Πρόσβαση σε αξιόπιστο χώρο εργασίας

Το Fabric σάς επιτρέπει να αποκτήσετε πρόσβαση σε λογαριασμούς Gen2 με δυνατότητα τείχους προστασίας Azure Data Lake Storage (ADLS) με ασφαλή τρόπο. Οι χώροι εργασίας Fabric που έχουν ταυτότητα χώρου εργασίας μπορούν να έχουν ασφαλή πρόσβαση σε λογαριασμούς ADLS Gen2 με ενεργοποιημένη την πρόσβαση δημόσιου δικτύου από επιλεγμένα εικονικά δίκτυα και διευθύνσεις IP ή με απενεργοποιημένη την πρόσβαση δημόσιου δικτύου. Μπορείτε να περιορίσετε την πρόσβαση ADLS Gen2 σε συγκεκριμένους χώρους εργασίας Fabric.

Οι χώροι εργασίας Fabric που αποκτούν πρόσβαση σε έναν λογαριασμό χώρου αποθήκευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας χρειάζονται κατάλληλη εξουσιοδότηση για την αίτηση. Η εξουσιοδότηση υποστηρίζεται με διαπιστευτήρια Microsoft Entra για λογαριασμούς οργανισμού ή οντότητες υπηρεσίας. Για να μάθετε περισσότερα σχετικά με τους κανόνες παρουσίας πόρων, ανατρέξτε στο θέμα Εκχώρηση πρόσβασης από παρουσίες πόρων του Azure.

Για να περιορίσετε και να προστατεύσετε την πρόσβαση σε λογαριασμούς αποθήκευσης με δυνατότητα τείχους προστασίας από συγκεκριμένους χώρους εργασίας Fabric, μπορείτε να ορίσετε κανόνες παρουσίας πόρου για να επιτρέψετε την πρόσβαση από συγκεκριμένους χώρους εργασίας Fabric.

Note

Η πρόσβαση σε αξιόπιστο χώρο εργασίας είναι γενικά διαθέσιμη, αλλά μπορεί να χρησιμοποιηθεί μόνο σε εκχωρημένους πόρους F SKU. Για πληροφορίες σχετικά με την αγορά μιας συνδρομής Fabric, ανατρέξτε στο θέμα Αγορά συνδρομής Microsoft Fabric. Η πρόσβαση σε αξιόπιστο χώρο εργασίας δεν υποστηρίζεται στους εκχωρημένους πόρους δοκιμαστικής έκδοσης.

Αυτό το άρθρο σας δείχνει πώς να:

• Ρυθμίστε τις παραμέτρους πρόσβασης αξιόπιστου χώρου εργασίας σε έναν λογαριασμό χώρου αποθήκευσης ADLS Gen2.

• Δημιουργήστε μια συντόμευση OneLake σε ένα Fabric Lakehouse που συνδέεται σε έναν λογαριασμό χώρου αποθήκευσης ADLS Gen2 με δυνατότητα αξιόπιστου χώρου εργασίας.

• Δημιουργήστε μια διοχέτευση για να συνδεθείτε απευθείας σε έναν λογαριασμό ADLS Gen2 με δυνατότητα τείχους προστασίας που έχει ενεργοποιημένη την πρόσβαση σε αξιόπιστο χώρο εργασίας.

• Χρησιμοποιήστε την πρόταση T-SQL COPY για να απορροφήσετε δεδομένα στο Warehouse σας από έναν λογαριασμό ADLS Gen2 με δυνατότητα τείχους προστασίας που έχει ενεργοποιημένη την πρόσβαση σε αξιόπιστο χώρο εργασίας.

• Δημιουργήστε ένα σημασιολογικό μοντέλο σε λειτουργία εισαγωγής για να συνδεθείτε σε ένα λογαριασμό ADLS Gen2 με δυνατότητα τείχους προστασίας που έχει ενεργοποιημένη την αξιόπιστη πρόσβαση χώρου εργασίας.

• Φορτώστε δεδομένα με το AzCopy από έναν λογαριασμό χώρου αποθήκευσης Azure με δυνατότητα τείχους προστασίας στο OneLake.

Ρύθμιση παραμέτρων πρόσβασης αξιόπιστου χώρου εργασίας στο ADLS Gen2

Prerequisites

• Ένας χώρος εργασίας Fabric που σχετίζεται με εκχωρημένους πόρους Fabric.
• Δημιουργήστε μια ταυτότητα χώρου εργασίας που σχετίζεται με τον χώρο εργασίας Fabric. Ανατρέξτε στο θέμα Ταυτότητα χώρου εργασίας. Βεβαιωθείτε ότι η ταυτότητα χώρου εργασίας έχει πρόσβαση Συμβάλλοντα στον χώρο εργασίας, μεταβαίνοντας στη Διαχείριση πρόσβασης (δίπλα στις Ρυθμίσεις χώρου εργασίας) και προσθέτοντας την ταυτότητα χώρου εργασίας στη λίστα ως συμβάλλων.
• Η αρχή που χρησιμοποιείται για τον έλεγχο ταυτότητας στη συντόμευση θα πρέπει να έχει ρόλους Azure RBAC στον λογαριασμό χώρου αποθήκευσης. Η αρχή πρέπει να έχει ρόλο Συμβάλλοντα δεδομένων αντικειμένου blob χώρου αποθήκευσης, κάτοχο δεδομένων αντικειμένου blob χώρου αποθήκευσης ή ρόλο "Αναγνώστης δεδομένων αντικειμένου blob χώρου αποθήκευσης" στην εμβέλεια του λογαριασμού χώρου αποθήκευσης μαζί με την πρόσβαση στο επίπεδο φακέλου μέσα στο κοντέινερ. Η πρόσβαση στο επίπεδο φακέλου μπορεί να παρέχεται μέσω ενός ρόλου RBAC στο επίπεδο κοντέινερ ή μέσω συγκεκριμένης πρόσβασης σε επίπεδο φακέλου.
• Ρυθμίστε τις παραμέτρους ενός κανόνα παρουσίας πόρου για τον λογαριασμό χώρου αποθήκευσης.

Κανόνας παρουσίας πόρου μέσω προτύπου ARM

Μπορείτε να ρυθμίσετε συγκεκριμένους χώρους εργασίας Fabric για να αποκτήσετε πρόσβαση στον λογαριασμό χώρου αποθήκευσης με βάση την ταυτότητα του χώρου εργασίας τους. Μπορείτε να δημιουργήσετε έναν κανόνα παρουσίας πόρου αναπτύσσοντας ένα πρότυπο ARM με έναν κανόνα παρουσίας πόρου. Για να δημιουργήσετε έναν κανόνα παρουσίας πόρου:

1. Εισέλθετε στην πύλη Azure και μεταβείτε στην ενότητα Προσαρμοσμένη ανάπτυξη.

2. Επιλέξτε Δημιουργία του δικού σας προτύπου στο πρόγραμμα επεξεργασίας. Για ένα δείγμα προτύπου ARM που δημιουργεί έναν κανόνα παρουσίας πόρου, ανατρέξτε στο δείγμα προτύπου ARM.

3. Δημιουργήστε τον κανόνα παρουσίας πόρου στο πρόγραμμα επεξεργασίας. Όταν τελειώσετε, επιλέξτε Αναθεώρηση + Δημιουργία.

4. Στην καρτέλα Βασικά στοιχεία που εμφανίζεται, καθορίστε τις απαιτούμενες λεπτομέρειες έργου και παρουσίας. Όταν τελειώσετε, επιλέξτε Αναθεώρηση + Δημιουργία.

5. Στην καρτέλα Αναθεώρηση + Δημιουργία που εμφανίζεται, εξετάστε τη σύνοψη και, στη συνέχεια, επιλέξτε Δημιουργία. Ο κανόνας υποβάλλεται για ανάπτυξη.

6. Όταν ολοκληρωθεί η ανάπτυξη, μπορείτε να μεταβείτε στον πόρο.

