Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR:
Azure Data Factory Azure Synapse Analytics
Tipp
Testen Sie Data Factory in Microsoft Fabric, eine All-in-One-Analyselösung für Unternehmen. Microsoft Fabric deckt alle Aufgaben ab, von der Datenverschiebung bis hin zu Data Science, Echtzeitanalysen, Business Intelligence und Berichterstellung. Erfahren Sie, wie Sie kostenlos eine neue Testversion starten!
Ein wichtiges Sicherheitsziel von Organisationen besteht darin, ihre Datenspeicher vor zufälligem Zugriff über das Internet zu schützen – unabhängig davon, ob es sich um einen lokalen oder einen Cloud-/SaaS-Datenspeicher handelt.
Normalerweise steuert ein Clouddatenspeicher den Zugriff mithilfe der folgenden Mechanismen:
- Privater Link von einem virtuellen Netzwerk zu Datenquellen mit aktiviertem privaten Endpunkt.
- Firewallregeln, die die Konnektivität nach IP-Adresse einschränken
- Authentifizierungsmechanismen, bei denen Benutzer ihre Identität nachweisen müssen
- Autorisierungsmechanismen, die Benutzer auf bestimmte Aktionen und Daten einschränken
Tipp
Mit der Einführung des statischen IP-Adressbereichs können Sie jetzt IP-Bereiche für die jeweilige Azure-Integrations-Runtime-Region freigeben. Dadurch wird sichergestellt, dass Sie nicht alle Azure-IP-Adressen in Ihren Cloud-Datenspeichern zulassen müssen. Auf diese Weise können Sie die IP-Adressen einschränken, denen der Zugriff auf die Datenspeicher gestattet wird.
Hinweis
Die IP-Adressbereiche werden für Azure Integration Runtime blockiert und werden derzeit nur für Datenbewegungen, Pipeline- und externe Aktivitäten verwendet. Dataflows und Azure Integration Runtime, die verwaltetes virtuelles Netzwerk aktivieren, verwenden jetzt diese IP-Bereiche nicht.
Dies sollte in vielen Szenarien funktionieren, und wir verstehen, dass eine eindeutige statische IP-Adresse pro Integration Runtime wünschenswert wäre. Dies wäre aber bei der derzeitigen Verwendung von Azure Integration Runtime nicht möglich, weil es serverlos ist. Bei Bedarf können Sie eine selbstgehostete Integration Runtime jederzeit einrichten und dabei Ihre statische IP-Adresse verwenden.
Datenzugriffsstrategien für Azure Data Factory
- Private Verknüpfung – Sie können eine Azure Integration Runtime innerhalb von azure Data Factory Managed Virtual Network erstellen und private Endpunkte nutzen, um eine sichere Verbindung mit unterstützten Datenspeichern herzustellen. Der Datenverkehr zwischen dem verwalteten virtuellen Netzwerk und den Datenquellen läuft über das Microsoft-Backbone-Netzwerk und wird dem öffentlichen Netzwerk nicht ausgesetzt.
- Vertrauenswürdiger Dienst – Azure Storage (Blob, ADLS Gen2) und Azure Key Vault unterstützen Firewallkonfiguration, mit der vertrauenswürdige Azure-Plattformdienste sicher darauf zugreifen können. Vertrauenswürdige Dienste erzwingen die Authentifizierung der verwalteten Identität. Dadurch wird sichergestellt, dass keine andere Data Factory eine Verbindung mit diesem Speicher herstellen kann. Eine Ausnahme besteht nur dann, wenn dies über die verwaltete Identität genehmigt wurde.
Hinweis
Die folgenden Szenarien befinden sich nicht in der Liste der vertrauenswürdigen Dienste:
- Verwenden einer selbst gehosteten Integrationslaufzeit oder SSIS-Integrationslaufzeit
- Verwenden eines der folgenden Aktivitätstypen: > - Webhook > – Benutzerdefiniert > – Azure-Funktion
- Verwenden eines der folgenden Connectors: > - AzureBatch > - AzureFunction > - AzureFile > - OData
- Eindeutige statische IP - Sie müssen eine selbst gehostete Integrationslaufzeit einrichten, um eine statische IP für Data Factory-Connectors zu erhalten. Durch diesen Mechanismus wird sichergestellt, dass Sie den Zugriff von allen anderen IP-Adressen blockieren können.
- Statischer IP-Bereich – Sie können die IP-Adressen der Azure Integration Runtime verwenden, um sie in Ihrem Speicher zuzulassen (z. B. S3, Salesforce usw.). Er schränkt IP-Adressen, die eine Verbindung mit den Datenspeichern herstellen können, sicherlich ein, basiert aber auch auf Authentifizierungs-/Autorisierungsregeln.
- Diensttag – Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts (wie Azure Data Factory) dar. Microsoft verwaltet die Adresspräfixe, die vom Diensttag umfasst werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern. Dadurch wird die Komplexität häufiger Updates von Netzwerksicherheitsregeln minimiert. Es ist nützlich, wenn der Datenzugriff auf iaaS gehostete Datenspeicher im virtuellen Netzwerk gefiltert wird.
- Azure-Dienste zulassen – Einige Dienste ermöglichen es Ihnen, die Verbindung aller Azure-Dienste damit zuzulassen, falls Sie diese Option auswählen.
Weitere Informationen zu unterstützten Netzwerksicherheitsmechanismen für Datenspeicher in Azure Integration Runtime und selbstgehosteter Integration Runtime finden Sie in den nachstehenden zwei Tabellen.
Azure Integration Runtime
Datenspeicher Unterstützter Netzwerksicherheitsmechanismus für Datenspeicher Privater Link Vertrauenswürdiger Dienst Statischer IP-Adressbereich Diensttags Azure-Dienste zulassen Azure PaaS-Datenspeicher Azure Cosmos DB (ein Microsoft-Datenbankdienst) Ja - Ja - Ja Azure-Daten-Explorer - - Ja* Ja* - Azure Data Lake Gen1 - - Ja - Ja Azure-Datenbank für MariaDB, MySQL, PostgreSQL - - Ja - Ja Azure Files Ja - Ja - . Azure Blob Storage und ADLS Gen2 Ja Ja (nur MSI-Authentifizierung) Ja - . Azure SQL DB, Azure Synapse Analytics), SQL ML Ja (nur Azure SQL DB/DW) - Ja - Ja Azure Key Vault (zum Abrufen von Geheimnissen/Verbindungszeichenfolge) ja Ja Ja - - Andere PaaS-/SaaS-Datenspeicher AWS S3, SalesForce, Google Cloud Storage, usw. - - Ja - - Schneeflocke Ja - Ja - - Azure IaaS SQL Server, Oracle usw. - - Ja Ja - Lokale IaaS SQL Server, Oracle usw. - - Ja - - *Gilt nur, wenn Azure Data Explorer in das virtuelle Netzwerk eingefügt wird und der IP-Adressbereich auf NSG/Firewall angewendet werden kann.
Selbstgehostete Integration Runtime (im Virtuellen Netzwerk/vor Ort)
Datenspeicher Unterstützter Netzwerksicherheitsmechanismus für Datenspeicher Statische IP Vertrauenswürdige Dienste Azure PaaS-Datenspeicher Azure Cosmos DB (ein Microsoft-Datenbankdienst) Ja - Azure-Daten-Explorer - - Azure Data Lake Gen1 Ja - Azure-Datenbank für MariaDB, MySQL, PostgreSQL Ja - Azure Files Ja - Azure Blob Storage und ADLS Gen2 Ja - Azure SQL DB, Azure Synapse Analytics), SQL ML Ja - Azure Key Vault (zum Abrufen von Geheimnissen/Verbindungszeichenfolge) Ja - Andere PaaS-/SaaS-Datenspeicher AWS S3, SalesForce, Google Cloud Storage, usw. Ja - Azure laaS SQL Server, Oracle usw. Ja - Lokale IaaS SQL Server, Oracle usw. Ja -
Zugehöriger Inhalt
Weitere Informationen finden Sie in den folgenden verwandten Artikeln: