Azure Storage-Verbindungs-Manager
Gilt für: SQL Server SSIS Integration Runtime in Azure Data Factory
Der Azure Storage-Verbindungs-Manager ermöglicht einem SQL Server Integration Services (SSIS)-Paket, die Verbindung mit einem Azure Storage-Konto herzustellen. Der Verbindungs-Manager ist eine Komponente des SQL Server Integration Services-Feature Packs (SSIS) für Azure.
Wählen Sie im Dialogfeld SSIS-Verbindungs-Manager hinzufügen die Optionen AzureStorage>Hinzufügen aus.
Die folgenden Eigenschaften sind verfügbar:
- Dienst: Gibt den Speicherdienst an, mit dem eine Verbindung hergestellt werden soll.
- Kontoname: Gibt den Speicherkontonamen an.
- Authentifizierung: Gibt die zu verwendende Authentifizierungsmethode an. „AccessKey“-, „ServicePrincipal“- und „SharedAccessSignature“-Authentifizierung werden unterstützt.
- AccessKey: Geben Sie für diese Authentifizierungsmethode den Kontoschlüssel an.
- ServicePrincipal: Geben Sie für diese Authentifizierungsmethode die Anwendungs-ID, den Anwendungsschlüssel und die Mandanten-ID des Dienstprinzipals an. Damit die Testverbindung funktioniert, müssen Sie dem Dienstprinzipal für das Speicherkonto mindestens die Rolle Storage-Blobdatenleser zuweisen. Weitere Informationen finden Sie unter Gewähren von Zugriff auf Azure-Blob- und -Warteschlangendaten mit RBAC über das Azure-Portal.
- SharedAccessSignature: Geben Sie für diese Authentifizierungsmethode mindestens das Token der Shared Access Signature an. Zum Testen der Verbindung geben Sie zusätzlich den Ressourcenbereich an, der getestet werden soll. Möglicherweise handelt es sich um Dienst, Container oder Blob. Geben Sie für Container und Blob den Containernamen bzw. den Blobpfad an. Weitere Informationen finden Sie unter Azure Storage SAS (Shared Access Signature) – Übersicht.
- Umgebung: Gibt die Cloudumgebung an, die das Speicherkonto hostet.
Hinweis
Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.
Verwaltete Identitäten für die Authentifizierung von Azure-Ressourcen
Beim Ausführen von SSIS-Paketen in Azure-SSIS Integration Runtime (IR) in Azure Data Factory (ADF) können Sie die Microsoft Entra-Authentifizierung mit der verwalteten Identität für Ihre ADF verwenden, um auf Azure Storage zuzugreifen. Ihre Azure-SSIS IR kann mithilfe dieser verwalteten Identität auf Daten in Ihrem Speicherkonto zugreifen und Daten daraus oder dort hinein kopieren.
Hinweis
Wenn Sie sich mit einer vom Benutzer zugewiesenen verwalteten Identität authentifizieren, muss die SSIS-Integrationslaufzeit für die Authentifizierung mit derselben Identität aktiviert werden. Weitere Informationen finden Sie unter Microsoft Entra-Authentifizierung für die Azure-SSIS Integration Runtime aktivieren.
Weitere Informationen zur Azure Storage-Authentifizierung im Allgemeinen finden Sie im Artikel Authentifizierung des Zugriffs auf Azure Storage mit Microsoft Entra ID. Führen Sie die folgenden Schritte aus, um die Microsoft Entra-Authentifizierung mit der verwalteten Identität für Ihre ADF für den Zugriff auf Azure Storage zu verwenden:
Suchen Sie die verwaltete Identität für Ihre ADF über das Azure-Portal. Wechseln Sie zu den Eigenschaften der Data Factory. Kopieren Sie die Anwendungs-ID der verwalteten Identität (nicht die Objekt-ID der verwalteten Identität).
Erteilen Sie der verwalteten Identität für Ihre ADF die erforderlichen Berechtigungen für den Zugriff auf Azure Storage. Weitere Informationen zu den Rollen finden Sie im Artikel Verwalten von Zugriffsrechten auf Azure Storage-Daten mit RBAC.
- Erteilen Sie ihr als Quelle in der Zugriffssteuerung (IAM) mindestens die Rolle Storage-Blobdatenleser.
- Erteilen Sie ihr als Ziel in der Zugriffssteuerung (IAM) mindestens die Rolle Mitwirkender an Storage-Blobdaten.
Schließlich können Sie die Microsoft Entra-Authentifizierung mit der verwalteten Identität für Ihre ADF im Azure Storage-Verbindungs-Manager konfigurieren. Es gibt dafür folgende Optionen:
Konfigurieren zur Entwurfszeit. Doppelklicken Sie im SSIS-Designer auf den Azure Storage-Verbindungs-Manager, um den Azure Storage-Verbindungs-Manager-Editor zu öffnen. Wählen Sie dort die Option Verwaltete Identität zur Authentifizierung bei Azure verwenden.
Hinweis
Die Eigenschaft
ConnectUsingManagedIdentity
des Verbindungsmanagers wird nicht wirksam, wenn Sie Ihr Paket in SSIS Designer oder auf SQL Server ausführen, was darauf hinweist, dass die Microsoft Entra-Authentifizierung mit der verwalteten Identität Ihrer ADF nicht funktioniert.Konfigurieren zur Laufzeit. Wenn Sie Ihr Paket über SQL Server Management Studio (SSMS) oder Ausführen eines SSIS-Pakets mit der Aktivität „SSIS-Paket ausführen“ in Azure Data Factory ausführen, suchen Sie den Azure Storage-Verbindungs-Manager, und aktualisieren Sie dessen Eigenschaft
ConnectUsingManagedIdentity
aufTrue
.Hinweis
In Azure-SSIS IR werden alle anderen Authentifizierungsmethoden (z. B. integrierte Sicherheit und Kennwort), die im Azure Storage-Verbindungs-Manager vorkonfiguriert sind, überschrieben, wenn die Microsoft Entra-Authentifizierung mit der verwalteten Identität Ihrer ADF verwendet wird.
Um die Microsoft Entra-Authentifizierung von verwalteten Identitäten für vorhandene Pakete zu konfigurieren, besteht die bevorzugte Methode darin, das SSIS-Projekt mindestens einmal mit dem neuesten SSIS-Designer neu zu erstellen. Stellen Sie Ihr SSIS-Projekt erneut in Ihrer Azure-SSIS IR bereit, sodass die neue Eigenschaft ConnectUsingManagedIdentity
des Verbindungs-Managers automatisch allen Azure Storage-Verbindungs-Managern in Ihrem Projekt hinzugefügt wird. Die alternative Methode ist, Überschreibungen von Eigenschaften direkt mit dem Eigenschaftenpfad \Package.Connections[{Name Ihres Verbindungs-Managers}].Properties[ConnectUsingManagedIdentity] zu verwenden, dem zur Runtime True
zugewiesen wird.
Sichern von Netzwerkdatenverkehr an Ihr Speicherkonto
Wenn Sie die Microsoft Entra-Authentifizierung mit der verwalteten Identität Ihrer ADF verwenden, ist es möglich, Ihre Azure-SSIS-Integrationslaufzeit mit einem virtuellen Netzwerk zu verbinden. Sichern Sie dann ihr Speicherkonto, indem Sie den Zugriff auf ausgewählte Netzwerke oder privaten Endpunkte einschränken. Anweisungen finden Sie im Artikel Verwalten von Ausnahmen.