Archiviare le credenziali in Azure Key Vault

SI APPLICA A: Azure Data Factory Azure Synapse Analytics

Suggerimento

Provare Data Factory in Microsoft Fabric, una soluzione di analisi all-in-one per le aziende. Microsoft Fabric copre tutto, dallo spostamento dati al data science, all'analisi in tempo reale, alla business intelligence e alla creazione di report. Vedere le informazioni su come iniziare una nuova prova gratuita!

È possibile archiviare le credenziali per gli archivi dati e i calcoli in Azure Key Vault. Azure Data Factory recupera le credenziali durante l'esecuzione di un'attività che usa l'archivio dati o il calcolo.

Attualmente questa funzionalità è supportata da tutti i tipi di attività tranne quelle personalizzate. Per la configurazione del connettore in particolare, verificare i dettagli nella sezione delle proprietà del servizio collegato nell'argomento relativo a ogni connettore.

Prerequisiti

Questa funzionalità si basa sull'identità gestita della data factory. Informazioni sul funzionamento dell'identità gestita per Data factory e assicurarsi che la data factory ne abbia associata una.

Passaggi

Per fare riferimento a una credenziale archiviata in Azure Key Vault, è necessario:

  1. Recuperare l'identità gestita della data factory copiando il valore di "ID oggetto identità gestita" generato insieme alla factory. Se si usa l'interfaccia utente di creazione di Azure Data Factory, l'ID oggetto identità gestita verrà visualizzato nella finestra di creazione del servizio collegato di Azure Key Vault; è anche possibile recuperarlo da portale di Azure, vedere Recuperare l'identità gestita della data factory.
  2. Concedere all'identità gestita l'accesso ad Azure Key Vault. Nell'insieme di credenziali delle chiavi -> Criteri di accesso -> Aggiungi criteri di accesso cercare questa identità gestita per concedere le autorizzazioni Get ed List nell'elenco a discesa Autorizzazioni segrete. Consente a questa factory designata di accedere al segreto nell'insieme di credenziali.
  3. Creare un servizio collegato che punta ad Azure Key Vault. Fare riferimento a Servizio collegato di Azure Key Vault.
  4. Creare il servizio collegato dell'archivio dati. Nella configurazione fare riferimento al segreto corrispondente archiviato in Azure Key Vault. Fare riferimento a Fare riferimento a un segreto archiviato in Azure Key Vault.

Servizio collegato di Azure Key Vault

Per il servizio collegato di Azure Key Vault sono supportate le proprietà seguenti:

Proprietà Descrizione Richiesto
type La proprietà type deve essere impostata su AzureKeyVault.
baseUrl Specificare l'URL di Azure Key Vault.

Nell'interfaccia utente:

Selezionare Connessioni ->Servizi collegati ->Nuovo. In Nuovo servizio collegato cercare e selezionare "Azure Key Vault":

Cercare Azure Key Vault

Selezionare l'insieme di credenziali delle chiavi di Azure di cui è stato effettuato il provisioning e in cui sono archiviate le credenziali. È possibile scegliere Test connessione per verificare che la connessione AKV sia valida.

Configurare Azure Key Vault

Esempio di JSON:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Fare riferimento a un segreto nell'insieme di credenziali delle chiavi

Quando si configura un campo nel servizio collegato che fa riferimento a un segreto dell'insieme di credenziali delle chiavi, sono supportate le proprietà seguenti:

Proprietà Descrizione Richiesto
type La proprietà type del campo deve essere impostata su: AzureKeyVaultSecret.
secretName Nome del segreto in Azure Key Vault.
secretVersion Versione del segreto in Azure Key Vault.
Se non specificata, usare sempre la versione più recente del segreto.
Se specificata, corrisponde alla versione specificata.
No
store Fa riferimento a un servizio collegato di Azure Key Vault che si usa per archiviare la credenziale.

Nell'interfaccia utente:

Selezionare Azure Key Vault per i campi del segreto durante la creazione della connessione all'archivio dati o alle risorse di calcolo. Selezionare il servizio collegato di Azure Key Vault di cui è stato effettuato il provisioning e specificare il nome del segreto. Se si vuole, specificare anche la versione del segreto.

Suggerimento

Per i connettori che usano stringa di connessione nel servizio collegato, ad esempio SQL Server, Archiviazione BLOB e così via, è possibile scegliere di archiviare solo il campo segreto, ad esempio la password in AKV, o di archiviare l'intero stringa di connessione in AKV. È possibile trovare entrambe le opzioni nell'interfaccia utente.

Configurare il segreto di Azure Key Vault

Esempio di JSON: (vedere la sezione "password")

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Per un elenco degli archivi dati supportati come origini o sink dall'attività di copia in Azure Data Factory, vedere gli archivi dati supportati.