Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: ✅Microsoft Fabric✅Azure Data Explorer
Kusto-tjänsten kan interagera med externa lagringstjänster. Du kan till exempel skapa en extern Azure Storage-tabeller för att köra frågor mot data som lagras på externa lagringsenheter.
Följande typer av externa lagringstjänster stöds:
- Azure Blob Storage (blockblobar för läsning/skrivning, tilläggsblobar för läsning)
- Azure Data Lake Storage Gen2
- Azure Data Lake Storage Gen1
- Amazon S3
Varje typ av lagring har motsvarande format för anslutningssträngar som används för att beskriva lagringsresurserna och hur du kommer åt dem. Ett URI-format används för att beskriva dessa lagringsresurser och de egenskaper som krävs för att komma åt dem, till exempel säkerhetsautentiseringsuppgifter.
Anmärkning
STÖD för HTTP-webbtjänster är begränsat till att hämta resurser från godtyckliga HTTP-webbtjänster. Andra åtgärder, till exempel att skriva resurser, stöds inte.
Mallar för lagringsanslutningssträngar
Varje lagringstyp har olika format för anslutningssträngar. Se följande tabell för anslutningssträngsmallar för varje lagringstyp.
| Lagringstyp | Schema | URI-mall |
|---|---|---|
| Azure Blob Storage-lagringstjänst | https:// |
https://
StorageAccountName.blob.core.windows.net/Container[/BlobName][CallerCredentials] |
| Azure Data Lake Storage Gen2 | https:// |
https://
StorageAccountName.dfs.core.windows.net/Filesystem[/PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen2 | abfss:// |
abfss://
Filsystem@StorageAccountName.dfs.core.windows.net/[PathToDirectoryOrFile][CallerCredentials] |
| Azure Data Lake Storage Gen1 | adl:// |
adl://
StorageAccountName.azuredatalakestore.net/PathToDirectoryOrFile[CallerCredentials] |
| Amazon S3 | https:// |
https://
BucketName.s3.RegionName.amazonaws.com/ObjectKey[CallerCredentials] |
| HTTP-webbtjänster | https:// |
https://
Värdnamn/PathAndQuery |
Anmärkning
Om du vill förhindra att hemligheter visas i spårningar använder du dolda strängliteraler.
Metoder för lagringsautentisering
Om du vill interagera med icke-offentlig extern lagring måste du ange autentiseringsmedel som en del av den externa lagringsanslutningssträngen. Anslutningssträngen definierar resursen för åtkomst och dess autentiseringsinformation.
Följande autentiseringsmetoder stöds:
- Sas-nyckel (delad åtkomst)
- Microsoft Entra-åtkomsttoken
- Åtkomstnyckel för lagringskonto
- Amazon Web Services Programmatic Access Keys
- Försignerad URL för Amazon Web Services S3
Autentisering som stöds efter lagringstyp
I följande tabell sammanfattas de tillgängliga autentiseringsmetoderna för olika externa lagringstyper.
| Autentiseringsmetod | Är du tillgänglig i Blob Storage? | Är du tillgänglig i Azure Data Lake Storage Gen 2? | Är du tillgänglig i Azure Data Lake Storage Gen 1? | Finns du i Amazon S3? | När ska du använda den här metoden? |
|---|---|---|---|---|---|
| Personifiering | ✔️ | ✔️ | ✔️ | ❌ | Använd för övervakade flöden när du behöver komplex åtkomstkontroll över den externa lagringen. Till exempel i kontinuerliga exportflöden. Du kan också begränsa lagringsåtkomsten på användarnivå. |
| Hanterad identitet | ✔️ | ✔️ | ✔️ | ❌ | Använd i obevakade flöden, där inget Microsoft Entra-huvudnamn kan härledas för att köra frågor och kommandon. Hanterade identiteter är den enda autentiseringslösningen. |
| Sas-nyckel (delad åtkomst) | ✔️ | ✔️ | ❌ | ❌ | SAS-token har en förfallotid. Använd vid åtkomst till lagring under en begränsad tid. |
| Microsoft Entra-åtkomsttoken | ✔️ | ✔️ | ✔️ | ❌ | Microsoft Entra-token har en förfallotid. Använd vid åtkomst till lagring under en begränsad tid. |
| Åtkomstnyckel för lagringskonto | ✔️ | ✔️ | ❌ | ❌ | När du behöver komma åt resurser kontinuerligt. |
| Amazon Web Services Programmatic Access Keys | ❌ | ❌ | ❌ | ✔️ | När du behöver komma åt Amazon S3-resurser kontinuerligt. |
| Försignerad URL för Amazon Web Services S3 | ❌ | ❌ | ❌ | ✔️ | När du behöver komma åt Amazon S3-resurser med en temporär försignerad URL. |
Förfalskning
Kusto personifierar beställarens huvudidentitet för att få åtkomst till resursen. Om du vill använda personifiering lägger du till ;impersonate i anslutningssträngen.
| Example |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;impersonate" |
Huvudkontot måste ha de behörigheter som krävs för att utföra åtgärden. Till exempel i Azure Blob Storage, för att kunna läsa från bloben behöver huvudkontot rollen Storage Blob Data Reader och för att exportera till bloben behöver huvudkontot rollen Storage Blob Data Contributor. Mer information finns i Åtkomstkontroll för Azure Blob Storage/Data Lake Storage Gen2 eller Data Lake Storage Gen1-åtkomstkontroll.
Hanterad identitet
Azure Data Explorer gör begäranden för en hanterad identitet och använder sin identitet för att komma åt resurser. För en systemtilldelad hanterad ;managed_identity=system identitet lägger du till i anslutningssträngen. För en användartilldelad hanterad ;managed_identity={object_id} identitet lägger du till i anslutningssträngen.
| Hanterad identitetstyp | Example |
|---|---|
| Systemtilldelad | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=system" |
| Användartilldelad | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;managed_identity=12345678-1234-1234-1234-1234567890ab" |
Den hanterade identiteten måste ha de behörigheter som krävs för att utföra åtgärden. Om du till exempel vill läsa från blobben i Azure Blob Storage behöver den hanterade identiteten rollen Storage Blob Data Reader och för att exportera till blobben behöver den hanterade identiteten rollen Storage Blob Data Contributor. Mer information finns i Åtkomstkontroll för Azure Blob Storage/Data Lake Storage Gen2 eller Data Lake Storage Gen1-åtkomstkontroll.
Anmärkning
Hanterad identitet stöds endast i specifika Azure Data Explorer-flöden och kräver att den hanterade identitetsprincipen konfigureras. Mer information finns i Översikt över hanterade identiteter.
SAS-token (Shared Access)
I Azure-portalen genererar du en SAS-token med de behörigheter som krävs.
Om du till exempel vill läsa från den externa lagringen anger du läs- och listbehörigheterna och för att exportera till den externa lagringen anger du skrivbehörigheterna. Mer information finns i Delegera åtkomst med hjälp av en signatur för delad åtkomst.
Använd SAS-URL:en som anslutningssträng.
| Example |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv?sv=...&sp=rwd" |
Microsoft Entra-åtkomsttoken
Om du vill lägga till en base-64-kodad Microsoft Entra-åtkomsttoken lägger du ;token={AadToken} till i anslutningssträngen. Token måste vara för resursen https://storage.azure.com/.
Mer information om hur du genererar en Microsoft Entra-åtkomsttoken finns i hämta en åtkomsttoken för auktorisering.
| Example |
|---|
"https://fabrikam.blob.core.windows.net/container/path/to/file.csv;token=1234567890abcdef1234567890abcdef1234567890abc..." |
Åtkomstnyckel för lagringskonto
Om du vill lägga till en åtkomstnyckel för lagringskonto lägger du till nyckeln i anslutningssträngen. I Azure Blob Storage lägger du till ;{key} i anslutningssträngen. För Azure Data Lake Storage Gen 2 lägger du ;sharedkey={key} till i anslutningssträngen.
| Lagringskonto | Example |
|---|---|
| Azure Blob Storage-lagringstjänst | "https://fabrikam.blob.core.windows.net/container/path/to/file.csv;ljkAkl...==" |
| Azure Data Lake Storage Gen2 | "abfss://fs@fabrikam.dfs.core.windows.net/path/to/file.csv;sharedkey=sv=...&sp=rwd" |
Amazon Web Services programmatiska åtkomstnycklar
Lägg till anslutningssträngen för att lägga till Åtkomstnycklar ;AwsCredentials={ACCESS_KEY_ID},{SECRET_ACCESS_KEY} för Amazon Web Services.
| Example |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/path/to/file.csv;AwsCredentials=AWS1234567890EXAMPLE,1234567890abc/1234567/12345678EXAMPLEKEY" |
Försignerad URL för Amazon Web Services S3
Använd den försignerade S3-URL:en som anslutningssträng.
| Example |
|---|
"https://yourbucketname.s3.us-east-1.amazonaws.com/file.csv?12345678PRESIGNEDTOKEN" |
Relaterat innehåll
Exempel på hur lagringsanslutningssträngar används finns i: