Depolama kimlik doğrulama yöntemleri

Azure Veri Gezgini, dış depolama ile farklı yollarla etkileşim kurabilir. Azure Veri Gezgini ile etkileşime geçmek ve dış depolamaya kimlik doğrulaması yapmak için depolama alanını connection string belirtmeniz gerekir. , connection string Erişilmekte olan kaynağı ve kimlik doğrulama bilgilerini tanımlar.

Aşağıdaki yöntemlerden birini kullanarak bağlantı dizelerinin h şekilde, gizli dizileri içeren bir h bağlantı dizeleri eklemeniz önerilir:

  • Tüm dizeyi gizleyin: dizenin başlangıcına aşağıdaki gibi ekleyin h : h"https://...."
  • Dizenin gizli bölümünü gizleme: bağlantı dizesini konum ve sır olarak Böl ve şu şekilde gizli bölümünü ekleyin h : " https://fabrikam.blob.core.windows.net/container/path/to/file.csv ;" h "ljkAkl... = ="

Aşağıdaki kimlik doğrulama yöntemleri desteklenir:

Depolama kimlik doğrulaması kullanılabilirliği

Farklı dış depolama türleri için farklı kimlik doğrulama yöntemleri kullanılabilir. Kullanılabilir yöntemler aşağıdaki tabloda özetlenmiştir:

Kimlik doğrulama yöntemi Blob depolamada kullanılabilir mi? Azure Data Lake Storage Gen 2 ' de kullanılabilir mi? Azure Data Lake Storage Gen 1 ' de kullanılabilir mi? Bu yöntemi ne zaman kullanmalısınız?
Kimliğe bürünme ✔️ ✔️ ✔️ Dış depolama üzerinde karmaşık erişim denetimine ihtiyacınız olduğunda, katılmasız akışlar için kullanın. Örneğin, sürekli dışa aktarma akışları. Ayrıca, Kullanıcı düzeyinde depolama erişimini kısıtlayabilirsiniz.
Yönetilen kimlik ✔️ ✔️ ✔️ sorgu ve komutları yürütmek üzere Azure Active Directory (Azure AD) sorumlunun türetilebileceği katılımsız akışlarda kullanın. Yönetilen kimlikler tek kimlik doğrulama çözümüdür.
Paylaşılan erişim (SAS) anahtarı ✔️ ✔️ SAS belirteçlerinin bir süre sonu vardır. Depolama alanının sınırlı bir süre için erişim sırasında kullanın.
Belirteç ✔️ ✔️ ✔️ Azure AD belirteçlerinin bir süre sonu vardır. Depolama alanının sınırlı bir süre için erişim sırasında kullanın.
Erişim anahtarı ✔️ ✔️ Kaynaklara devam eden bir şekilde erişmeniz gerektiğinde. sınırlı bir süre için depolama.

Kimliğe bürünme

Kimliğe bürünme özelliğini kullanmak için bağlantı dizesine ekleyin ;impersonate . Azure Veri Gezgini, istek sahibinin asıl kimliğini kullanacaktır ve kaynağa erişmek için bu kimliğin kimliğine bürünecektir.

Not

Asıl öğe, okuma/yazma işlemlerini gerçekleştirebilmek için uygun rol tabanlı erişim denetimi (RBAC) rol atamalarına sahip olmalıdır. Farklı depolama türlerinin erişim denetimlerini yönetmek için bkz.:

Kimliğe bürünme örneği

"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate"

Yönetilen kimlik

Yönetilen bir kimlik eklemek için bağlantı dizesine ekleyin ;managed_identity=... . Azure Veri Gezgini, istek yapmak ve kaynaklara erişmek için sistem veya Kullanıcı tarafından atanan yönetilen kimliği kullanacaktır.

  • Sistem tarafından atanan yönetilen kimlik için ekleyin ;managed_identity=system .
  • Kullanıcı tarafından atanan yönetilen kimlik için, Kullanıcı tarafından atanan yönetilen kimliğin nesne KIMLIĞINI şu biçimle ekleyin: ;managed_identity={object_id} .

Not

Yönetilen kimlik örnekleri

"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system"

"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=9ca5bb85-1c1f-44c3-b33a-0dfcc7ec5f6b"

Paylaşılan erişim (SAS) belirteci

Paylaşılan erişim (SAS) belirteci eklemek için bağlantı dizesine ekleyin ?sig=... . Daha fazla bilgi için bkz. SAS belirteci oluşturma.

Not

Asıl öğe, okuma/yazma işlemlerini gerçekleştirebilmek için uygun rol tabanlı erişim denetimi (RBAC) rol atamalarına sahip olmalıdır. Farklı depolama türlerinin erişim denetimlerini yönetmek için bkz.:

Paylaşılan erişim (SAS) belirteci örneği

"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd"

Belirteç

Base-64 kodlu bir Azure AD erişim belirteci eklemek için bağlantı dizesine ekleyin ;token={AadToken} . Belirtecin kaynak https://storage.azure.com/ için olduğundan emin olun. Azure AD erişim belirteci oluşturma hakkında daha fazla bilgi için bkz. Yetkilendirme için erişim belirteci alma.

Belirteç örneği

"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Im..."

Erişim anahtarı

Bir depolama erişim anahtarı eklemek için anahtarı bağlantı dizesine aşağıdaki şekilde ekleyin:

  • Azure Blob Depolamaiçin: bağlantı dizesine ekleme .
  • Azure Data Lake Storage 2.için: bağlantı dizesine depolama hesabı anahtarıyla birlikte ekle .

Erişim anahtarı örnekleri

"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...=="

"abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd"