Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
Azure Data Factory Azure Synapse Analytics
Tipp
Data Factory in Microsoft Fabric ist die nächste Generation von Azure Data Factory mit einer einfacheren Architektur, integrierter KI und neuen Features. Wenn Sie mit der Datenintegration noch nicht vertraut sind, beginnen Sie mit Fabric Data Factory. Vorhandene ADF-Workloads können auf Fabric aktualisiert werden, um auf neue Funktionen in der Datenwissenschaft, Echtzeitanalysen und Berichterstellung zuzugreifen.
Ein wichtiges Sicherheitsziel von Organisationen besteht darin, ihre Datenspeicher vor zufälligem Zugriff über das Internet zu schützen – unabhängig davon, ob es sich um einen lokalen oder einen Cloud-/SaaS-Datenspeicher handelt.
Normalerweise steuert ein Clouddatenspeicher den Zugriff mithilfe der folgenden Mechanismen:
- Privater Link aus einem virtuellen Netzwerk zu Datenquellen, die für den privaten Endpunkt aktiviert sind
- Firewallregeln, die die Konnektivität nach IP-Adresse einschränken
- Authentifizierungsmechanismen, bei denen Benutzer ihre Identität nachweisen müssen
- Autorisierungsmechanismen, die Benutzer auf bestimmte Aktionen und Daten einschränken
Tipp
Mit der Einführung des statischen IP-Adressbereichs können Sie jetzt IP-Bereiche für die jeweilige Azure-Integrationslaufzeitregion zulassen, damit Sie nicht alle Azure-IP-Adressen in Ihren Cloud-Datenspeichern zulassen müssen. Auf diese Weise können Sie die IP-Adressen einschränken, denen der Zugriff auf die Datenspeicher gestattet wird.
Hinweis
Die IP-Adressbereiche werden für Azure Integration Runtime blockiert und werden derzeit nur für Datenbewegungen, Pipeline- und externe Aktivitäten verwendet. Datenflüsse und Azure Integration Runtime, die verwaltete Virtual Network aktivieren, verwenden diese IP-Bereiche jetzt nicht.
Dies sollte in vielen Szenarien funktionieren, und wir wissen, dass eine eindeutige statische IP-Adresse pro Integration Runtime wünschenswert wäre, aber dies wäre mit der derzeitigen serverlosen Funktionalität von Azure Integration Runtime nicht möglich. Bei Bedarf können Sie jederzeit eine selbst gehostete Integration Runtime einrichten und Ihre statische IP mit ihr verwenden.
Strategien für den Datenzugriff über Azure Data Factory
- Private Link – Sie können eine Azure Integration Runtime in Azure Data Factory verwalteten Virtual Network erstellen und private Endpunkte nutzen, um eine sichere Verbindung mit unterstützten Datenspeichern herzustellen. Der Datenverkehr zwischen dem verwalteten Virtual Network und den Datenquellen verläuft über das Microsoft Backbone-Netzwerk und ist dem öffentlichen Netzwerk nicht ausgesetzt.
- Trusted Service – Azure Storage (Blob, ADLS Gen2) und Azure Key Vault unterstützen die Firewallkonfiguration, die es ausgewählten vertrauenswürdigen Azure-Plattformdiensten ermöglicht, sicher darauf zuzugreifen. Vertrauenswürdige Dienste erzwingen die Authentifizierung der verwalteten Identität. Dadurch wird sichergestellt, dass keine andere Data Factory eine Verbindung mit diesem Speicher herstellen kann. Eine Ausnahme besteht nur dann, wenn dies über die verwaltete Identität genehmigt wurde.
Hinweis
Die folgenden Szenarien befinden sich nicht in der Liste der vertrauenswürdigen Dienste:
- Verwenden einer selbst gehosteten Integrationslaufzeit oder SSIS-Integrationslaufzeit
- Verwenden eines der folgenden Aktivitätstypen: > - Webhook > - Benutzerdefiniert > - Azure Function
- Verwenden eines der folgenden Connectors: > - AzureBatch > - AzureFunction > - AzureFile > - OData
Hinweis
Netzwerkregeln für Ressourceninstanzen für Azure Storage werden von der vom Benutzer verwalteten Umgebung wie selbst gehostete Integrationslaufzeit und SSIS-Integrationslaufzeit, nicht unterstützt.
- Eindeutige statische IP - Sie müssen eine selbst gehostete Integrationslaufzeit einrichten, um eine statische IP für Data Factory-Connectors zu erhalten. Durch diesen Mechanismus wird sichergestellt, dass Sie den Zugriff von allen anderen IP-Adressen blockieren können.
- Statischer IP-Adressbereich – Sie können die IP-Adressen der Azure Integration Runtime verwenden, um deren Auflistung in Ihrem Speicher (z B. S3, Salesforce usw.) zuzulassen. Er schränkt IP-Adressen, die eine Verbindung mit den Datenspeichern herstellen können, sicherlich ein, basiert aber auch auf Authentifizierungs-/Autorisierungsregeln.
- Service Tag – Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure Dienst dar (z. B. Azure Data Factory). Microsoft verwaltet die vom Dienst-Tag erfassten Adresspräfixe und aktualisiert den Dienst-Tag automatisch, wenn sich Adressen ändern, und minimiert damit die Komplexität häufiger Updates der Netzwerksicherheitsregeln. Es ist nützlich beim Filtern des Datenzugriffs auf IaaS-gehostete Datenspeicher in einem virtuellen Netzwerk.
- Allow Azure Services – Einige Dienste bieten Ihnen die Möglichkeit, alle Azure-Dienste zuzulassen, falls Sie diese Option auswählen.
Weitere Informationen zu unterstützten Netzwerksicherheitsmechanismen für Datenspeicher in Azure Integration Runtime und selbst gehosteten Integration Runtime finden Sie in den folgenden zwei Tabellen.
Azure Integration Runtime
Datenspeicher Unterstützter Netzwerksicherheitsmechanismus für Datenspeicher Privater Link Vertrauenswürdiger Dienst Statischer IP-Adressbereich Diensttags Azure-Dienste zulassen Azure PaaS-Datenspeicher Azure Cosmos DB Ja - Ja - Ja Azure Data Explorer - - Ja* Ja* - Azure Data Lake Gen1 - - Ja - Ja Azure Database for MariaDB, MySQL, PostgreSQL - - Ja - Ja Azure Files Ja - Ja - . Azure Blob-Speicher und ADLS Gen2 Ja Ja (nur MSI-Authentifizierung) Ja - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja (nur Azure SQL DB/DW) - Ja - Ja Azure Key Vault (zum Abrufen von geheimen Schlüsseln/Verbindungszeichenfolge) ja Ja Ja - - Andere PaaS-/SaaS-Datenspeicher AWS S3, SalesForce, Google Cloud Storage, usw. - - Ja - - Schneeflocke Ja - Ja - - Azure IaaS SQL Server, Oracle usw. - - Ja Ja - Lokale IaaS SQL Server, Oracle usw. - - Ja - - * Gilt nur, wenn Azure Data Explorer in ein virtuelles Netzwerk eingebunden ist und der IP-Bereich auf NSG/Firewall angewendet werden kann.
Self-hosted Integration Runtime (in VNet/lokale Umgebung)
Datenspeicher Unterstützter Netzwerksicherheitsmechanismus für Datenspeicher Statische IP Vertrauenswürdige Dienste Azure PaaS-Datenspeicher Azure Cosmos DB Ja - Azure Data Explorer - - Azure Data Lake Gen1 Ja - Azure Database for MariaDB, MySQL, PostgreSQL Ja - Azure Files Ja - Azure Blob-Speicher und ADLS Gen2 Ja - Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja - Azure Key Vault (zum Abrufen von geheimen Schlüsseln/Verbindungszeichenfolge) Ja - Andere PaaS-/SaaS-Datenspeicher AWS S3, SalesForce, Google Cloud Storage, usw. Ja - Azure laaS SQL Server, Oracle usw. Ja - Lokale IaaS SQL Server, Oracle usw. Ja -
Zugehöriger Inhalt
Weitere Informationen finden Sie in den folgenden verwandten Artikeln: