Compartilhar via


Armazenar credenciais no Azure Key Vault

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Dica

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange desde movimentação de dados até ciência de dados, análise em tempo real, business intelligence e relatórios. Saiba como iniciar uma avaliação gratuita!

Você pode armazenar credenciais para armazenamentos de dados e computar em um Azure Key Vault. O Azure Data Factory recupera as credenciais ao executar uma atividade que usa o armazenamento de dados/computação.

No momento, todos os tipos de atividade, exceto a atividade personalizada suportam esse recurso. Para configuração de conector especificamente, verifique a seção "propriedades do serviço vinculadas" em cada tópico conector para obter detalhes.

Pré-requisitos

Esse recurso depende da identidade gerenciada do data factory. Saiba como ela funciona em Identidade gerenciada para Data Factory e verifique se uma está associada ao seu data factory.

Etapas

Para referenciar uma credencial armazenada no Azure Key Vault, você precisa:

  1. Recuperar a identidade gerenciada do data factory copiando o valor de ID do objeto de identidade gerenciada gerado junto com seu alocador. Se você usar a IU de criação do ADF, a ID do objeto de identidade gerenciada será exibida na janela de criação de serviço vinculado do Azure Key Vault; você também poderá recuperá-lo no portal do Azure, consulte Recuperar a identidade do serviço de data factory.
  2. Conceder à identidade gerenciada acesso ao seu Azure Key Vault. No cofre de chaves -> Políticas de acesso -> Adicionar política de acesso, pesquise esta identidade gerenciada para conceder as permissões Get e List na lista suspensa Permissões secretas. Isso permite que esse factory específico acesse o segredo no cofre de chaves.
  3. Criar um serviço vinculado que aponte para seu Azure Key Vault. Consulte Serviço vinculado do Azure Key Vault.
  4. Crie o serviço vinculado do armazenamento de dados. Em sua configuração, faça referência ao segredo correspondente armazenado no Azure Key Vault. Consulte Como referenciar um segredo armazenado no Azure Key Vault.

Serviço vinculado do Azure Key Vault

As propriedades a seguir têm suporte no serviço vinculado do Azure Key Vault:

Propriedade Descrição Obrigatório
type A propriedade type deve ser definida como: AzureKeyVault. Sim
baseUrl Especifique a URL (nome DNS) do Azure Key Vault. Sim

Usando a criação da interface do usuário:

Selecione conexões ->Serviços vinculados ->novo. Em Novo serviço vinculado, pesquise e selecione "Azure Key Vault":

Pesquisar Azure Key Vault

Selecione o Azure Key Vault provisionado onde as credenciais são armazenadas. Você pode fazer uma Conexão de teste para garantir que sua conexão AKV seja válida.

Configurar o Azure Key Vault

Exemplo de JSON:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

Fazer referência a segredo armazenado no cofre de chaves

As propriedades a seguir têm suporte quando você configura um campo no serviço vinculado, referenciando um segredo do cofre de chaves:

Propriedade Descrição Obrigatório
type A propriedade type do campo deve ser definida como: AzureKeyVaultSecret. Sim
secretName O nome do segredo no Azure Key Vault. Sim
secretVersion A versão do segredo no Azure Key Vault.
Se não for especificada, a versão mais recente do segredo será sempre usada.
Se especificada, a versão especificada será sempre usada.
Não
store Refere-se a um serviço vinculado do Azure Key Vault que você usa para armazenar a credencial. Sim

Usando a criação da interface do usuário:

Selecione Azure Key Vault para os campos secretos ao criar a conexão para seu armazenamento de dados/computação. Selecione o serviço vinculado do Azure Key Vault provisionados e forneça o Nome secreto. Opcionalmente, você pode fornecer uma versão do segredo também.

Dica

Para conectores que usam a cadeia de conexão no serviço vinculado, como SQL Server, Armazenamento de Blobs etc., você pode optar por armazenar apenas o campo secreto, por exemplo, a senha no AKV ou armazenar toda a cadeia de conexão no AKV. Você pode encontrar ambas as opções na interface do usuário.

Configurar o segredo do Azure Key Vault

Exemplo de JSON: (consulte a seção "senha")

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

Para obter uma lista de armazenamentos de dados com suporte como origens e coletores pela atividade de cópia no Azure Data Factory, consulte Armazenamentos de dados com suporte.