在管道活动中使用 Azure Key Vault 机密

适用于:Azure 数据工厂 Azure Synapse Analytics

提示

试用 Microsoft Fabric 中的数据工厂,这是一种适用于企业的一站式分析解决方案。 Microsoft Fabric 涵盖从数据移动到数据科学、实时分析、商业智能和报告的所有内容。 了解如何免费开始新的试用

可以在 Azure Key Vault 中存储凭据或机密值,并在管道执行过程中使用它们来传递到活动。

先决条件

此功能依赖于数据工厂托管标识。 从数据工厂的托管标识了解其工作原理,并确保数据工厂具有一个关联的托管标识。

步骤

  1. 打开数据工厂的属性,然后复制“托管标识应用程序 ID”值。

    托管标识值

  2. 打开密钥保管库访问策略,并添加托管标识权限以获取和列出机密。

    屏幕截图显示了“访问策略”页,其中突出显示了“添加访问策略”操作。

    Key Vault 访问策略

    单击“添加”,再单击“保存”。

  3. 导航到 Key Vault 机密并复制机密标识符。

    机密标识符

    记下要在数据工厂管道运行期间获取的机密 URI。

    注意

    机密 URI 的结构如此所示:{vaultBaseUrl}/secrets/{secret-name}/{secret-version}。 机密版本是可选的;如果未指定,则返回最新版本。 在管道中指定机密 URI 通常不需要指定特定版本,以便管道始终使用最新版本的机密。

  4. 在数据工厂管道中,添加新的 Web 活动,并按如下所示对其进行配置。

    属性
    安全输出 正确
    URL [Your secret URI value]?api-version=7.0
    方法 GET
    身份验证 系统分配的托管标识
    资源 https://vault.azure.cn

    Web 活动

    重要

    必须将“?api version=7.0” 添加到机密 URI 的末尾。

    注意

    将“安全输出”选项设置为 true,以防止机密值以纯文本格式记录。 使用此值的任何其他活动都应将其“安全输入”选项设置为 true。

  5. 若要使用另一个活动中的值,请使用以下代码表达式“@activity('Web1').output.value”。

    代码表达式

若要了解如何使用 Azure Key Vault 存储数据存储和计算的凭据,请参阅 在 Azure Key Vault 中存储凭据