Диспетчер подключений к хранилищу Azure

Область применения: среда выполнения интеграции SSIS SQL Server в Фабрика данных Azure

Диспетчер подключений службы хранилища Azure позволяет пакету служб SQL Server Integration Services (SSIS) подключаться к учетной записи хранения Azure. Диспетчер подключений службы хранилища Azure входит в состав пакета дополнительных компонентов SQL Server Integration Services (SSIS) для Azure.

В диалоговом окне Добавление диспетчера соединений со службами SSIS выберите AzureStorage>Добавить.

Доступны следующие свойства:

  • Служба: указывает службу хранилища для подключения.
  • Имя учетной записи. Указывает имя учетной записи хранения.
  • Проверка подлинности. Указывает используемый метод проверки подлинности. Поддерживаются методы проверки подлинности AccessKey, ServicePrincipal и SharedAccessSignature
    • AccessKey: для этого метода проверки подлинности укажите ключ учетной записи.
    • ServicePrincipal: для этого метода проверки подлинности укажите идентификатор приложения, ключ приложения и идентификатор клиента субъекта-службы. Для работы тестового подключения субъекту-службе следует назначить по крайней мере роль Модуль чтения данных BLOB-объектов хранилища в учетной записи хранения. Дополнительные сведения см. в статье о предоставлении доступа к данным больших двоичных объектов и очереди с помощью ролей RBAC на портале Azure.
    • SharedAccessSignature: для этого метода проверки подлинности укажите по крайней мере маркер подписанного URL-адреса. Чтобы проверить подключение, дополнительно укажите область ресурсов, используемую для проверки. Это может быть служба, контейнер или BLOB-объект. Для контейнера и BLOB-объекта укажите имя контейнера и путь к BLOB-объекту соответственно. Дополнительные сведения см. в статье Общие сведения о подписанном URL-адресе службы хранилища Azure.
  • Среда. Указывает облачную среду, в которой размещена учетная запись хранения.

Примечание.

Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).

Управляемые удостоверения для проверки подлинности ресурсов Azure

При запуске пакетов служб SSIS в среде выполнения интеграции Azure-SSIS (IR) в Фабрика данных Azure (ADF) можно использовать проверку подлинности Microsoft Entra с управляемым удостоверением ADF для доступа к служба хранилища Azure. Azure-SSIS IR может получать доступ к данным и копировать их в учетную запись хранения и из нее с помощью управляемого удостоверения.

Примечание.

При проверке подлинности с помощью управляемого удостоверения, назначаемого пользователем, среда выполнения интеграции SSIS должна быть включена для проверки подлинности с тем же удостоверением. Дополнительные сведения см. в статье "Включение проверки подлинности Microsoft Entra" для среды выполнения интеграции Azure-SSIS.

Общие сведения о проверке подлинности см. в статье служба хранилища Azure с помощью идентификатора Microsoft Entra ID для проверки подлинности служба хранилища Azure. Чтобы использовать проверку подлинности Microsoft Entra с управляемым удостоверением ADF для доступа к служба хранилища Azure, выполните следующие действия.

  1. Найдите управляемое удостоверение для ADF из портал Azure. Перейдите к разделу Свойства своей фабрики данных. Скопируйте идентификатор приложения управляемого удостоверения (не идентификатор объекта управляемого удостоверения).

  2. Предоставьте управляемому удостоверению для ADF необходимые разрешения для доступа к служба хранилища Azure. Дополнительные сведения о ролях см. в статье об управлении правами доступа к данным службы хранилища Azure с помощью RBAC.

    • В Системе управления идентификацией и доступом (IAM) назначьте источнику по крайней мере роль Модуль чтения данных BLOB-объектов хранилища.
    • В Системе управления идентификацией и доступом (IAM) назначьте назначению по крайней мере роль Участник для данных BLOB-объектов хранилища.

Наконец, можно настроить проверку подлинности Microsoft Entra с помощью управляемого удостоверения ADF в диспетчере подключений служба хранилища Azure. Это можно сделать такими способами:

  • Настройка во время разработки. В конструкторе SSIS дважды щелкните диспетчер подключений к службе хранилища Azure, чтобы открыть редактор диспетчера подключений службы хранилища Azure. Выберите вариант Использовать управляемое удостоверение для проверки подлинности в Azure.

    Примечание.

    Свойство ConnectUsingManagedIdentity диспетчера соединений не действует при запуске пакета в конструкторе служб SSIS или SQL Server, указывая, что проверка подлинности Microsoft Entra с управляемым удостоверением ADF не работает.

  • Настройка во время выполнения. При запуске пакета через SQL Server Management Studio (SSMS) или действие "Выполнить пакет SSIS" в конвейере ADF найдите диспетчер подключений службы хранилища Azure и измените его свойство ConnectUsingManagedIdentity на True.

    Примечание.

    В Azure-SSIS IR все другие методы проверки подлинности (например, встроенная безопасность и пароль), предварительно настроенные в диспетчере подключений служба хранилища Azure, переопределяются при использовании проверки подлинности Microsoft Entra с управляемым удостоверением ADF.

Чтобы настроить проверку подлинности Microsoft Entra с помощью управляемого удостоверения ADF в существующих пакетах, предпочтительный способ — перестроить проект служб SSIS с помощью последнего конструктора служб SSIS по крайней мере один раз. Повторно разверните этот проект SSIS в Azure-SSIS IR, чтобы новое свойство ConnectUsingManagedIdentity диспетчера подключений автоматически добавилось во все диспетчеры подключений службы хранилища Azure в проекте. Альтернативный способ — напрямую использовать переопределение свойства, указав путь к свойству \Package.Connections[{имя_диспетчера_подключений}].Properties[ConnectUsingManagedIdentity], назначенный для True в среде выполнения.

Защита сетевого трафика в учетной записи хранения

При использовании проверки подлинности Microsoft Entra с управляемым удостоверением ADF можно присоединить среду выполнения интеграции Azure-SSIS к виртуальной сети, а затем защитить учетную запись хранения, ограничив доступ к выбранным сетям или частной конечной точке. Инструкции см. в статье об управлении исключениями.

См. также