Sdílet prostřednictvím


Připojovací řetězce úložiště

Platí pro: ✅Microsoft FabricAzure Data Explorer

Služba Kusto může pracovat s externími službami úložiště. Můžete například vytvořit externí tabulky Azure Storage, abyste mohli dotazovat data uložená v externích úložištích.

Podporují se následující typy externího úložiště:

  • Azure Blob Storage
  • Azure Data Lake Storage Gen2
  • Azure Data Lake Storage Gen1
  • Amazon S3

Každý typ úložiště má odpovídající připojovací řetězec formáty, které slouží k popisu prostředků úložiště a přístupu k nim. Formát identifikátoru URI se používá k popisu těchto prostředků úložiště a vlastností potřebných pro přístup, jako jsou přihlašovací údaje zabezpečení.

Poznámka:

Podpora webových služeb HTTP je omezená na načítání prostředků z libovolných webových služeb HTTP. Jiné operace, jako je zápis prostředků, se nepodporují.

Šablony připojovací řetězec úložiště

Každý typ úložiště má jiný formát připojovací řetězec. V následující tabulce najdete připojovací řetězec šablony pro každý typ úložiště.

Typ úložiště Schéma Šablona identifikátoru URI
Azure Blob Storage https:// https://StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials]
Azure Data Lake Storage Gen2 https:// https://StorageAccountName Filesystem[/PathToDirectoryOrFile][CallerCredentials].dfs.core.windows.net/
Azure Data Lake Storage Gen2 abfss:// abfss://Filesystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials]
Azure Data Lake Storage Gen1 adl:// adl://StorageAccountName.azuredatalakestore.net/ PathToDirectoryOrFile[CallerCredentials]
Amazon S3 https:// https://BucketName RegionName.amazonaws.com/.s3.ObjectKey[CallerCredentials]
Webové služby HTTP https:// https://Název hostitele/PathAndQuery

Poznámka:

Pokud chcete zabránit tomu, aby se tajné kódy zobrazovaly v trasování, použijte obfuskované řetězcové literály.

Metody ověřování úložiště

Pokud chcete pracovat s nepublikovým externím úložištěm, musíte zadat ověřovací prostředky jako součást externího úložiště připojovací řetězec. Připojovací řetězec definuje prostředek pro přístup a jeho ověřovací informace.

Podporují se následující metody ověřování:

Podporované ověřování podle typu úložiště

Následující tabulka shrnuje dostupné metody ověřování pro různé typy externích úložišť.

Metoda ověřování Je k dispozici ve službě Blob Storage? K dispozici ve službě Azure Data Lake Storage Gen2? K dispozici ve službě Azure Data Lake Storage Gen1? K dispozici v Amazon S3? Kdy byste měli použít tuto metodu?
Zosobnění ✔️ ✔️ ✔️ Používá se pro účastné toky, když potřebujete komplexní řízení přístupu nad externím úložištěm. Například v tocích průběžného exportu. Přístup k úložišti můžete také omezit na úrovni uživatele.
Spravovaná identita ✔️ ✔️ ✔️ Používá se v bezobslužných tocích, kde nelze odvodit žádný objekt zabezpečení Microsoft Entra ke spouštění dotazů a příkazů. Spravované identity jsou jediným řešením ověřování.
Klíč sdíleného přístupu (SAS) ✔️ ✔️ Tokeny SAS mají čas vypršení platnosti. Používá se při přístupu k úložišti po omezenou dobu.
Přístupový token Microsoft Entra ✔️ ✔️ ✔️ Tokeny Microsoft Entra mají čas vypršení platnosti. Používá se při přístupu k úložišti po omezenou dobu.
Přístupový klíč účtu úložiště ✔️ ✔️ Pokud potřebujete přistupovat k prostředkům průběžně.
Programové přístupové klíče Amazon Web Services ✔️ Pokud potřebujete průběžně přistupovat k prostředkům Amazon S3.
Předsignovaná adresa URL Amazon Web Services S3 ✔️ Pokud potřebujete získat přístup k prostředkům Amazon S3 s dočasnou předsignovanou adresou URL.

Zosobnění

Kusto zosobní hlavní identitu žadatele pro přístup k prostředku. Pokud chcete použít zosobnění, připojte ;impersonate se k připojovací řetězec.

Příklad
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate"

Objekt zabezpečení musí mít potřebná oprávnění k provedení operace. Například pro čtení z objektu blob v Azure Blob Storage potřebuje objekt zabezpečení roli Čtenář dat objektu blob služby Storage a k exportu do objektu blob objektu blob potřebuje roli Přispěvatel dat v objektu blob úložiště. Další informace najdete v tématu Řízení přístupu ke službě Azure Blob Storage / Data Lake Storage Gen2 nebo řízení přístupu Data Lake Storage Gen1.

Spravovaná identita

Azure Data Explorer provádí žádosti jménem spravované identity a používá ji pro přístup k prostředkům. Pro spravovanou identitu přiřazenou systémem připojte ;managed_identity=system k připojovací řetězec. Pro spravovanou identitu přiřazenou uživatelem připojte ;managed_identity={object_id} k připojovací řetězec.

Typ spravované identity Příklad
Přiřazeno systémem "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system"
Přiřazeno uživatelem "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab"

Spravovaná identita musí mít potřebná oprávnění k provedení operace. Například ve službě Azure Blob Storage potřebuje ke čtení z objektu blob spravovanou identitu roli Čtenář dat objektu blob služby Storage a k exportu do objektu blob potřebuje roli Přispěvatel dat v objektu blob služby Storage. Další informace najdete v tématu Řízení přístupu ke službě Azure Blob Storage / Data Lake Storage Gen2 nebo řízení přístupu Data Lake Storage Gen1.

Poznámka:

Spravovaná identita se podporuje jenom v konkrétních tocích Azure Data Exploreru a vyžaduje nastavení zásad spravované identity. Další informace najdete v tématu Přehled spravovaných identit.

Token sdíleného přístupu (SAS)

Na webu Azure Portal vygenerujte token SAS s požadovanými oprávněními.

Pokud například chcete číst z externího úložiště, zadejte oprávnění ke čtení a seznamu a k exportu do externího úložiště zadejte oprávnění k zápisu. Další informace najdete v tématu Přístup delegáta pomocí sdíleného přístupového podpisu.

Jako připojovací řetězec použijte adresu URL SAS.

Příklad
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd"

Přístupový token Microsoft Entra

Pokud chcete přidat přístupový token Microsoft Entra s kódováním base-64, připojte ;token={AadToken} k připojovací řetězec. Token musí být pro prostředek https://storage.azure.com/.

Další informace o tom, jak vygenerovat přístupový token Microsoft Entra, najdete v tématu získání přístupového tokenu pro autorizaci.

Příklad
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..."

Přístupový klíč účtu úložiště

Pokud chcete přidat přístupový klíč účtu úložiště, připojte ho k připojovací řetězec. Ve službě Azure Blob Storage připojte ;{key} k připojovací řetězec. Pro Azure Data Lake Storage Gen2 připojte ;sharedkey={key} k připojovací řetězec.

Účet úložiště Příklad
Azure Blob Storage "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...=="
Azure Data Lake Storage Gen2 "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd"

Programové přístupové klíče Amazon Web Services

Pokud chcete přidat přístupové klíče Amazon Web Services, připojte ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} se k připojovací řetězec.

Příklad
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY"

Předsignovaná adresa URL Amazon Web Services S3

Jako připojovací řetězec použijte předsignovanou adresu URL S3.

Příklad
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN"

Příklady použití připojovací řetězec úložiště najdete tady: