مشاركة عبر

منح أذونات للهوية المُدارة لمساحة العمل

  • مقالة

تعلمك هذه المقالة كيفية منح الأذونات للهوية المدارة في مساحة عمل Azure synapse. تسمح الأذونات بدورها بالوصول إلى تجمعات SQL المخصصة في مساحة العمل وحساب تخزين ADLS Gen2 من خلال مدخل Microsoft Azure.

إشعار

سيُشار إلى هوية مساحة العمل المدارة هذه بالهوية المدارة طوال بقية هذا المستند.

منح أذونات الهوية المُدارة لحساب تخزين ADLS Gen2

مطلوب حساب تخزين ADLS Gen2 لإنشاء مساحة عمل Azure Synapse. لبدء تشغيل تجمعات Spark بنجاح في مساحة عمل Azure Synapse، تحتاج الهوية المُدارة Azure Synapse إلى دور مساهم بيانات Storage Blob في حساب التخزين هذا. يستفيد تزامن مسارات التدفق في Azure Synapse أيضاً من هذا الدور.

منح أذونات للهوية المدارة أثناء إنشاء مساحة العمل

سيحاول Azure Synapse منح دور "مساهم بيانات Blob التخزين" للهوية المدارة بعد إنشاء مساحة عمل Azure Synapse باستخدام مدخل Microsoft Azure. أنت تقدم تفاصيل حساب تخزين ADLS Gen2 في علامة التبويب Basics.

لقطة شاشة لعلامة التبويب

اختر حساب تخزين ADLS Gen2 ونظام الملفات في Account name وFile system name.

لقطة شاشة لتوفير تفاصيل حساب تخزين ADLS Gen2.

إذا كان منشئ مساحة العمل هو أيضاً مالك حساب تخزين ADLS Gen2، فسيقوم Azure Synapse بتعيين دور Storage Blob Data Contributor للهوية المدارة. سترى الرسالة التالية أسفل تفاصيل حساب التخزين التي أدخلتها.

لقطة شاشة لتعيين ناجح لمساهم بيانات storage blob.

إذا لم يكن منشئ مساحة العمل هو مالك حساب تخزين ADLS Gen2، فلن يقوم Azure Synapse بتعيين دور Storage Blob Data Contributor للهوية المدارة. تُعلم الرسالة التي تظهر أسفل تفاصيل حساب التخزين منشئ مساحة العمل بأنه ليس لديه أذونات كافية لمنح دور Storage Blob Data Contributor للهوية المُدارة.

لقطة شاشة لتعيين مساهم بيانات storage blob غير ناجح، مع تمييز مربع الخطأ.

كما تنص الرسالة، لا يمكنك إنشاء تجمعات Spark إلا إذا تم تعيين Storage Blob Data Contributor للهوية المُدارة.

منح أذونات للهوية المدارة بعد إنشاء مساحة العمل

أثناء إنشاء مساحة العمل، إذا لم تقم بتعيين مساهم بيانات تخزين البيانات الثنائية الكبيرة للهوية المدارة، فإن مالك حساب تخزين ADLS Gen2 يعين هذا الدور يدوياً إلى الهوية. ستساعدك الخطوات التالية على إنجاز التعيين اليدوي.

الخطوة 1: انتقل إلى حساب تخزين ADLS Gen2 في مدخل Microsoft Azure

في مدخل Microsoft Azure، افتح حساب تخزين ADLS Gen2 وحدد Overview من شريط التنقل الأيسر. ستحتاج فقط إلى تعيين دور Storage Blob Data Contributor على مستوى الحاوية أو نظام الملفات. حدّد الحاويات.

لقطة شاشة لمدخل Microsoft Azure، لنظرة عامة على حساب تخزين ADLS Gen2.

الخطوة 2: حدد الحاوية

يجب أن يكون للهوية المدارة وصول إلى البيانات إلى الحاوية (نظام الملفات) التي تم توفيرها عند إنشاء مساحة العمل. يمكنك العثور على هذه الحاوية أو نظام الملفات في مدخل Microsoft Azure. افتح مساحة عمل Azure Synapse في مدخل Microsoft Azure وحدد علامة التبويب Overview من شريط التنقل الأيسر.

لقطة شاشة لمدخل Microsoft Azure تعرض اسم ملف تخزين ADLS Gen2

حدد نفس الحاوية أو نظام الملفات لمنح دور Storage Blob Data Contributor للهوية المدارة.

لقطة شاشة تعرض الحاوية أو نظام الملفات الذي يجب عليك تحديده.

الخطوة 3: افتح التحكم في الوصول وأضف تعيين الدور

  1. حدد Access control (IAM).

  2. حدد Add>Add role assignment لفتح صفحة إضافة تعيين الدور.

  3. تعيين الدور التالي. للحصول على خطوات تفصيلية، راجع تعيين أدوار Azure باستخدام مدخل Azure.

    الإعداد القيمة‬
    الدور المساهم في بيانات مخزن البيانات الثنائية الكبيرة
    تعيين الوصول إلى MANAGEDIDENTITY
    الأعضاء اسم الهوية المُدارة

    إشعار

    اسم الهوية المدارة هو أيضاً اسم مساحة العمل.

    لقطة شاشة تعرضُ صفحة إضافة تعيين الدور في مدخل Microsoft Azure.

  4. حدد Save لإضافة تعيين الدور.

الخطوة 4: تحقق من تعيين دور «مساهم بيانات تخزين Blob» للهوية المدارة

حدد Access Control(IAM) ثم حدد Role assignments.

لقطة شاشة لزر تعيينات الدور في مدخل Microsoft Azure، المستخدمة للتحقق من تعيين الدور.

يجب أن ترى هويتك المُدارة مُدرجة ضمن قسم Storage Blob Data Contributor مع دور Storage Blob Data Contributor المعين لها.
لقطة شاشة لمدخل Microsoft Azure، تعرض تحديد حاوية حساب تخزين ADLS Gen2.

بديل دور Storage Blob Data Contributor

بدلاً من منح نفسك دور مساهم بيانات Storage Blob، يمكنك أيضًا منح المزيد من الأذونات الدقيقة لمجموعة فرعية من الملفات.

يجب أيضًا أن يحصل جميع المستخدمين الذين يحتاجون إلى الوصول إلى بعض البيانات في هذه الحاوية على إذن التنفيذ على كافة المجلدات الرئيسية حتى الجذر (الحاوية).

تعرف على المزيد عن كيفية تعيين قوائم التحكم في الوصول (ACL) في Azure Data Lake Storage Gen2.

إشعار

يجب تعيين إذن التنفيذ على مستوى الحاوية داخل Data Lake Storage Gen2. يمكن تعيين الأذونات الموجودة على المجلد داخل Azure Synapse.

إذا كنت ترغب في الاستعلام عن data2.csv في هذا المثال، تكون الأذونات التالية مطلوبة:

  • إذن التنفيذ على الحاوية
  • إذن التنفيذ على folder1
  • إذن القراءة على data2.csv

رسم تخطيطي يوضح بنية الإذن في مستودع البيانات.

  1. سجل الدخول إلى Azure Synapse من خلال مستخدم مسؤول لديه أذونات كاملة على البيانات التي تريد الوصول إليها.

  2. في جزء البيانات، انقر بزر الماوس الأيمن فوق الملف وحدد إدارة الوصول.

    لقطة شاشة تعرض خيار إدارة الوصول.

  3. حدد إذن القراءة على الأقل. أدخل اسم المستخدم الأساسي للمستخدم أو معرف العنصر، على سبيل المثال، user@contoso.com. حدد إضافة.

  4. امنح إذن القراءة "read" لهذا المستخدم.

    لقطة شاشة توضح منح أذونات القراءة.

إشعار

بالنسبة للمستخدمين الضيوف، يجب تنفيذ هذه الخطوة مباشرةً باستخدام Azure Data Lake لأنه لا يمكن إجراؤها مباشرةً من خلال Azure Synapse.

الخطوات التالية

تعرف على المزيد بشأن الهوية المُدارة لمساحة العمل