Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: ✅Microsoft Fabric✅Azure Data Explorer
De Kusto-service kan communiceren met externe opslagservices. U kunt bijvoorbeeld een externe Azure Storage-tabel maken om query's uit te voeren op gegevens die zijn opgeslagen in externe opslag.
De volgende typen externe opslagservices worden ondersteund:
- Azure Blob Storage (blok-blobs voor lezen/schrijven, toevoeg-blobs voor lezen)
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Elk type opslag heeft overeenkomstige indelingen voor verbindingsreeksen die worden gebruikt om de opslagbronnen te beschrijven en hoe u deze kunt openen. Er wordt een URI-indeling gebruikt om deze opslagbronnen en de eigenschappen te beschrijven die nodig zijn voor toegang tot deze resources, zoals beveiligingsreferenties.
Opmerking
Ondersteuning voor HTTP-webservices is beperkt tot het ophalen van resources uit willekeurige HTTP-webservices. Andere bewerkingen, zoals het schrijven van resources, worden niet ondersteund.
Sjablonen voor opslagverbindingsreeksen
Elk opslagtype heeft een andere indeling voor de verbindingsreeks. Zie de volgende tabel voor verbindingsreekssjablonen voor elk opslagtype.
| Opslagtype | Plan | URI-sjabloon |
|---|---|---|
| Azure Blob Storage (opslagdienst van Azure) | https:// |
https://
StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Azure Data Lake Storage Gen2 | https:// |
https://
StorageAccountName.dfs.core.windows.net/Bestandssysteem[/PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen2 | abfss:// |
abfss://
Bestandssysteem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen1 | adl:// |
adl://
StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://
BucketName.s3.RegionName.amazonaws.com/ObjectKey[CallerCredentials] |
| HTTP-webservices | https:// |
https://
Hostnaam/PathAndQuery |
Opmerking
Gebruik verborgen letterlijke tekenreeksen om te voorkomen dat geheimen worden weergegeven in traceringen.
Verificatiemethoden voor opslag
Als u wilt communiceren met niet-openbare externe opslag, moet u verificatiemiddelen opgeven als onderdeel van de verbindingsreeks voor externe opslag. De verbindingsreeks definieert de resource voor toegang en de bijbehorende verificatiegegevens.
De volgende verificatiemethoden worden ondersteund:
- Sas-sleutel (Shared Access)
- Microsoft Entra-toegangstoken
- Toegangssleutel voor opslagaccount
- Programmatische toegangssleutels voor Amazon Web Services
- Vooraf ondertekende URL voor Amazon Web Services S3
Ondersteunde verificatie per opslagtype
De volgende tabel bevat een overzicht van de beschikbare verificatiemethoden voor verschillende externe opslagtypen.
| Verificatiemethode | Beschikbaar in Blob Storage? | Beschikbaar in Azure Data Lake Storage Gen 2? | Beschikbaar in Azure Data Lake Storage Gen 1? | Beschikbaar in Amazon S3? | Wanneer moet u deze methode gebruiken? |
|---|---|---|---|---|---|
| Imitatie | ✔️ | ✔️ | ✔️ | ❌ | Gebruik dit voor gevolgde stromen wanneer u complexe toegangsbeheer nodig hebt over de externe opslag. Bijvoorbeeld in continue exportstromen. U kunt ook de toegang tot opslag beperken op gebruikersniveau. |
| Beheerde identiteit | ✔️ | ✔️ | ✔️ | ❌ | Gebruik deze functie in stromen zonder toezicht, waarbij geen Microsoft Entra-principal kan worden afgeleid om query's en opdrachten uit te voeren. Beheerde identiteiten zijn de enige verificatieoplossing. |
| Sas-sleutel (Shared Access) | ✔️ | ✔️ | ❌ | ❌ | SAS-tokens hebben een verlooptijd. Gebruik deze functie voor beperkte tijd bij het openen van opslag. |
| Microsoft Entra-toegangstoken | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra-tokens hebben een verlooptijd. Gebruik deze functie voor beperkte tijd bij het openen van opslag. |
| Toegangssleutel voor opslagaccount | ✔️ | ✔️ | ❌ | ❌ | Wanneer u doorlopend toegang nodig hebt tot resources. |
| Programmatische toegangssleutels voor Amazon Web Services | ❌ | ❌ | ❌ | ✔️ | Wanneer u doorlopend toegang nodig hebt tot Amazon S3-resources. |
| Vooraf ondertekende URL voor Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | Wanneer u toegang nodig hebt tot Amazon S3-resources met een tijdelijke vooraf ondertekende URL. |
Imitatie
Kusto imiteert de principal-identiteit van de aanvrager om toegang te krijgen tot de resource. Als u imitatie wilt gebruiken, voegt u deze toe ;impersonate aan de verbindingsreeks.
| Example |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
De principal moet over de benodigde machtigingen beschikken om de bewerking uit te voeren. Als u bijvoorbeeld in Azure Blob Storage wilt lezen uit de blob, heeft de principal de rol Opslagblobgegevenslezer nodig en moet de principal exporteren naar de blob. Zie Azure Blob Storage/Data Lake Storage Gen2-toegangsbeheer of Data Lake Storage Gen1-toegangsbeheer voor meer informatie.
Beheerde identiteit
Azure Data Explorer doet aanvragen namens een beheerde identiteit en gebruikt de identiteit ervan om toegang te krijgen tot resources. Voor een door het systeem toegewezen beheerde identiteit voegt u deze toe ;managed_identity=system aan de verbindingsreeks. Voor een door de gebruiker toegewezen beheerde identiteit voegt u deze toe aan ;managed_identity={object_id} de verbindingsreeks.
| Type beheerde identiteit | Example |
|---|---|
| Door het systeem toegewezen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Door de gebruiker toegewezen | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
De beheerde identiteit moet over de benodigde machtigingen beschikken om de bewerking uit te voeren. Als u bijvoorbeeld in Azure Blob Storage wilt lezen uit de blob, heeft de beheerde identiteit de rol Opslagblobgegevenslezer nodig en moet de rol Inzender voor opslagblobgegevens naar de blob worden geëxporteerd naar de blob-identiteit. Zie Azure Blob Storage/Data Lake Storage Gen2-toegangsbeheer of Data Lake Storage Gen1-toegangsbeheer voor meer informatie.
Opmerking
Beheerde identiteit wordt alleen ondersteund in specifieke Azure Data Explorer-stromen en vereist het instellen van het beheerde identiteitsbeleid. Zie het overzicht van beheerde identiteiten voor meer informatie.
SAS-token (Shared Access)
Genereer in Azure Portal een SAS-token met de vereiste machtigingen.
Als u bijvoorbeeld wilt lezen uit de externe opslag, geeft u de lees- en lijstmachtigingen op en geeft u de schrijfmachtigingen op naar de externe opslag. Zie gedelegeerdentoegang met behulp van een Shared Access Signature voor meer informatie.
Gebruik de SAS-URL als verbindingsreeks.
| Example |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra-toegangstoken
Als u een met Base 64 gecodeerd Microsoft Entra-toegangstoken wilt toevoegen, voegt u deze toe ;token={AadToken} aan de verbindingsreeks. Het token moet voor de resource https://storage.azure.com/zijn.
Zie een toegangstoken ophalen voor autorisatie voor meer informatie over het genereren van een Microsoft Entra-toegangstoken.
| Example |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Toegangssleutel voor opslagaccount
Als u een toegangssleutel voor een opslagaccount wilt toevoegen, voegt u de sleutel toe aan de verbindingsreeks. Voeg in Azure Blob Storage toe aan ;{key} de verbindingsreeks. Voeg voor Azure Data Lake Storage Gen 2 de verbindingsreeks toe ;sharedkey={key} .
| Opslagaccount | Example |
|---|---|
| Azure Blob Storage (opslagdienst van Azure) | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Programmatische toegangssleutels voor Amazon Web Services
Als u Amazon Web Services-toegangssleutels wilt toevoegen, voegt u deze toe ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} aan de verbindingsreeks.
| Example |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Vooraf ondertekende URL voor Amazon Web Services S3
Gebruik de vooraf ondertekende S3-URL als de verbindingsreeks.
| Example |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Verwante inhoud
Zie voor voorbeelden van hoe opslagverbindingsreeksen worden gebruikt: