Azure 存储连接管理器

  • 项目

适用于:SQL Server Azure 数据工厂中的 SSIS Integration Runtime

通过 Azure 存储连接管理器,SQL Server Integration Services (SSIS) 包可与 Azure 存储帐户进行连接。 连接管理器是用于 Azure 的 SQL Server Integration Services (SSIS) 功能包的一个组件。

在“添加 SSIS 连接管理器” 对话框中,选择“AzureStorage” >“添加” 。

以下属性可用。

  • 服务: 指定要连接到的存储服务。
  • 帐户名: 指定存储帐户名。
  • 身份验证: 指定要使用的身份验证方法。 支持 AccessKey、ServicePrincipal 和 SharedAccessSignature 身份验证。
    • AccessKey: 指定此身份验证方法的帐户密钥 。
    • ServicePrincipal: 对于此身份验证方法,请指定服务主体的应用程序 ID、应用程序密钥和租户 ID 。 要使“测试连接”起作用,至少应向服务主体分配存储帐户的“存储 Blob 数据读取器”角色 。 有关详细信息,请参阅在 Azure 门户中使用 RBAC 授予对 Azure Blob 和队列数据的访问权限
    • SharedAccessSignature: 对于此身份验证方法,请至少指定共享访问签名的令牌。 若要测试连接,请另外指定要测试的资源范围。 可能是“服务”、“容器”或“Blob” 。 对于“容器”和“Blob”,请分别指定容器名称和 blob 路径 。 有关详细信息,请参阅 Azure 存储共享访问签名概述
  • 环境: 指定托管存储帐户的云环境。

注意

Microsoft Entra ID 旧称 Azure Active Directory (Azure AD)。

Azure 资源身份验证的托管标识

Azure 数据工厂 (ADF) 中的 Azure-SSIS 集成运行时 (IR) 上运行 SSIS 包时,可以将 Microsoft Entra 身份验证与 ADF 的托管标识结合使用来访问 Azure 存储。 Azure-SSIS IR 可使用此托管标识访问数据并从/向存储帐户复制数据。

注意

使用用户分配的托管标识进行身份验证时,需要启用 SSIS 集成运行时以使用相同的标识进行身份验证。 有关详细信息,请参阅为 Azure-SSIS 集成运行时启用 Microsoft Entra 身份验证

有关 Azure 存储身份验证的常规信息,请参阅使用 Microsoft Entra ID 验证对 Azure 存储的访问权限一文。 要将 Microsoft Entra 身份验证与 ADF 指定的托管标识结合使用来访问 Azure 存储,请执行以下步骤:

  1. 在 Azure 门户中查找 ADF 的托管标识。 转到数据工厂的“属性”。 复制托管标识应用程序 ID(不是托管标识对象 ID) 。

  2. 向 ADF 的托管标识授予访问 Azure 存储所需的权限。 有关角色的更多详细信息,请参阅使用 RBAC 管理对 Azure 存储数据的访问权限一文。

    • 作为源,在访问控制 (IAM) 中,至少授予“存储 Blob 数据读取器”角色。
    • 作为目标,在访问控制 (IAM) 中,至少授予“存储 Blob 数据参与者”角色。

最后,可以在 Azure 存储连接管理器上配置使用 ADF 的托管标识进行 Microsoft Entra 身份验证。 完成此操作的方法有两种:

  • 在设计时进行配置。 在 SSIS 设计器中,双击 Azure 存储连接管理器,打开 Azure 存储连接管理器编辑器。 选择“使用托管标识在 Azure 上进行身份验证”选项。

    注意

    在 SSIS 设计器或 SQL Server 上运行包时,连接管理器属性 ConnectUsingManagedIdentity 不起作用,指示使用 ADF 的托管标识进行 Microsoft Entra 身份验证。

  • 在运行时进行配置。 通过 SQL Server Management Studio (SSMS)在 ADF 管道中执行 SSIS 包活动来运行包时,请查找 Azure 存储连接管理器,并将其属性 ConnectUsingManagedIdentity 更新为 True

    注意

    在 Azure-SSIS IR 上,在将 Microsoft Entra 身份验证与 ADF 的托管标识一起使用时,将覆盖在 Azure 存储连接管理器上预先配置的其他所有的身份验证方法(例如集成安全性和密码)。

要在现有包上配置使用 ADF 的托管标识进行 Microsoft Entra 身份验证,首选方法是至少使用最新 SSIS 设计器重新生成一次 SSIS 项目。 重新部署 SSIS 项目以在 Azure-SSIS IR 上运行,这样新的连接管理器属性 ConnectUsingManagedIdentity 才会自动添加到项目中的所有 Azure 存储连接管理器。 另一种方法是,直接结合使用属性重写和在运行时指定为 True 的属性路径 \Package.Connections[{连接管理器名称}].Properties[ConnectUsingManagedIdentity]。

保护流入存储帐户的网络流量

将 Microsoft Entra 身份验证与 ADF 的托管标识配合使用时,可以将 Azure-SSIS 集成运行时加入虚拟网络,通过限制访问所选网络或专用终结点来保护存储帐户。 有关说明,请参阅管理异常一文。

另请参阅