de dados podem não exigir a lista de permissões.Some of these data stores, by default, might not require allow list.

Perguntas frequentesFrequently asked questions

O runtime de integração auto-hospedada pode ser compartilhado entre diferentes data factories?Can the self-hosted integration runtime be shared across different data factories?

Sim.Yes. Mais detalhes aqui.More details here.

Quais são os requisitos de porta para o runtime de integração auto-hospedada funcionar?What are the port requirements for the self-hosted integration runtime to work?

O runtime de integração auto-hospedada faz conexões com base em HTTP para acessar a internet.The self-hosted integration runtime makes HTTP-based connections to access the internet. As portas de saída 443 devem ser abertas para o runtime de integração auto-hospedada para fazer essa conexão.The outbound ports 443 must be opened for the self-hosted integration runtime to make this connection. Abra a porta de entrada 8060 somente no nível do computador (não no nível do firewall corporativo) para o aplicativo Gerenciador de credenciais.Open inbound port 8060 only at the machine level (not the corporate firewall level) for credential manager application. Se o banco de dados SQL do Azure ou o Azure Synapse Analytics for usado como a origem ou o destino, você precisará abrir a porta 1433 também.If Azure SQL Database or Azure Synapse Analytics is used as the source or the destination, you need to open port 1433 as well. Para obter mais informações, consulte a seção configurações de firewall e lista de permissões de configuração para endereços IP .For more information, see the Firewall configurations and allow list setting up for IP addresses section.

Próximas etapasNext steps

Para obter informações sobre o desempenho da atividade de cópia do Azure Data Factory, consulte Guia desempenho e ajuste da atividade de cópia.For information about Azure Data Factory Copy Activity performance, see Copy Activity performance and tuning guide.