适用于:
Azure 数据工厂 Azure Synapse Analytics
先决条件
用户必须具有托管标识操作员(Azure RBAC)角色或具有Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action RBAC 操作的自定义角色,以配置用户分配的托管标识为凭据。 在 Synapse 中创建和使用凭据需要额外的 RBAC。 了解详细信息。
使用凭据
我们引入了凭据,其中包含用户分配的托管标识、服务主体,还列出了可在支持Microsoft Entra身份验证的链接服务中使用的系统分配的托管标识。 它可帮助你合并和管理所有基于Microsoft Entra ID的凭据。
以下是在链接服务中使用用户分配的托管标识进行身份验证的一般步骤。
如果没有在 Azure 中创建用户分配的托管标识,请先在 Azure 门户Managed Identities 页中创建一个托管标识。
使用Azure门户、SDK、PowerShell、REST API 将用户分配的托管标识关联到数据工厂实例。 以下屏幕截图使用了Azure门户网站(数据工厂边栏选项卡)来关联用户分配的托管标识。
在数据工厂用户界面中以互动方式创建“凭据”。 可以在步骤 1 中选择与数据工厂关联的用户分配的托管标识。
创建一个新的链接服务,并在“身份验证”下选择“用户分配的托管标识”
使用脚本管理凭据
可以将 SDK、 PowerShell 和 REST API 用于上述作。 在 此示例 中,提供了一个创建用户分配的托管标识并将其权限分配给资源的 Bicep/ARM 示例。 Synapse Spark 当前不支持具有用户分配的托管标识的链接服务。
相关内容
请参阅以下主题,其中介绍了使用托管标识的场景和方式:
- 在 Azure 密钥保管库 中存储凭据
- 使用托管标识进行Azure资源的身份验证,从Azure Data Lake Storage复制数据或将数据复制到Azure Data Lake Storage。
请参阅 Azure 资源托管标识概述,以了解 Azure 资源的托管标识的更多背景信息,数据工厂托管标识就是基于这些标识。