Parametry połączenia usługi Storage
Dotyczy: ✅Microsoft Fabric✅Azure Data Explorer
Usługa Kusto może wchodzić w interakcje z zewnętrznymi usługami magazynu. Na przykład można utworzyć tabele zewnętrzne usługi Azure Storage w celu wykonywania zapytań dotyczących danych przechowywanych w magazynach zewnętrznych.
Obsługiwane są następujące typy magazynu zewnętrznego:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Usługa Azure Data Lake Storage 1. generacji
- Amazon S3
Każdy typ magazynu ma odpowiednie formaty parametry połączenia używane do opisywania zasobów magazynu i sposobu uzyskiwania do nich dostępu. Format identyfikatora URI służy do opisywania tych zasobów magazynu i właściwości niezbędnych do uzyskania do nich dostępu, takich jak poświadczenia zabezpieczeń.
Uwaga
Obsługa usług internetowych HTTP jest ograniczona do pobierania zasobów z dowolnych usług internetowych HTTP. Inne operacje, takie jak zapisywanie zasobów, nie są obsługiwane.
Szablony parametry połączenia magazynu
Każdy typ magazynu ma inny format parametry połączenia. W poniższej tabeli przedstawiono szablony parametry połączenia dla każdego typu magazynu.
Typ magazynu | Schemat | Szablon identyfikatora URI |
---|---|---|
Azure Blob Storage | https:// |
https:// StorageAccountName Container[BlobName][/ CallerCredentials].blob.core.windows.net/ |
Azure Data Lake Storage Gen2 | https:// |
https:// StorageAccountName System plików[/ PathToDirectoryOrFile][CallerCredentials].dfs.core.windows.net/ |
Azure Data Lake Storage Gen2 | abfss:// |
abfss:// Filesystem@ StorageAccountName.dfs.core.windows.net/ [PathToDirectoryOrFile][CallerCredentials] |
Usługa Azure Data Lake Storage 1. generacji | adl:// |
adl:// StorageAccountName.azuredatalakestore.net/ PathToDirectoryOrFile[CallerCredentials] |
Amazon S3 | https:// |
https:// BucketName RegionName.amazonaws.com/ .s3. ObjectKey[CallerCredentials] |
Usługi internetowe HTTP | https:// |
https:// Ścieżka nazwy/ hostaAndQuery |
Uwaga
Aby zapobiec wyświetlaniu wpisów tajnych w śladach, użyj zaciemnionych literałów ciągu.
Metody uwierzytelniania magazynu
Aby wchodzić w interakcje z niepublikowym magazynem zewnętrznym, należy określić środki uwierzytelniania w ramach zewnętrznego magazynu parametry połączenia. Parametry połączenia definiuje zasób w celu uzyskania dostępu do informacji o uwierzytelnianiu i jego uwierzytelnieniu.
Obsługiwane są następujące metody uwierzytelniania:
- Klucz dostępu współdzielonego (SAS)
- Token dostępu firmy Microsoft Entra
- Klucz dostępu do konta magazynu
- Klucze dostępu programowego usług Amazon Web Services
- Adres URL wstępnie podpisany przez usługę Amazon Web Services S3
Obsługiwane uwierzytelnianie według typu magazynu
Poniższa tabela zawiera podsumowanie dostępnych metod uwierzytelniania dla różnych typów magazynu zewnętrznego.
Metoda uwierzytelniania | Dostępne w usłudze Blob Storage? | Dostępne w usłudze Azure Data Lake Storage Gen 2? | Dostępne w usłudze Azure Data Lake Storage Gen 1? | Dostępne w usłudze Amazon S3? | Kiedy należy użyć tej metody? |
---|---|---|---|---|---|
Personifikacja | ✔️ | ✔️ | ✔️ | ❌ | Służy do obsługi przepływów, gdy potrzebujesz złożonej kontroli dostępu nad magazynem zewnętrznym. Na przykład w przepływach eksportu ciągłego. Możesz również ograniczyć dostęp do magazynu na poziomie użytkownika. |
Tożsamość zarządzana | ✔️ | ✔️ | ✔️ | ❌ | Użyj w nienadzorowanych przepływach, w których nie można wygenerować podmiotu zabezpieczeń firmy Microsoft w celu wykonywania zapytań i poleceń. Tożsamości zarządzane to jedyne rozwiązanie do uwierzytelniania. |
Klucz dostępu współdzielonego (SAS) | ✔️ | ✔️ | ❌ | ❌ | Tokeny SAS mają czas wygaśnięcia. Użyj podczas uzyskiwania dostępu do magazynu przez ograniczony czas. |
Token dostępu firmy Microsoft Entra | ✔️ | ✔️ | ✔️ | ❌ | Tokeny firmy Microsoft Entra mają czas wygaśnięcia. Użyj podczas uzyskiwania dostępu do magazynu przez ograniczony czas. |
Klucz dostępu do konta magazynu | ✔️ | ✔️ | ❌ | ❌ | Gdy konieczne jest ciągłe uzyskiwanie dostępu do zasobów. |
Klucze dostępu programowego usług Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Jeśli potrzebujesz stale uzyskiwać dostęp do zasobów usługi Amazon S3. |
Adres URL wstępnie podpisany przez usługę Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Jeśli musisz uzyskać dostęp do zasobów usługi Amazon S3 przy użyciu wstępnie podpisanego adresu URL tymczasowego. |
Personifikacja
Usługa Kusto personifikuje tożsamość główną osoby żądającej w celu uzyskania dostępu do zasobu. Aby użyć personifikacji, dołącz ;impersonate
element do parametry połączenia.
