通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Key Vault 中存储凭据

适用于: Azure 数据工厂 Azure Synapse Analytics

提示

在 Microsoft Fabric 中试用数据工厂,这是适用于企业的一次性分析解决方案。 Microsoft Fabric 涵盖从数据移动到数据科学、实时分析、商业智能和报告等所有内容。 了解如何免费 启动新试用版

可以在 Azure Key Vault 中存储数据存储和计算的凭据。 执行使用数据存储/计算的活动时,Azure 数据工厂将检索凭据。

目前,除自定义活动之外的所有活动类型都支持此功能。 具体而言,有关连接器配置,请查看 每个连接器主题 中的“链接服务属性”部分以了解详细信息。

先决条件

此功能依赖于数据工厂托管标识。 从数据工厂的托管标识了解其工作原理,并确保数据工厂具有关联的托管标识。

步骤

若要引用 Azure Key Vault 中存储的凭据,需要:

  1. 通过复制与工厂一起生成的“托管标识对象 ID”的值来检索数据工厂托管标识。 如果使用 ADF 创作 UI,托管标识对象 ID 将显示在 Azure Key Vault 链接服务创建窗口中;还可以从 Azure 门户检索它,请参阅 “检索数据工厂托管标识”。
  2. 向托管标识授予对 Azure Key Vault 的访问权限。 可以使用访问策略或访问控制权限:
    1. 访问策略 - 在密钥保管库中选择 访问策略 ->添加访问策略 -> 搜索 Azure 数据工厂托管标识,并在“机密权限”下拉列表中授予 “获取列出 ”权限。
    2. 访问控制 - 在密钥保管库中选择访问控制 (IAM) ->+ 添加 -添加角色>分配。 选择“密钥保管库机密”用户,然后选择“下一步”。 在 “成员 ”下选择 “托管标识 ”,然后选择 成员 并搜索 Azure 数据工厂托管标识。 然后选择“ 审阅 + 分配”。
  3. 创建指向 Azure Key Vault 的链接服务。 请参阅 Azure Key Vault 链接服务
  4. 创建数据存储链接服务。 在其配置中,引用 Azure Key Vault 中存储的相应机密。 请参阅引用 Azure Key Vault 中存储的机密

Azure Key Vault 链接服务

Azure Key Vault 链接服务支持以下属性:

属性 描述 必需
类型 type 属性必须设置为: AzureKeyVault
baseUrl 指定 Azure Key Vault URL。

使用创作 UI:

选择“连接”->“链接服务”->“新建”。 在“新建链接服务”中,搜索并选择“Azure Key Vault”:

搜索 Azure Key Vault

选择凭证所在的已预配的 Azure Key Vault。 可执行“测试连接”操作,确保 AKV 连接有效。

配置 Azure Key Vault

JSON 示例:

{
    "name": "AzureKeyVaultLinkedService",
    "properties": {
        "type": "AzureKeyVault",
        "typeProperties": {
            "baseUrl": "https://<azureKeyVaultName>.vault.azure.net"
        }
    }
}

引用密钥保管库中存储的机密

在引用密钥保管库机密的链接服务中配置字段时,支持以下属性:

属性 描述 必需
类型 字段的 type 属性必须设置为: AzureKeyVaultSecret
秘密名称 Azure Key Vault 中机密的名称。
秘密版本 Azure Key Vault 中机密的版本。
如果未指定,将始终使用最新版本的机密。
如果指定,然后它遵循给定的版本。
store 指用于存储凭据的 Azure Key Vault 链接服务。

使用创作 UI:

创建与数据存储/计算的连接时,为机密字段选择“Azure Key Vault”。 选择预配的 Azure Key Vault 链接服务并提供 机密名称。 也可根据需要提供机密版本。

提示

对于在链接服务(如 SQL Server、Blob 存储等)中使用连接字符串的连接器,可以选择仅存储机密字段。 例如,AKV 中的密码,或将整个连接字符串存储在 AKV 中。 可以在 UI 上找到这两个选项。

配置 Azure Key Vault 密钥

JSON 示例:(请参阅“password”部分)

{
    "name": "DynamicsLinkedService",
    "properties": {
        "type": "Dynamics",
        "typeProperties": {
            "deploymentType": "<>",
            "organizationName": "<>",
            "authenticationType": "<>",
            "username": "<>",
            "password": {
                "type": "AzureKeyVaultSecret",
                "secretName": "<secret name in AKV>",
                "store":{
                    "referenceName": "<Azure Key Vault linked service>",
                    "type": "LinkedServiceReference"
                }
            }
        }
    }
}

相关内容

有关 Azure 数据工厂中复制活动支持的作为源和接收器的数据存储的列表,请参阅 支持的数据存储