Gestionnaire de connexions de Stockage Azure

S’applique à :SQL Server SSIS Integration Runtime dans Azure Data Factory

Le gestionnaire de connexions de Stockage Azure permet à un package SQL Server Integration Services (SSIS) de se connecter à un compte de Stockage Azure. Le gestionnaire de connexions est un composant du Feature Pack SSIS (SQL Server Integration Services) pour Azure.

Dans la boîte de dialogue Ajout d’un gestionnaire de connexions SSIS, sélectionnez AzureStorage>Ajouter.

Les propriétés suivantes sont disponibles.

• Service : spécifie le service de stockage auquel se connecter.
• Account name (Nom du compte) : spécifie le nom du compte de stockage.
• Authentication (Authentification) : spécifie la méthode d’authentification à utiliser. Les authentifications AccessKey, ServicePrincipal et SharedAccessSignature sont prises en charge.
  • AccessKey : pour cette méthode d’authentification, spécifiez la clé de compte.
  • ServicePrincipal : pour cette méthode d’authentification, spécifiez l’ID d’application, la clé d’application et l’ID de locataire du principal du service. Pour que la connexion de test fonctionne, le principal de service doit disposer au moins du rôle Lecteur des données Blob du stockage pour le compte de stockage. Pour plus d’informations, consultez Octroyer l’accès aux données blob et de file d’attente Azure avec RBAC dans le Portail Azure.
  • SharedAccessSignature : pour cette méthode d’authentification, spécifiez au moins le jeton de la signature d’accès partagé. Pour tester la connexion, spécifiez en plus l’étendue de ressource à tester. Il peut s’agir de Service, Conteneur ou Objet blob. Pour Conteneur et Objet blob, spécifiez respectivement le nom du conteneur et le chemin de l’objet blob. Pour plus d’informations, consultez Vue d’ensemble de la signature d’accès partagé de Stockage Azure.
• Environment : spécifie l’environnement de cloud qui héberge le compte de stockage.

Identités managées pour l’authentification des ressources Azure

Lorsque vous exécutez des packages SSIS sur le Azure-SSIS Integration Runtime (IR) dans Azure Data Factory (ADF), vous pouvez utiliser l’authentification Microsoft Entra avec l’identité managée  /système affectée par l’utilisateur spécifiée pour que votre ADF accède à Stockage Azure. Votre Azure-SSIS IR peut accéder à votre compte de stockage et copier des données depuis ou vers celui-ci à l’aide de cette identité managée.

Pour plus d’informations sur l’authentification de Stockage Azure en général, consultez Authentifier l’accès à Stockage Azure à l’aide d’AAD. Pour utiliser l’authentification Microsoft Entra avec l’identité managée système/affectée par l’utilisateur spécifiée pour que votre ADF accède à Stockage Azure, procédez comme suit :

1. Recherchez l’identité managée système/affectée par l’utilisateur spécifiée pour votre ADF à partir du portail Azure. Accédez aux Propriétés de votre fabrique de données. Copiez l’ID d’application de l’identité managée (et non pas l’ID d’objet de l’identité managée).

2. Accordez les autorisations requises à l’identité managée système/affectée par l’utilisateur pour votre ADF pour accéder à Stockage Azure. Pour plus d’informations sur les rôles, consultez l’article Gérer les droits d’accès aux données de Stockage Azure avec RBAC.

   • En tant que source, dans le contrôle d’accès (IAM), accordez au moins le rôle Lecteur des données Blob du stockage.
   • En tant que destination, dans le contrôle d’accès (IAM), accordez au moins le rôle Contributeur aux données Blob du stockage.

Enfin, vous pouvez configurer l’authentification AAD avec l’identité managée système/affectée par l’utilisateur spécifiée pour votre ADF sur le gestionnaire de connexions de Stockage Azure. Les options disponibles sont les suivantes :

• Effectuez la configuration au moment du design. Dans le concepteur SSIS, double-cliquez sur votre gestionnaire de connexions de Stockage Azure pour ouvrir l’Éditeur du gestionnaire de connexions de Stockage Azure. Sélectionnez l’option Utiliser l’identité managée pour s’authentifier sur Azure.

  Remarque

  Actuellement, la propriété ConnectUsingManagedIdentity du gestionnaire de connexion ne prend pas effet lorsque vous exécutez votre package dans le concepteur SSIS ou sur SQL Server, ce qui indique que l’authentification Microsoft Entra avec l’identité managée de votre ADF ne fonctionne pas.

• Effectuez la configuration au moment de l’exécution. Lorsque vous exécutez votre package par le biais de SQL Server Management Studio (SSMS) ou de l’Activité Exécuter le package SSIS dans le pipeline ADF, recherchez le gestionnaire de connexions Stockage Azure et mettez à jour sa propriété ConnectUsingManagedIdentity avec la valeur True.

  Remarque

  Sur Azure-SSIS IR, toutes les autres méthodes d’authentification (par exemple, sécurité intégrée et mot de passe) préconfigurées sur votre gestionnaire de connexions Stockage Azure sont remplacées lors de l’utilisation de l’authentification AAD avec l’identité managée système/affectée par l’utilisateur spécifiée pour votre ADF.

Pour configurer l’authentification Microsoft Entra avec l’identité managée de votre ADF sur vos paquets existants, la meilleure façon est de reconstruire votre projet SSIS avec la dernière version du concepteur SSIS au moins une fois. Redéployez votre projet SSIS sur votre runtime d’intégration Azure-SSIS, afin que la nouvelle propriété du gestionnaire de connexions ConnectUsingManagedIdentity soit ajoutée automatiquement à tous les gestionnaires de connexions Stockage Azure dans votre projet. L’autre méthode consiste à utiliser directement la substitution de propriété avec le chemin de propriété \Package.Connections[{nom de votre gestionnaire de connexions}].Properties[ConnectUsingManagedIdentity] affecté à True au moment de l’exécution.

Sécuriser le trafic réseau vers votre compte de stockage

Lorsque vous utilisez l’authentification Microsoft Entra avec l’identité managée de votre ADF, il est possible de joindre votre Azure-SSIS Integration Runtime à un réseau virtuel, puis de sécuriser votre compte de stockage en limitant l’accès aux réseaux sélectionnés ou au point de terminaison privé. Pour obtenir des instructions, reportez-vous à l’article Gestion des exceptions.

Voir aussi

• Connexions Integration Services (SSIS)