Armazenar credencial no Azure Key VaultStore credential in Azure Key Vault

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Você pode armazenar credenciais para armazenamentos de dados e computar em um Azure Key Vault.You can store credentials for data stores and computes in an Azure Key Vault. O Azure Data Factory recupera as credenciais ao executar uma atividade que usa o armazenamento de dados/computação.Azure Data Factory retrieves the credentials when executing an activity that uses the data store/compute.

No momento, todos os tipos de atividade, exceto a atividade personalizada suportam esse recurso.Currently, all activity types except custom activity support this feature. Para configuração de conector especificamente, verifique a seção "propriedades do serviço vinculadas" em cada tópico conector para obter detalhes.For connector configuration specifically, check the "linked service properties" section in each connector topic for details.

Pré-requisitosPrerequisites

Esse recurso depende da identidade gerenciada data factory.This feature relies on the data factory managed identity. Saiba como ele funciona da identidade gerenciada para o data Factory e certifique-se de que seu data Factory tenha um associado.Learn how it works from Managed identity for Data factory and make sure your data factory have an associated one.

EtapasSteps

Para referenciar uma credencial armazenada no Azure Key Vault, você precisa:To reference a credential stored in Azure Key Vault, you need to:

  1. Recupere data Factory identidade gerenciada copiando o valor de "ID de objeto de identidade gerenciada" gerado junto com sua fábrica.Retrieve data factory managed identity by copying the value of "Managed Identity Object ID" generated along with your factory. Se você usar a interface do usuário de criação do ADF, a ID de objeto de identidade gerenciada será mostrada na janela de criação do serviço vinculado Azure Key Vault; Você também pode recuperá-lo de portal do Azure, consulte recuperar data Factory identidade gerenciada.If you use ADF authoring UI, the managed identity object ID will be shown on the Azure Key Vault linked service creation window; you can also retrieve it from Azure portal, refer to Retrieve data factory managed identity.
  2. Conceda o acesso de identidade gerenciada à sua Azure Key Vault.Grant the managed identity access to your Azure Key Vault. Em seu cofre de chaves-políticas de acesso de >-> adicionar política de acesso, pesquise essa identidade gerenciada para conceder permissão Get no menu suspenso permissões secretas.In your key vault -> Access policies -> Add Access Policy, search this managed identity to grant Get permission in Secret permissions dropdown. Isso permite que esse factory específico acesse o segredo no cofre de chaves.It allows this designated factory to access secret in key vault.
  3. Crie um serviço vinculado apontando para seu Azure Key Vault.Create a linked service pointing to your Azure Key Vault. Consulte Serviço vinculado do Azure Key Vault.Refer to Azure Key Vault linked service.
  4. Crie um serviço vinculado do repositório de dados, dentro do qual fazer referência ao segredo correspondente armazenado no cofre de chaves.Create data store linked service, inside which reference the corresponding secret stored in key vault. Consulte fazer referência a segredo armazenado no cofre de chaves.Refer to reference secret stored in key vault.

Serviço vinculado do Azure Key VaultAzure Key Vault linked service

As propriedades a seguir têm suporte no serviço vinculado do Azure Key Vault:The following properties are supported for Azure Key Vault linked service:

PropriedadeProperty DescriçãoDescription ObrigatórioRequired
typetype A propriedade type deve ser definida como: AzureKeyVault.The type property must be set to: AzureKeyVault. SimYes
baseUrlbaseUrl Especifique a URL (nome DNS) do Azure Key Vault.Specify the Azure Key Vault URL. SimYes

Usando a criação da interface do usuário:Using authoring UI:

Selecione conexões -> Serviços vinculados -> novo.Select Connections -> Linked Services -> New. Em novo serviço vinculado, procure e selecione "Azure Key Vault":In New linked service, search for and select "Azure Key Vault":

Pesquisar Azure Key Vault

Selecione o Azure Key Vault provisionado onde as credenciais são armazenadas.Select the provisioned Azure Key Vault where your credentials are stored. Você pode fazer uma Conexão de teste para garantir que sua conexão AKV seja válida.You can do Test Connection to make sure your AKV connection is valid.

Configurar o Azure Key Vault

Exemplo de JSON:JSON example:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Fazer referência a segredo armazenado no cofre de chavesReference secret stored in key vault

As propriedades a seguir têm suporte quando você configura um campo no serviço vinculado, referenciando um segredo do cofre de chaves:The following properties are supported when you configure a field in linked service referencing a key vault secret:

PropriedadeProperty DescriçãoDescription ObrigatórioRequired
typetype A propriedade type do campo deve ser definida como: AzureKeyVaultSecret.The type property of the field must be set to: AzureKeyVaultSecret. SimYes
secretNamesecretName O nome do segredo no Azure Key Vault.The name of secret in Azure Key Vault. SimYes
secretVersionsecretVersion A versão do segredo no Azure Key Vault.The version of secret in Azure Key Vault.
Se não for especificada, a versão mais recente do segredo será sempre usada.If not specified, it always uses the latest version of the secret.
Se especificada, a versão especificada será sempre usada.If specified, then it sticks to the given version.
NãoNo
storestore Refere-se a um serviço vinculado do Azure Key Vault que você usa para armazenar a credencial.Refers to an Azure Key Vault linked service that you use to store the credential. SimYes

Usando a criação da interface do usuário:Using authoring UI:

Selecione Azure Key Vault para os campos secretos ao criar a conexão para seu armazenamento de dados/computação.Select Azure Key Vault for secret fields while creating the connection to your data store/compute. Selecione o serviço vinculado do Azure Key Vault provisionados e forneça o Nome secreto.Select the provisioned Azure Key Vault Linked Service and provide the Secret name. Opcionalmente, você pode fornecer uma versão do segredo também.You can optionally provide a secret version as well.

Dica

Para os conectores que usam a cadeia de conexão no serviço vinculado, como SQL Server, armazenamento de BLOBs, etc., você pode optar por armazenar apenas o campo secreto, por exemplo, senha em AKV, ou armazenar a cadeia de conexão inteira em AKV.For connectors using connection string in linked service like SQL Server, Blob storage, etc., you can choose either to store only the secret field e.g. password in AKV, or to store the entire connection string in AKV. Você pode encontrar ambas as opções na interface do usuário.You can find both options on the UI.

Configurar segredo de Azure Key Vault

Exemplo de JSON: (consulte a seção "senha")JSON example: (see the "password" section)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Próximas etapasNext steps

Para obter uma lista de armazenamentos de dados com suporte como origens e coletores pela atividade de cópia no Azure Data Factory, consulte Armazenamentos de dados com suporte.For a list of data stores supported as sources and sinks by the copy activity in Azure Data Factory, see supported data stores.