Kimlik bilgilerini Azure Key Vault içinde depolaStore credential in Azure Key Vault

Uygulama hedefi: Azure SYNAPSE Analytics 'i Azure Data Factory

Veri depoları için kimlik bilgilerini saklayabilir ve bir Azure Key Vault.You can store credentials for data stores and computes in an Azure Key Vault. Azure Data Factory, veri deposu/işlem kullanan bir etkinliği yürütürken kimlik bilgilerini alır.Azure Data Factory retrieves the credentials when executing an activity that uses the data store/compute.

Şu anda, özel etkinlik dışındaki tüm etkinlik türleri bu özelliği destekler.Currently, all activity types except custom activity support this feature. Özellikle bağlayıcı yapılandırması için, Ayrıntılar için her bağlayıcı konusunun "bağlı hizmet özellikleri" bölümüne bakın.For connector configuration specifically, check the "linked service properties" section in each connector topic for details.

ÖnkoşullarPrerequisites

Bu özellik, Data Factory tarafından yönetilen kimliği kullanır.This feature relies on the data factory managed identity. Data Factory Için yönetilen kimliğin nasıl çalıştığını öğrenin ve Data Factory 'nizin ilişkili bir tane olduğundan emin olun.Learn how it works from Managed identity for Data factory and make sure your data factory have an associated one.

AdımlarSteps

Azure Key Vault depolanan bir kimlik bilgisine başvurmak için şunları yapmanız gerekir:To reference a credential stored in Azure Key Vault, you need to:

  1. Fabrikalarınızla birlikte üretilen "yönetilen kimlik nesnesi KIMLIĞI" değerini kopyalayarak Veri Fabrikası tarafından yönetilen kimliği alın .Retrieve data factory managed identity by copying the value of "Managed Identity Object ID" generated along with your factory. ADF yazma Kullanıcı arabirimini kullanıyorsanız, yönetilen kimlik nesnesi KIMLIĞI Azure Key Vault bağlı hizmet oluşturma penceresinde gösterilir; Ayrıca, Azure portal Veri Fabrikası tarafından yönetilen kimliği almabölümüne başvurabilirsiniz.If you use ADF authoring UI, the managed identity object ID will be shown on the Azure Key Vault linked service creation window; you can also retrieve it from Azure portal, refer to Retrieve data factory managed identity.
  2. Azure Key Vault yönetilen kimlik erişimine izin verin.Grant the managed identity access to your Azure Key Vault. Anahtar kasasında erişim ilkelerine > erişim Ilkesi Ekle >, bu yönetilen kimliği gizli izinler açılan menüsünde Al izni vermek için arayın.In your key vault -> Access policies -> Add Access Policy, search this managed identity to grant Get permission in Secret permissions dropdown. Bu belirlenen fabrikasının anahtar kasasında gizli erişimine izin verir.It allows this designated factory to access secret in key vault.
  3. Azure Key Vault işaret eden bir bağlı hizmet oluşturun.Create a linked service pointing to your Azure Key Vault. Azure Key Vault bağlı hizmeti' ne bakın.Refer to Azure Key Vault linked service.
  4. İçinde, Anahtar Kasası 'nda depolanan karşılık gelen gizli dizi ile bağlantılı veri deposu bağlı hizmeti oluşturun.Create data store linked service, inside which reference the corresponding secret stored in key vault. Anahtar Kasası 'nda depolanan başvuru gizlidizisi bölümüne bakın.Refer to reference secret stored in key vault.

Azure Key Vault bağlantılı hizmetiAzure Key Vault linked service

Azure Key Vault bağlı hizmeti için aşağıdaki özellikler desteklenir:The following properties are supported for Azure Key Vault linked service:

ÖzellikProperty AçıklamaDescription GerekliRequired
türtype Type özelliği: AzureKeyVault olarak ayarlanmalıdır.The type property must be set to: AzureKeyVault. YesYes
baseUrlbaseUrl Azure Key Vault URL 'sini belirtin.Specify the Azure Key Vault URL. YesYes

Yazma Kullanıcı arabirimini kullanma:Using authoring UI:

Bağlantı -> bağlı hizmetleri -> Yeni' yi seçin.Select Connections -> Linked Services -> New. Yeni bağlı hizmet ' de, "Azure Key Vault" araması yapın ve seçin:In New linked service, search for and select "Azure Key Vault":

Arama Azure Key Vault

Kimlik bilgilerinizin depolandığı sağlanmış Azure Key Vault seçin.Select the provisioned Azure Key Vault where your credentials are stored. AKV bağlantınızın geçerli olduğundan emin olmak için bağlantıyı test edebilirsiniz.You can do Test Connection to make sure your AKV connection is valid.

Azure Key Vault'u yapılandırma

JSON örneği:JSON example:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Anahtar kasasında depolanan gizli diziye başvurmaReference secret stored in key vault

Aşağıdaki özellikler, bağlantılı hizmette bir Anahtar Kasası gizliliğine başvuran bir alanı yapılandırdığınızda desteklenir:The following properties are supported when you configure a field in linked service referencing a key vault secret:

ÖzellikProperty AçıklamaDescription GerekliRequired
türtype Alanın Type özelliği: AzureKeyVaultSecret olarak ayarlanmalıdır.The type property of the field must be set to: AzureKeyVaultSecret. YesYes
secretNamesecretName Azure Key Vault ' deki gizli dizi adı.The name of secret in Azure Key Vault. YesYes
GizlidizisürümüsecretVersion Azure Key Vault ' deki gizli dizi sürümü.The version of secret in Azure Key Vault.
Belirtilmemişse, her zaman gizli dizinin en son sürümünü kullanır.If not specified, it always uses the latest version of the secret.
Belirtilmişse, belirtilen sürüme de sahiptir.If specified, then it sticks to the given version.
NoNo
mağazastore Kimlik bilgisini depolamak için kullandığınız Azure Key Vault bağlı bir hizmete başvurur.Refers to an Azure Key Vault linked service that you use to store the credential. YesYes

Yazma Kullanıcı arabirimini kullanma:Using authoring UI:

Veri deponuza/hesaplamanıza bağlantı oluştururken gizli alanlar için Azure Key Vault seçin.Select Azure Key Vault for secret fields while creating the connection to your data store/compute. Sağlanan Azure Key Vault bağlı hizmetini seçin ve gizli dizi adını sağlayın.Select the provisioned Azure Key Vault Linked Service and provide the Secret name. İsteğe bağlı olarak gizli bir sürüm da sağlayabilirsiniz.You can optionally provide a secret version as well.

İpucu

Bağlı hizmette SQL Server, BLOB depolama, vb. gibi bağlantı dizesini kullanan bağlayıcılar için, yalnızca gizli alan gibi bir parola (örneğin, AKV) depolamayı ya da bağlantı dizesinin tamamını AKV 'de depolamayı seçebilirsiniz.For connectors using connection string in linked service like SQL Server, Blob storage, etc., you can choose either to store only the secret field e.g. password in AKV, or to store the entire connection string in AKV. Kullanıcı arabiriminde her iki seçeneği de bulabilirsiniz.You can find both options on the UI.

Azure Key Vault gizli anahtarını yapılandırma

JSON örneği: ("parola" bölümüne bakın)JSON example: (see the "password" section)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Sonraki adımlarNext steps

Azure Data Factory içindeki kopyalama etkinliği tarafından kaynak ve havuz olarak desteklenen veri depolarının listesi için bkz. desteklenen veri depoları.For a list of data stores supported as sources and sinks by the copy activity in Azure Data Factory, see supported data stores.