Хранение учетных данных в Azure Key Vault

применимо к: Azure синапсе Analytics фабрика данных Azure

Учетные данные для хранилищ данных и вычислительных ресурсов можно хранить в Azure Key Vault. Фабрика данных Azure извлекает учетные данные при выполнении действия, которое использует хранилище данных или вычислительный ресурс.

Сейчас эта функция поддерживается для всех видов действий, кроме пользовательских действий. Дополнительные сведения о настройке соединителя см. в разделе "Свойства связанной службы" в статьях, посвященных каждому типу соединителей.

Предварительные требования

Эта функция основывается на управляемом удостоверении фабрики данных. Узнайте, как работает управляемое удостоверение фабрики данных, и убедитесь, что фабрике данных назначено такое удостоверение.

Шаги

Чтобы указать учетные данные, хранимые в Azure Key Vault, необходимо:

  1. Получить управляемое удостоверение фабрики данных, скопировав значение идентификатора объекта управляемого удостоверения, созданного вместе с фабрикой. Если вы используете пользовательский интерфейс создания ADF, идентификатор объекта управляемого удостоверения будет отображаться в окне создания связанной службы Azure Key Vault. Вы также можете получить его на портале Azure. См. раздел Получение управляемого удостоверения.
  2. Предоставить управляемому удостоверению доступ к Azure Key Vault. В разделе политики доступа к хранилищу ключей > — > Добавление политики доступа найдите это управляемое удостоверение, чтобы предоставить разрешение > в раскрывающемся списке разрешения секрета. Это позволит указанной фабрике получить доступ к секрету в хранилище ключей.
  3. Создайте связанную службу, указывающую на Azure Key Vault. Дополнительные сведения см. в разделе Связанная служба Azure Key Vault.
  4. Создайте связанную службу хранилища данных, внутри которой указывается соответствующий секрет, хранящийся в хранилище ключей. См. дополнительные сведения об указании секрета, хранящегося в хранилище ключей.

Связанная служба Azure Key Vault

Для связанной службы Azure Key Vault поддерживаются следующие свойства:

Свойство Описание Обязательно
type Для свойства type необходимо задать значение AzureKeyVault. Да
BaseUrl Укажите URL-адрес Azure Key Vault. Да

С помощью пользовательского интерфейса для создания:

Выберите подключениясвязанные службысоздать. В окне создания связанной службы найдите и выберите Azure Key Vault.

Поиск Azure Key Vault

Выберите подготовленное хранилище ключей Azure, в котором хранятся ваши учетные данные. Вы можете выполнить тестовое подключение, чтобы убедиться, что ваше подключение AKV действительно.

Настройка Azure Key Vault

Пример JSON:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Указание секрета, хранящегося в хранилище ключей

Следующие свойства поддерживаются при настройке поля в связанной службе, указывающей секрет хранилища ключей:

Свойство Описание Обязательно
type Для свойства type поля необходимо задать значение AzureKeyVaultSecret. Да
secretName Имя секрета в Azure Key Vault. Да
secretVersion Версия секрета в Azure Key Vault.
Если не указано, используется последняя версия секрета.
Если указано, то он придерживается указанной версии.
Нет
store Ссылается на связанную службу Azure Key Vault, которая используется для хранения учетных данных. Да

С помощью пользовательского интерфейса для создания:

Выберите Azure Key Vault для секретных полей при создании подключения к своему хранилищу данных или вычислительному ресурсу. Выберите подготовленную связанную службу Azure Key Vault и укажите имя секрета. Вы также можете предоставить версию секрета.

Совет

Для соединителей, использующих строку подключения в связанной службе, например SQL Server, хранилище BLOB-объектов и т. д., можно выбрать хранение в AKV только поля секрета либо всей строки подключения. В пользовательском интерфейсе можно найти оба варианта.

Настройка секрета Azure Key Vault

Пример JSON: (см. раздел "пароль")

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Дальнейшие действия

В таблице Поддерживаемые хранилища данных приведен список хранилищ данных, которые поддерживаются в качестве источников и приемников для действия копирования в фабрике данных Azure.