Condividi tramite


Stringhe di connessione di archiviazione

Si applica a: ✅Microsoft FabricAzure Esplora dati

Il servizio Kusto può interagire con i servizi di archiviazione esterni. Ad esempio, è possibile creare un Archiviazione di Azure tabelle esterne per eseguire query sui dati archiviati in archivi esterni.

Sono supportati i tipi di archiviazione esterna seguenti:

  • Archiviazione BLOB di Azure
  • Azure Data Lake Storage Gen2
  • Azure Data Lake Storage Gen1
  • Amazon S3

Ogni tipo di archiviazione ha formati di stringa di connessione corrispondenti usati per descrivere le risorse di archiviazione e come accedervi. Viene usato un formato URI per descrivere queste risorse di archiviazione e le proprietà necessarie per accedervi, ad esempio le credenziali di sicurezza.

Nota

Il supporto dei servizi Web HTTP è limitato al recupero di risorse da servizi Web HTTP arbitrari. Altre operazioni, ad esempio la scrittura di risorse, non sono supportate.

Modelli di stringa di connessione di archiviazione

Ogni tipo di archiviazione ha un formato di stringa di connessione diverso. Vedere la tabella seguente per stringa di connessione modelli per ogni tipo di archiviazione.

Tipo archivio Schema Modello URI
Archiviazione BLOB di Azure https:// https://Contenitore StorageAccountName.blob.core.windows.net/[/BlobName][CallerCredentials]
Azure Data Lake Storage Gen2 https:// https://StorageAccountName Filesystem[/PathToDirectoryOrFile][CallerCredentials].dfs.core.windows.net/
Azure Data Lake Storage Gen2 abfss:// abfss://Filesystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials]
Azure Data Lake Storage Gen1 adl:// adl://StorageAccountName.azuredatalakestore.net/ PathToDirectoryOrFile[CallerCredentials]
Amazon S3 https:// https://BucketName.s3.RegionName.amazonaws.com/ObjectKey[CallerCredentials]
Servizi Web HTTP https:// https:///Nome host PathAndQuery

Nota

Per impedire la visualizzazione dei segreti nelle tracce, usare valori letterali stringa offuscati.

Metodi di autenticazione dell'archiviazione

Per interagire con l'archiviazione esterna non pubblica, è necessario specificare i mezzi di autenticazione come parte del stringa di connessione di archiviazione esterna. Il stringa di connessione definisce la risorsa per accedere alle informazioni di autenticazione e .

Sono supportati i metodi di autenticazione seguenti:

Autenticazione supportata dal tipo di archiviazione

La tabella seguente riepiloga i metodi di autenticazione disponibili per diversi tipi di archiviazione esterni.

Metodo di autenticazione Disponibile nell'archivio BLOB? Disponibile in Azure Data Lake Storage Gen 2? Disponibile in Azure Data Lake Storage Gen 1? Disponibile in Amazon S3? Quando è consigliabile usare questo metodo?
Rappresentazione ✔️ ✔️ ✔️ Usare per i flussi partecipanti quando è necessario un controllo di accesso complesso sull'archiviazione esterna. Ad esempio, nei flussi di esportazione continua. È anche possibile limitare l'accesso alle risorse di archiviazione a livello di utente.
Identità gestita ✔️ ✔️ ✔️ Usare nei flussi automatici, in cui non è possibile derivare alcuna entità Di sicurezza Di Microsoft Entra per eseguire query e comandi. Le identità gestite sono l'unica soluzione di autenticazione.
Chiave di accesso condiviso ✔️ ✔️ I token di firma di accesso condiviso hanno una scadenza. Usare quando si accede all'archiviazione per un periodo di tempo limitato.
Token di accesso di Microsoft Entra ✔️ ✔️ ✔️ I token Microsoft Entra hanno una scadenza. Usare quando si accede all'archiviazione per un periodo di tempo limitato.
Chiave di accesso dell'account di archiviazione ✔️ ✔️ Quando è necessario accedere alle risorse in modo continuativo.
Chiavi di accesso a livello di codice di Amazon Web Services ✔️ Quando è necessario accedere alle risorse amazon S3 in modo continuativo.
URL prefirmato di Amazon Web Services S3 ✔️ Quando è necessario accedere alle risorse amazon S3 con un URL temporaneo prefirmato.

Rappresentazione

Kusto rappresenta l'identità principale del richiedente per accedere alla risorsa. Per usare la rappresentazione, aggiungere ;impersonate alla stringa di connessione.

Esempio
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate"

L'entità deve disporre delle autorizzazioni necessarie per eseguire l'operazione. Ad esempio, in Archiviazione BLOB di Azure, per leggere dal BLOB, l'entità deve avere il ruolo Lettore dati BLOB di archiviazione e per l'esportazione nel BLOB, l'entità deve avere il ruolo Collaboratore ai dati del BLOB di archiviazione. Per altre informazioni, vedere Archiviazione BLOB di Azure/Controllo di accesso di Data Lake Storage Gen2 o controllo di accesso di Data Lake Storage Gen1.

Identità gestita

Azure Esplora dati effettua richieste per conto di un'identità gestita e usa la propria identità per accedere alle risorse. Per un'identità gestita assegnata dal sistema, aggiungere ;managed_identity=system alla stringa di connessione. Per un'identità gestita assegnata dall'utente, aggiungere ;managed_identity={object_id} alla stringa di connessione.

Tipo di identità gestita Esempio
Assegnata dal sistema "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system"
Assegnata dall'utente "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab"

L'identità gestita deve disporre delle autorizzazioni necessarie per eseguire l'operazione. Ad esempio, in Archiviazione BLOB di Azure, per leggere dal BLOB l'identità gestita richiede il ruolo Lettore dati BLOB di archiviazione e per esportare nel BLOB l'identità gestita richiede il ruolo Collaboratore ai dati del BLOB di archiviazione. Per altre informazioni, vedere Archiviazione BLOB di Azure/Controllo di accesso di Data Lake Storage Gen2 o controllo di accesso di Data Lake Storage Gen1.

Nota

L'identità gestita è supportata solo in flussi di Azure Esplora dati specifici e richiede la configurazione dei criteri di identità gestiti. Per altre informazioni, vedere Panoramica delle identità gestite.

Token (SAS) di accesso condiviso

Nella portale di Azure generare un token di firma di accesso condiviso con le autorizzazioni necessarie.

Ad esempio, per leggere dalla risorsa di archiviazione esterna, specificare le autorizzazioni Lettura ed Elenco e per esportare nell'archiviazione esterna specificare le autorizzazioni di scrittura. Per altre informazioni, vedere Delegare l'accesso usando una firma di accesso condiviso.

Usare l'URL di firma di accesso condiviso come stringa di connessione.

Esempio
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd"

Token di accesso di Microsoft Entra

Per aggiungere un token di accesso Microsoft Entra codificato in base 64, aggiungere ;token={AadToken} alla stringa di connessione. Il token deve essere per la risorsa https://storage.azure.com/.

Per altre informazioni su come generare un token di accesso Di Microsoft Entra, vedere Ottenere un token di accesso per l'autorizzazione.

Esempio
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..."

Chiave di accesso dell'account di archiviazione

Per aggiungere una chiave di accesso all'account di archiviazione, aggiungere la chiave al stringa di connessione. In Archiviazione BLOB di Azure accodare ;{key} al stringa di connessione. Per Azure Data Lake Storage Gen 2, aggiungere ;sharedkey={key} alla stringa di connessione.

Account di archiviazione Esempio
Archiviazione BLOB di Azure "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...=="
Azure Data Lake Storage Gen2 "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd"

Chiavi di accesso a livello di codice di Amazon Web Services

Per aggiungere le chiavi di accesso di Amazon Web Services, aggiungere ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} alla stringa di connessione.

Esempio
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY"

URL prefirmato di Amazon Web Services S3

Usare l'URL prefirmato S3 come stringa di connessione.

Esempio
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN"

Per esempi di utilizzo delle stringa di connessione di archiviazione, vedere: