다음을 통해 공유


스토리지 연결 문자열

적용 대상: ✅Microsoft Fabric✅Azure Data Explorer

Kusto 서비스는 외부 스토리지 서비스와 상호 작용할 수 있습니다. 예를 들어 외부 스토리지에 저장된 데이터를 쿼리하기 위해 Azure Storage 외부 테이블을 만들 수 있습니다.

지원되는 외부 스토리지 유형은 다음과 같습니다.

  • Azure Blob Storage
  • Azure Data Lake Storage Gen2
  • Azure Data Lake Storage Gen1
  • Amazon S3

각 스토리지 유형에는 스토리지 리소스 및 액세스 방법을 설명하는 데 사용되는 해당 연결 문자열 형식이 있습니다. URI 형식은 이러한 스토리지 리소스 및 액세스에 필요한 속성(예: 보안 자격 증명)을 설명하는 데 사용됩니다.

참고 항목

HTTP 웹 서비스 지원은 임의의 HTTP 웹 서비스에서 리소스를 검색하는 것으로 제한됩니다. 리소스 작성과 같은 다른 작업은 지원되지 않습니다.

스토리지 연결 문자열 템플릿

각 스토리지 유형에는 다른 연결 문자열 형식이 있습니다. 각 스토리지 유형에 대한 연결 문자열 템플릿은 다음 표를 참조하세요.

저장소 유형 구성표 URI 템플릿
Azure Blob Storage https:// https://StorageAccountName.blob.core.windows.net/컨테이너[/BlobName][CallerCredentials]
Azure Data Lake Storage Gen2 https:// https://StorageAccountName Filesystem[/PathToDirectoryOrFile][CallerCredentials].dfs.core.windows.net/
Azure Data Lake Storage Gen2 abfss:// abfss://Filesystem StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials]@
Azure Data Lake Storage Gen1 adl:// adl://StorageAccountName.azuredatalakestore.net/ PathToDirectoryOrFile[CallerCredentials]
Amazon S3 https:// https://BucketName RegionName.amazonaws.com/ObjectKey[CallerCredentials].s3.
HTTP 웹 서비스 https:// https://호스트 이름/PathAndQuery

참고 항목

비밀이 추적에 표시되지 않도록 하려면 난독 분석된 문자열 리터럴을 사용합니다.

스토리지 인증 방법

비공개 외부 스토리지와 상호 작용하려면 외부 스토리지 연결 문자열 일부로 인증 수단을 지정해야 합니다. 연결 문자열 액세스할 리소스와 해당 인증 정보를 정의합니다.

지원되는 인증 방법은 다음과 같습니다.

스토리지 유형별 지원되는 인증

다음 표에서는 다양한 외부 스토리지 유형에 사용할 수 있는 인증 방법을 요약합니다.

인증 방법 Blob Storage에서 사용할 수 있나요? Azure Data Lake Storage Gen 2에서 사용할 수 있나요? Azure Data Lake Storage Gen 1에서 사용할 수 있나요? Amazon S3에서 사용할 수 있나요? 이 메서드는 언제 사용해야 하나요?
가장 ✔️ ✔️ ✔️ 외부 스토리지에 대한 복잡한 액세스 제어가 필요한 경우 참석 흐름에 사용합니다. 예를 들어 연속 내보내기 흐름에서 사용자 수준에서 스토리지 액세스를 제한할 수도 있습니다.
관리 ID ✔️ ✔️ ✔️ Microsoft Entra 보안 주체를 파생하여 쿼리 및 명령을 실행할 수 없는 무인 흐름에서 사용합니다. 관리 ID는 유일한 인증 솔루션입니다.
SAS(공유 액세스) 키 ✔️ ✔️ SAS 토큰에는 만료 시간이 있습니다. 제한된 시간 동안 스토리지에 액세스할 때 사용합니다.
Microsoft Entra 액세스 토큰 ✔️ ✔️ ✔️ Microsoft Entra 토큰에는 만료 시간이 있습니다. 제한된 시간 동안 스토리지에 액세스할 때 사용합니다.
스토리지 계정 액세스 키 ✔️ ✔️ 지속적으로 리소스에 액세스해야 하는 경우
Amazon Web Services 프로그래밍 방식 액세스 키 ✔️ Amazon S3 리소스에 지속적으로 액세스해야 하는 경우
Amazon Web Services S3 미리 서명된 URL ✔️ 임시 미리 서명된 URL을 사용하여 Amazon S3 리소스에 액세스해야 하는 경우

가장 행위

Kusto는 요청자의 주 ID를 가장하여 리소스에 액세스합니다. 가장을 사용하려면 연결 문자열 추가 ;impersonate 합니다.

