Storage-Verbindungszeichenfolgen
Gilt für: ✅Microsoft Fabric✅Azure Data Explorer
Der Kusto-Dienst kann mit externen Speicherdiensten interagieren. Sie können z. B. eine externe Azure Storage-Tabelle erstellen, um Daten abzufragen, die auf externen Speichern gespeichert sind.
Die folgenden Typen externer Speicher werden unterstützt:
- Azure Blob Storage
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Jeder Speichertyp verfügt über entsprechende Verbindungszeichenfolge Formate, die verwendet werden, um die Speicherressourcen zu beschreiben und darauf zuzugreifen. Ein URI-Format wird verwendet, um diese Speicherressourcen und die Eigenschaften zu beschreiben, die für den Zugriff erforderlich sind, z. B. Sicherheitsanmeldeinformationen.
Hinweis
Die HTTP-Webdienstunterstützung ist auf das Abrufen von Ressourcen aus beliebigen HTTP-Webdiensten beschränkt. Andere Vorgänge, z. B. das Schreiben von Ressourcen, werden nicht unterstützt.
Speicher-Verbindungszeichenfolge-Vorlagen
Jeder Speichertyp weist ein anderes Verbindungszeichenfolge Format auf. In der folgenden Tabelle finden Sie Verbindungszeichenfolge Vorlagen für jeden Speichertyp.
Speichertyp | Schema | URI-Vorlage |
---|---|---|
Azure Blob Storage | https:// |
https:// StorageAccountName-Container[/ BlobName.blob.core.windows.net/ ][CallerCredentials] |
Azure Data Lake Storage Gen2 | https:// |
https:// StorageAccountName Filesystem[/ PathToDirectoryOrFile][CallerCredentials].dfs.core.windows.net/ |
Azure Data Lake Storage Gen2 | abfss:// |
abfss:// Filesystem@ StorageAccountName.dfs.core.windows.net/ [PathToDirectoryOrFile][CallerCredentials] |
Azure Data Lake Storage Gen1 | adl:// |
adl:// StorageAccountName.azuredatalakestore.net/ PathToDirectoryOrFile[CallerCredentials] |
Amazon S3 | https:// |
https:// BucketName RegionName.amazonaws.com/ .s3. ObjectKey[CallerCredentials] |
HTTP-Webdienste | https:// |
https:// Hostname PathAndQuery/ |
Hinweis
Um zu verhindern, dass geheime Schlüssel in Ablaufverfolgungen angezeigt werden, verwenden Sie verschleierte Zeichenfolgenliterale.
Storage-Authentifizierungsmethoden
Um mit nicht lizenzierten externen Speicher zu interagieren, müssen Sie Authentifizierungsmittel als Teil des externen Speichers angeben, Verbindungszeichenfolge. Die Verbindungszeichenfolge definiert die Ressource für den Zugriff und die zugehörigen Authentifizierungsinformationen.
Die folgenden Authentifizierungsmethoden werden unterstützt:
- Shared Access (SAS)-Schlüssel
- Microsoft Entra-Zugriffstoken
- Zugriffsschlüssel für das Speicherkonto
- Programmgesteuerte Zugriffstasten für Amazon Web Services
- Vorsignierte URL von Amazon Web Services S3
Unterstützte Authentifizierung nach Speichertyp
In der folgenden Tabelle sind die verfügbaren Authentifizierungsmethoden für verschiedene externe Speichertypen zusammengefasst.
Authentifizierungsmethode | Im Blob-Speicher verfügbar? | Verfügbar in Azure Data Lake Storage Gen 2? | Verfügbar in Azure Data Lake Storage Gen 1? | Verfügbar in Amazon S3? | Wann sollten Sie diese Methode verwenden? |
---|---|---|---|---|---|
Identitätswechsel | ✔️ | ✔️ | ✔️ | ❌ | Wird für besuchte Flüsse verwendet, wenn Sie eine komplexe Zugriffssteuerung über den externen Speicher benötigen. Beispiel: in kontinuierlichen Exportflüssen. Sie können auch den Speicherzugriff auf Benutzerebene einschränken. |
Verwaltete Identität | ✔️ | ✔️ | ✔️ | ❌ | Wird in unbeaufsichtigten Flüssen verwendet, bei denen kein Microsoft Entra-Prinzipal zum Ausführen von Abfragen und Befehlen abgeleitet werden kann. Verwaltete Identitäten sind die einzige Authentifizierungslösung. |
Shared Access (SAS)-Schlüssel | ✔️ | ✔️ | ❌ | ❌ | SAS-Token haben eine Ablaufzeit. Verwenden Sie den Zugriff auf den Speicher für einen begrenzten Zeitraum. |
Microsoft Entra-Zugriffstoken | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra-Token verfügen über eine Ablaufzeit. Verwenden Sie den Zugriff auf den Speicher für einen begrenzten Zeitraum. |
Zugriffsschlüssel für das Speicherkonto | ✔️ | ✔️ | ❌ | ❌ | Wenn Sie kontinuierlich auf Ressourcen zugreifen müssen. |
Programmgesteuerte Zugriffstasten für Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Wenn Sie kontinuierlich auf Amazon S3-Ressourcen zugreifen müssen. |
Vorsignierte URL von Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Wenn Sie auf Amazon S3-Ressourcen mit einer temporären vorsignierten URL zugreifen müssen. |
Identitätswechsel
Kusto imitiert die Prinzipalidentität des Anforderers, um auf die Ressource zuzugreifen. Fügen Sie zum Verwenden des Identitätswechsels an die Verbindungszeichenfolge an;impersonate
.
Beispiel |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Der Prinzipal muss über die erforderlichen Berechtigungen zum Ausführen des Vorgangs verfügen. Beispielsweise in Azure Blob Storage, um aus dem Blob zu lesen, benötigt der Prinzipal die Rolle "Storage Blob Data Reader" und zum Exportieren in das Blob, das der Prinzipal die Rolle "Storage Blob Data Contributor" benötigt. Weitere Informationen finden Sie unter Azure Blob Storage / Data Lake Storage Gen2 Zugriffssteuerung oder Access Control Data Lake Storage Gen1.
Verwaltete Identität
Azure Data Explorer sendet Anforderungen im Auftrag einer verwalteten Identität und verwendet seine Identität für den Zugriff auf Ressourcen. Fügen Sie für eine vom System zugewiesene verwaltete Identität an die Verbindungszeichenfolge an;managed_identity=system
. Fügen Sie für eine vom Benutzer zugewiesene verwaltete Identität an die Verbindungszeichenfolge an;managed_identity={object_id}
.
Typ der verwalteten Identität | Beispiel |
---|---|
Systemseitig zugewiesen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
Benutzerseitig zugewiesen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Die verwaltete Identität muss über die erforderlichen Berechtigungen zum Ausführen des Vorgangs verfügen. Beispielsweise in Azure Blob Storage, um aus dem Blob zu lesen, benötigt die verwaltete Identität die Rolle "Storage Blob Data Reader" und zum Exportieren in das Blob die verwaltete Identität die Rolle "Storage Blob Data Contributor". Weitere Informationen finden Sie unter Azure Blob Storage / Data Lake Storage Gen2 Zugriffssteuerung oder Access Control Data Lake Storage Gen1.
Hinweis
Verwaltete Identität wird nur in bestimmten Azure Data Explorer-Flüssen unterstützt und erfordert die Einrichtung der Verwalteten Identitätsrichtlinie. Weitere Informationen finden Sie unter Übersicht über verwaltete Identitäten.
Token für gemeinsamen Zugriff (SAS)
Generieren Sie im Azure-Portal ein SAS-Token mit den erforderlichen Berechtigungen.
Wenn Sie beispielsweise aus dem externen Speicher lesen möchten, geben Sie die Lese- und Listenberechtigungen an und geben die Schreibberechtigungen an, die in den externen Speicher exportiert werden sollen. Weitere Informationen finden Sie unter Stellvertretungszugriff mithilfe einer freigegebenen Zugriffssignatur.
Verwenden Sie die SAS-URL als Verbindungszeichenfolge.
Beispiel |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra-Zugriffstoken
Um ein base64-codiertes Microsoft Entra-Zugriffstoken hinzuzufügen, fügen Sie ;token={AadToken}
das Verbindungszeichenfolge an. Das Token muss für die Ressource https://storage.azure.com/
sein.
Weitere Informationen zum Generieren eines Microsoft Entra-Zugriffstokens finden Sie unter Abrufen eines Zugriffstokens für die Autorisierung.
Beispiel |
---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Zugriffsschlüssel für das Speicherkonto
Um einen Zugriffsschlüssel für speicherkonto hinzuzufügen, fügen Sie den Schlüssel an die Verbindungszeichenfolge an. Fügen Sie in Azure Blob Storage an die Verbindungszeichenfolge an;{key}
. Fügen Sie für Azure Data Lake Storage Gen 2 an die Verbindungszeichenfolge an;sharedkey={key}
.
Speicherkonto | Beispiel |
---|---|
Azure Blob Storage | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programmgesteuerte Zugriffstasten für Amazon Web Services
Um Amazon Web Services-Zugriffstasten hinzuzufügen, hängen Sie ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY}
an die Verbindungszeichenfolge an.
Beispiel |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Vorsignierte URL von Amazon Web Services S3
Verwenden Sie die vorsignierte S3-URL als Verbindungszeichenfolge.
Beispiel |
---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Verwandte Inhalte
Beispiele für die Verwendung von Speicher-Verbindungszeichenfolge finden Sie unter: