Partager via


Informations d’identification dans Azure Key Vault

S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics

Conseil

Essayez Data Factory dans Microsoft Fabric, une solution d’analyse tout-en-un pour les entreprises. Microsoft Fabric couvre tous les aspects, du déplacement des données à la science des données, en passant par l’analyse en temps réel, l’aide à la décision et la création de rapports. Découvrez comment démarrer un nouvel essai gratuitement !

Vous pouvez stocker les informations d’identification des magasins de données et calculs dans un coffre de clés Azure Key Vault. Azure Data Factory récupère les informations d’identification lors de l’exécution d’une activité qui utilise le magasin de données/calcul.

Actuellement, tous les types d’activité, à l’exception des activités personnalisées, prennent en charge cette fonctionnalité. Particulièrement pour la configuration du connecteur, vérifiez la section « Propriétés du service lié » dans chaque rubrique de connecteur pour obtenir des informations.

Prérequis

Cette fonctionnalité repose sur l’identité managée de la fabrique de données. Découvrez comment cela fonctionne dans Identité managée pour Data Factory et vérifiez que votre fabrique de données est bien associée à une identité managée.

Étapes

Pour référencer des informations d’identification stockées dans Azure Key Vault, vous devez :

  1. Récupérez l’identité managée de la fabrique de données en copiant la valeur « ID d’objet de l’identité managée » générée en même temps que votre fabrique. Si vous utilisez l’interface de création d’Azure Data Factory, l’ID d’objet de l’identité managée est indiqué dans la fenêtre de création du service lié Azure Key Vault. Vous pouvez également obtenir cet ID à partir du portail Azure (consultez Récupérer l’identité managée de la fabrique de données).
  2. Autorisez l’identité managée à accéder à votre coffre de clés Azure Key Vault. Dans votre coffre de clés -> Stratégies d’accès -> Ajouter une stratégie d’accès, recherchez cette identité managée pour accorder les autorisation Get et List dans la liste déroulante Autorisations du secret. Cela permet à la fabrique désignée d’accéder au secret du coffre de clés.
  3. Créer un service lié pointant vers votre coffre de clés Azure Key Vault. Reportez-vous à la section Service lié Azure Key Vault.
  4. Créez le service lié de magasin de données. Dans sa configuration, référencez le secret correspondant stocké dans Azure Key Vault. Vous pouvez également référencer un secret stocké dans Azure Key Vault.

Service lié Azure Key Vault

Les propriétés suivantes sont prises en charge pour le service lié Azure Key Vault :

Propriété Description Obligatoire
type La propriété type doit être définie sur : AzureKeyVault. Oui
baseUrl Spécifiez l’URL d’Azure Key Vault. Oui

Utilisation de l’interface utilisateur de création :

Sélectionnez Connexions ->Services liés ->Nouveau. Dans Nouveau service lié, recherchez et sélectionnez « Azure Key Vault » :

Rechercher Azure Key Vault

Sélectionnez le coffre Azure Key Vault provisionné où sont stockées vos informations d’identification. Vous pouvez tester la connexion pour vous assurer que votre connexion AKV est valide.

Configurer Azure Key Vault

Exemple JSON :

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Référencer le secret stocké dans le coffre de clés

Les propriétés suivantes sont prises en charge lorsque vous configurez un champ dans le service lié qui référence un secret de coffre de clés :

Propriété Description Obligatoire
type La propriété type du champ doit être définie sur : AzureKeyVaultSecret. Oui
secretName Nom du secret dans Azure Key Vault. Oui
secretVersion Version du secret dans Azure Key Vault.
Si elle n’est pas spécifiée, la version la plus récente du secret est utilisée.
Si elle est spécifiée, elle utilise la version spécifiée.
Non
store Fait référence au service lié Azure Key Vault que vous utilisez pour stocker les informations d’identification. Oui

Utilisation de l’interface utilisateur de création :

Sélectionnez Azure Key Vault pour les champs secrets lors de la création de la connexion à votre magasin de données/compute. Sélectionnez le service lié Azure Key Vault provisionné et fournissez le nom secret. Vous pouvez éventuellement fournir également une version de secret.

Conseil

Pour les connecteurs qui utilisent une chaîne de connexion dans un service lié comme SQL Server, Stockage Blob, etc., vous pouvez choisir de stocker uniquement le champ du secret, par exemple, le mot de passe dans Azure Key Vault, ou de stocker la chaîne de connexion entière dans Azure Key Vault. L’interface utilisateur propose ces deux options.

Configurer la clé secrète Azure Key Vault

Exemple JSON : (voir la section « password »)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Pour obtenir la liste des banques de données prises en charge en tant que sources et récepteurs par l’activité de copie dans Azure Data Factory, consultez le tableau banques de données prises en charge.