예시
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate"

보안 주체는 작업을 수행하는 데 필요한 권한이 있어야 합니다. 예를 들어 Azure Blob Storage에서 Blob에서 읽으려면 보안 주체에 Storage Blob 데이터 판독기 역할이 필요하고 Blob으로 내보내려면 보안 주체에 Storage Blob 데이터 기여자 역할이 필요합니다. 자세한 내용은 Azure Blob Storage/Data Lake Storage Gen2 액세스 제어 또는 Data Lake Storage Gen1 액세스 제어를 참조하세요.

관리 ID

Azure Data Explorer는 관리 ID를 대신하여 요청을 수행하고 해당 ID를 사용하여 리소스에 액세스합니다. 시스템 할당 관리 ID의 경우 연결 문자열 추가 ;managed_identity=system 합니다. 사용자 할당 관리 ID의 경우 연결 문자열 추가 ;managed_identity={object_id} 합니다.

관리 ID 유형 예시
시스템 할당 "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system"
사용자 할당 "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab"

관리 ID에는 작업을 수행하는 데 필요한 권한이 있어야 합니다. 예를 들어 Azure Blob Storage에서 관리 ID를 읽으려면 Storage Blob 데이터 판독기 역할이 필요하고 Blob으로 내보내려면 관리 ID에 Storage Blob 데이터 기여자 역할이 필요합니다. 자세한 내용은 Azure Blob Storage/Data Lake Storage Gen2 액세스 제어 또는 Data Lake Storage Gen1 액세스 제어를 참조하세요.

참고 항목

관리 ID는 특정 Azure Data Explorer 흐름에서만 지원되며 관리 ID 정책을 설정해야 합니다. 자세한 내용은 관리 ID 개요를 참조하세요.

공유 액세스 (SAS) 토큰

Azure Portal에서 필요한 권한이 있는 SAS 토큰 을 생성합니다.

예를 들어 외부 스토리지에서 읽으려면 읽기 및 목록 권한을 지정하고 외부 스토리지로 내보내려면 쓰기 권한을 지정합니다. 자세한 내용은 공유 액세스 서명을 사용하여 대리자 액세스를 참조하세요.

SAS URL을 연결 문자열 사용합니다.

예시
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd"

Microsoft Entra 액세스 토큰

base-64로 인코딩된 Microsoft Entra 액세스 토큰을 추가하려면 연결 문자열 추가 ;token={AadToken} 합니다. 토큰은 리소스 https://storage.azure.com/에 대한 토큰이어야 합니다.

Microsoft Entra 액세스 토큰을 생성하는 방법에 대한 자세한 내용은 권한 부여를 위한 액세스 토큰 가져오기를 참조하세요.

예시
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..."

스토리지 계정 액세스 키

스토리지 계정 액세스 키를 추가하려면 연결 문자열 키를 추가합니다. Azure Blob Storage에서 연결 문자열 추가 ;{key} 합니다. Azure Data Lake Storage Gen 2의 경우 연결 문자열 추가 ;sharedkey={key} 합니다.

스토리지 계정 예시
Azure Blob Storage "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...=="
Azure Data Lake Storage Gen2 "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd"

Amazon Web Services 프로그래밍 방식 액세스 키

Amazon Web Services 액세스 키를 추가하려면 연결 문자열 추가 ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} 합니다.

예시
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY"

Amazon Web Services S3 미리 서명된 URL

S3 미리 서명된 URL을 연결 문자열 사용합니다.

예시
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN"

스토리지 연결 문자열 사용되는 방법에 대한 예제는 다음을 참조하세요.