Przykład |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Podmiot zabezpieczeń musi mieć niezbędne uprawnienia do wykonania operacji. Na przykład w usłudze Azure Blob Storage do odczytu z obiektu blob jednostka wymaga roli Czytelnik danych obiektu blob usługi Storage i wyeksportowania do obiektu blob podmiot zabezpieczeń wymaga roli Współautor danych obiektu blob usługi Storage. Aby dowiedzieć się więcej, zobacz Azure Blob Storage / Data Lake Storage Gen2 access control (Kontrola dostępu usługi Azure Blob Storage/ Data Lake Storage Gen2) lub Data Lake Storage Gen1 access control (Kontrola dostępu usługi Data Lake Storage Gen1).
Tożsamość zarządzana
Usługa Azure Data Explorer wysyła żądania w imieniu tożsamości zarządzanej i używa jej tożsamości do uzyskiwania dostępu do zasobów. W przypadku tożsamości zarządzanej przypisanej przez system dołącz ;managed_identity=system
element do parametry połączenia. W przypadku tożsamości zarządzanej przypisanej przez użytkownika dołącz ;managed_identity={object_id}
element do parametry połączenia.
Typ tożsamości zarządzanej | Przykład |
---|---|
Przypisane przez system | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
Przypisane przez użytkownika | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Tożsamość zarządzana musi mieć niezbędne uprawnienia do wykonania operacji. Na przykład w usłudze Azure Blob Storage do odczytu z obiektu blob tożsamość zarządzana wymaga roli Czytelnik danych obiektu blob usługi Storage i wyeksportowania do obiektu blob tożsamość zarządzana wymaga roli Współautor danych obiektu blob usługi Storage. Aby dowiedzieć się więcej, zobacz Azure Blob Storage / Data Lake Storage Gen2 access control (Kontrola dostępu usługi Azure Blob Storage/ Data Lake Storage Gen2) lub Data Lake Storage Gen1 access control (Kontrola dostępu usługi Data Lake Storage Gen1).
Uwaga
Tożsamość zarządzana jest obsługiwana tylko w określonych przepływach usługi Azure Data Explorer i wymaga skonfigurowania zasad tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz Omówienie tożsamości zarządzanych.
Token dostępu współdzielonego (SAS)
W witrynie Azure Portal wygeneruj token SAS z wymaganymi uprawnieniami.
Na przykład aby odczytywać dane z magazynu zewnętrznego, określ uprawnienia Odczyt i lista, a następnie wyeksportować do magazynu zewnętrznego, określ uprawnienia do zapisu. Aby dowiedzieć się więcej, zobacz Delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego.
Użyj adresu URL sygnatury dostępu współdzielonego jako parametry połączenia.
Przykład |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Token dostępu firmy Microsoft Entra
Aby dodać zakodowany w formacie base-64 token dostępu firmy Microsoft Entra, dołącz ;token={AadToken}
go do parametry połączenia. Token musi być przeznaczony dla zasobu https://storage.azure.com/
.
Aby uzyskać więcej informacji na temat generowania tokenu dostępu firmy Microsoft Entra, zobacz uzyskiwanie tokenu dostępu do autoryzacji.
Przykład |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Klucz dostępu do konta magazynu
Aby dodać klucz dostępu do konta magazynu, dołącz klucz do parametry połączenia. W usłudze Azure Blob Storage dołącz ;{key}
do parametry połączenia. W przypadku usługi Azure Data Lake Storage Gen 2 dołącz ;sharedkey={key}
element do parametry połączenia.
Konto magazynu | Przykład |
---|---|
Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programowe klucze dostępu usługi Amazon Web Services
Aby dodać klucze dostępu usługi Amazon Web Services, dołącz ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}
go do parametry połączenia.
Przykład |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Adres URL wstępnie podpisany przez usługę Amazon Web Services S3
Użyj wstępnie podpisanego adresu URL S3 jako parametry połączenia.
Przykład |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Powiązana zawartość
Aby zapoznać się z przykładami użycia parametry połączenia magazynu, zobacz:
- operator externaldata
- Tworzenie i zmienianie tabel zewnętrznych usługi Azure Storage.