Armazenar credenciais no Azure Key Vault
APLICA-SE A: Azure Data Factory Azure Synapse Analytics
Gorjeta
Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!
Você pode armazenar credenciais para armazenamentos de dados e cálculos em um Cofre de Chaves do Azure. O Azure Data Factory obtém as credenciais ao executar uma atividade que utiliza a computação/arquivo de dados.
Atualmente, todos os tipos de atividade, exceto a atividade personalizada, suportam esta funcionalidade. Para a configuração do conector especificamente, verifique a seção "propriedades do serviço vinculado" em cada tópico do conector para obter detalhes.
Pré-requisitos
Esse recurso depende da identidade gerenciada do data factory. Saiba como funciona a partir do Managed identity for Data factory e certifique-se de que o seu data factory tem um associado.
Passos
Para fazer referência a uma credencial armazenada no Cofre da Chave do Azure, você precisa:
- Recupere a identidade gerenciada do data factory copiando o valor de "Managed Identity Object ID" gerado junto com sua fábrica. Se você usar a interface do usuário de criação do ADF, a ID do objeto de identidade gerenciado será mostrada na janela de criação do serviço vinculado do Cofre da Chave do Azure; você também pode recuperá-lo do portal do Azure, consulte Recuperar identidade gerenciada do data factory.
- Conceda acesso à identidade gerenciada ao seu Cofre da Chave do Azure. No cofre de chaves - Políticas de acesso ->> Adicionar política de acesso, pesquise esta identidade gerenciada para conceder permissões Obter e Listar no menu suspenso Permissões secretas. Ele permite que esta fábrica designada para acessar segredo no cofre de chaves.
- Crie um serviço vinculado apontando para o Cofre da Chave do Azure. Consulte o serviço vinculado do Azure Key Vault.
- Crie o serviço vinculado de armazenamento de dados. Em sua configuração, faça referência ao segredo correspondente armazenado no Cofre da Chave do Azure. Consulte Fazer referência a um segredo armazenado no Cofre de Chaves do Azure.
Serviço ligado do Azure Key Vault
As seguintes propriedades têm suporte para o serviço vinculado do Azure Key Vault:
Property | Descrição | Obrigatório |
---|---|---|
tipo | A propriedade type deve ser definida como: AzureKeyVault. | Sim |
baseUrl | Especifique a URL do Cofre da Chave do Azure. | Sim |
Usando a interface do usuário de criação:
Selecione Conexões ->Serviços vinculados ->Novo. Em Novo serviço vinculado, procure e selecione "Azure Key Vault":
Selecione o Cofre da Chave do Azure provisionado onde suas credenciais estão armazenadas. Você pode fazer Test Connection para se certificar de que sua conexão AKV é válida.
Exemplo JSON:
{
"name": "AzureKeyVaultLinkedService",
"properties": {
"type": "AzureKeyVault",
"typeProperties": {
"baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
}
}
}
Referência ao segredo armazenado no cofre de chaves
As propriedades a seguir são suportadas quando você configura um campo no serviço vinculado fazendo referência a um segredo do cofre de chaves:
Property | Descrição | Obrigatório |
---|---|---|
tipo | A propriedade type do campo deve ser definida como: AzureKeyVaultSecret. | Sim |
secretName | O nome do segredo no Cofre da Chave do Azure. | Sim |
secretVersion | A versão do segredo no Cofre da Chave do Azure. Se não for especificado, ele sempre usa a versão mais recente do segredo. Se especificado, então ele se mantém na versão dada. |
Não |
loja | Refere-se a um serviço vinculado do Cofre da Chave do Azure que você usa para armazenar a credencial. | Sim |
Usando a interface do usuário de criação:
Selecione Azure Key Vault para campos secretos ao criar a conexão com seu armazenamento/computação de dados. Selecione o Serviço Vinculado do Cofre de Chaves do Azure provisionado e forneça o nome Secreto. Opcionalmente, você também pode fornecer uma versão secreta.
Gorjeta
Para conectores que usam cadeia de conexão em serviço vinculado como SQL Server, armazenamento de Blob, etc., você pode optar por armazenar apenas o campo secreto, por exemplo, senha em AKV, ou armazenar toda a cadeia de conexão em AKV. Você pode encontrar ambas as opções na interface do usuário.
Exemplo JSON: (consulte a seção "senha")
{
"name": "DynamicsLinkedService",
"properties": {
"type": "Dynamics",
"typeProperties": {
"deploymentType": "<>",
"organizationName": "<>",
"authenticationType": "<>",
"username": "<>",
"password": {
"type": "AzureKeyVaultSecret",
"secretName": "<secret name in AKV>",
"store":{
"referenceName": "<Azure Key Vault linked service>",
"type": "LinkedServiceReference"
}
}
}
}
}
Conteúdos relacionados
Para obter uma lista de armazenamentos de dados suportados como fontes e coletores pela atividade de cópia no Azure Data Factory, consulte armazenamentos de dados com suporte.