Note

• Οι κανόνες παρουσίας πόρων για χώρους εργασίας Fabric μπορούν να δημιουργηθούν μόνο μέσω προτύπων ARM ή του PowerShell. Η δημιουργία μέσω της πύλης Azure δεν υποστηρίζεται.
• Το subscriptionId "00000000-0000-0000-0000-00000000000000000" πρέπει να χρησιμοποιηθεί για το resourceId χώρου εργασίας Fabric.
• Μπορείτε να λάβετε το αναγνωριστικό χώρου εργασίας για έναν χώρο εργασίας Fabric μέσω της διεύθυνσης URL της γραμμής διευθύνσεων.

Ακολουθεί ένα παράδειγμα ενός κανόνα παρουσίας πόρου που μπορεί να δημιουργηθεί μέσω του προτύπου ARM. Για ένα πλήρες παράδειγμα, ανατρέξτε στο δείγμα προτύπου ARM.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Κανόνας παρουσίας πόρου μέσω δέσμης ενεργειών PowerShell

Μπορείτε να δημιουργήσετε έναν κανόνα παρουσίας πόρων μέσω του PowerShell, χρησιμοποιώντας την ακόλουθη δέσμη ενεργειών.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Εξαίρεση αξιόπιστης υπηρεσίας

Εάν επιλέξετε την εξαίρεση αξιόπιστης υπηρεσίας για έναν λογαριασμό ADLS Gen2 που έχει ενεργοποιημένη την πρόσβαση σε δημόσιο δίκτυο από επιλεγμένα εικονικά δίκτυα και διευθύνσεις IP, οι χώροι εργασίας Fabric με ταυτότητα χώρου εργασίας μπορούν να έχουν πρόσβαση στο λογαριασμό αποθήκευσης. Όταν επιλέγεται το πλαίσιο ελέγχου αξιόπιστης εξαίρεσης υπηρεσίας, οποιοιδήποτε χώροι εργασίας στους εκχωρημένους πόρους Fabric του μισθωτή σας που έχουν ταυτότητα χώρου εργασίας μπορούν να έχουν πρόσβαση σε δεδομένα που είναι αποθηκευμένα στον λογαριασμό χώρου αποθήκευσης.

Αυτή η ρύθμιση παραμέτρων δεν συνιστάται και η υποστήριξη μπορεί να διακοπεί στο μέλλον. Συνιστούμε να χρησιμοποιείτε κανόνες παρουσίας πόρων για την εκχώρηση πρόσβασης σε συγκεκριμένους πόρους.

Ποιος μπορεί να ρυθμίσει τις παραμέτρους λογαριασμών χώρου αποθήκευσης για αξιόπιστη πρόσβαση υπηρεσίας;

Ένας Συμβάλλων στον λογαριασμό χώρου αποθήκευσης (ένας ρόλος Azure RBAC) μπορεί να ρυθμίσει τους κανόνες παρουσίας πόρων ή μια αξιόπιστη εξαίρεση υπηρεσίας.

Τρόπος χρήσης της πρόσβασης στον αξιόπιστο χώρο εργασίας στο Fabric

Υπάρχουν πολλοί τρόποι για να χρησιμοποιήσετε την πρόσβαση στον αξιόπιστο χώρο εργασίας για να αποκτήσετε πρόσβαση στα δεδομένα σας από το Fabric με ασφαλή τρόπο:

• Μπορείτε να δημιουργήσετε μια νέα συντόμευση ADLS σε ένα Fabric Lakehouse για να ξεκινήσετε την ανάλυση των δεδομένων σας με τα Spark, SQL και Power BI.

• Μπορείτε να δημιουργήσετε μια διοχέτευση που χρησιμοποιεί πρόσβαση σε αξιόπιστο χώρο εργασίας για άμεση πρόσβαση σε έναν λογαριασμό ADLS Gen2 με δυνατότητα τείχους προστασίας.

• Μπορείτε να χρησιμοποιήσετε μια πρόταση αντιγραφής T-SQL που αξιοποιεί την αξιόπιστη πρόσβαση χώρου εργασίας στην πρόσληψη δεδομένων σε μια αποθήκη Fabric.

• Μπορείτε να χρησιμοποιήσετε ένα σημασιολογικό μοντέλο (λειτουργία εισαγωγής) για να αξιοποιήσετε την αξιόπιστη πρόσβαση στον χώρο εργασίας και να δημιουργήσετε μοντέλα και αναφορές στα δεδομένα.

• Μπορείτε να χρησιμοποιήσετε το AzCopy για να φορτώσετε δεδομένα από έναν λογαριασμό χώρου αποθήκευσης Azure με δυνατότητα τείχους προστασίας στο OneLake.

Οι παρακάτω ενότητες σάς δείχνουν πώς μπορείτε να χρησιμοποιήσετε αυτές τις μεθόδους.

Δημιουργία συντόμευσης OneLake για λογαριασμό χώρου αποθήκευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας

Με την ταυτότητα χώρου εργασίας ρυθμισμένη στο Fabric και την αξιόπιστη πρόσβαση στον χώρο εργασίας σας στο ADLS Gen2, μπορείτε να δημιουργήσετε συντομεύσεις OneLake για να αποκτήσετε πρόσβαση στα δεδομένα σας από το Fabric. Απλώς δημιουργείτε μια νέα συντόμευση ADLS σε ένα Fabric Lakehouse και μπορείτε να ξεκινήσετε την ανάλυση των δεδομένων σας με τα Spark, SQL και Power BI.

Note

• Οι προϋπάρχουσες συντομεύσεις σε έναν χώρο εργασίας που πληροί τις προϋποθέσεις αρχίζουν αυτόματα να υποστηρίζουν πρόσβαση σε αξιόπιστη υπηρεσία.
• Πρέπει να χρησιμοποιήσετε το αναγνωριστικό διεύθυνσης URL DFS για τον λογαριασμό χώρου αποθήκευσης. Ακολουθεί ένα παράδειγμα: https://StorageAccountName.dfs.core.windows.net
• Οι οντότητες υπηρεσίας μπορούν επίσης να δημιουργούν συντομεύσεις για λογαριασμούς χώρου αποθήκευσης με αξιόπιστη πρόσβαση.

Steps

1. Ξεκινήστε δημιουργώντας μια νέα συντόμευση σε ένα Lakehouse.

   

   Ανοίγει ο " Οδηγός δημιουργίας συντόμευσης ".

2. Στην περιοχή Εξωτερικές προελεύσεις , επιλέξτε Azure Data Lake Storage Gen2.

   

3. Εισαγάγετε τη διεύθυνση URL του λογαριασμού χώρου αποθήκευσης που έχει ρυθμιστεί με αξιόπιστη πρόσβαση στον χώρο εργασίας και επιλέξτε ένα όνομα για τη σύνδεση. Για το είδος ελέγχου ταυτότητας, επιλέξτε Εταιρικός λογαριασμός ή Κύρια υπηρεσία.

   

   Όταν τελειώσετε, επιλέξτε Επόμενο.

4. Εισαγάγετε το όνομα συντόμευσης και τη δευτερεύουσα διαδρομή.

   

   Όταν τελειώσετε, επιλέξτε Δημιουργία.

5. Δημιουργείται η συντόμευση lakehouse και θα πρέπει να μπορείτε να κάνετε προεπισκόπηση των δεδομένων χώρου αποθήκευσης στη συντόμευση.

   

Χρησιμοποιήστε τη συντόμευση OneLake σε έναν λογαριασμό χώρου αποθήκευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας σε στοιχεία Fabric

Με το OneCopy in Fabric, μπορείτε να αποκτήσετε πρόσβαση στις συντομεύσεις OneLake με αξιόπιστη πρόσβαση από όλους τους φόρτους εργασίας Fabric.

• Spark: Μπορείτε να χρησιμοποιήσετε το Spark για πρόσβαση σε δεδομένα από τις συντομεύσεις OneLake. Όταν χρησιμοποιούνται συντομεύσεις στο Spark, εμφανίζονται ως φάκελοι στο OneLake. Χρειάζεται απλώς να αναφέρετε το όνομα του φακέλου για να αποκτήσετε πρόσβαση στα δεδομένα. Μπορείτε να χρησιμοποιήσετε τη συντόμευση OneLake για λογαριασμούς χώρου αποθήκευσης με αξιόπιστη πρόσβαση χώρου εργασίας στα σημειωματάρια Spark.

• Τελικό σημείο ανάλυσης SQL: Οι συντομεύσεις που δημιουργήθηκαν στην ενότητα "Πίνακες" της λίμνης σας είναι επίσης διαθέσιμες στο τελικό σημείο ανάλυσης SQL. Μπορείτε να ανοίξετε το τελικό σημείο ανάλυσης SQL και να υποβάλετε ερωτήματα για τα δεδομένα σας όπως κάθε άλλος πίνακας.

• Διοχετεύσεις: Οι διοχετεύσεις μπορούν να έχουν πρόσβαση σε διαχειριζόμενες συντομεύσεις σε λογαριασμούς αποθήκευσης με πρόσβαση σε αξιόπιστο χώρο εργασίας. Οι διοχετεύσεις μπορούν να χρησιμοποιηθούν για ανάγνωση ή εγγραφή σε λογαριασμούς αποθήκευσης μέσω συντομεύσεων OneLake.

• Ροές δεδομένων v2: Οι ροές δεδομένων Gen2 μπορούν να χρησιμοποιηθούν για πρόσβαση σε διαχειριζόμενες συντομεύσεις σε λογαριασμούς αποθήκευσης με αξιόπιστη πρόσβαση χώρου εργασίας. Οι ροές δεδομένων Gen2 μπορούν να διαβάσουν ή να γράψουν σε λογαριασμούς χώρου αποθήκευσης μέσω συντομεύσεων OneLake.

• Σημασιολογικά μοντέλα και αναφορές: Το προεπιλεγμένο μοντέλο σημασιολογίας που σχετίζεται με το τελικό σημείο ανάλυσης SQL ενός Lakehouse μπορεί να διαβάσει διαχειριζόμενες συντομεύσεις σε λογαριασμούς αποθήκευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας. Για να δείτε τους διαχειριζόμενους πίνακες στο προεπιλεγμένο σημασιολογικό μοντέλο, μεταβείτε στο στοιχείο τελικού σημείου ανάλυσης SQL, επιλέξτε Αναφορά και επιλέξτε Αυτόματη ενημέρωση σημασιολογικού μοντέλου.

  Μπορείτε επίσης να δημιουργήσετε νέα σημασιολογικά μοντέλα που αναφέρονται σε συντομεύσεις πίνακα σε λογαριασμούς χώρου αποθήκευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας. Μεταβείτε στο τελικό σημείο ανάλυσης SQL, επιλέξτε Αναφορές και επιλέξτε Νέο μοντέλο σημασιολογίας.

  Μπορείτε να δημιουργήσετε αναφορές πάνω από τα προεπιλεγμένα σημασιολογικά μοντέλα και τα προσαρμοσμένα σημασιολογικά μοντέλα.

• Βάση δεδομένων KQL: Μπορείτε επίσης να δημιουργήσετε συντομεύσεις OneLake για ADLS Gen2 σε μια βάση δεδομένων KQL. Τα βήματα για τη δημιουργία της διαχειριζόμενης συντόμευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας παραμένουν τα ίδια.

Δημιουργία διοχέτευσης σε λογαριασμό χώρου αποθήκευσης με πρόσβαση σε αξιόπιστο χώρο εργασίας

Με την ταυτότητα χώρου εργασίας που έχει ρυθμιστεί στο Fabric και την αξιόπιστη πρόσβαση ενεργοποιημένη στον λογαριασμό χώρου αποθήκευσης ADLS Gen2, μπορείτε να δημιουργήσετε διοχετεύσεις για πρόσβαση στα δεδομένα σας από το Fabric. Μπορείτε να δημιουργήσετε μια νέα διοχέτευση για να αντιγράψετε δεδομένα σε μια λίμνη Fabric και, στη συνέχεια, μπορείτε να ξεκινήσετε την ανάλυση των δεδομένων σας με Spark, SQL και Power BI.

Prerequisites

• Ένας χώρος εργασίας Fabric που σχετίζεται με εκχωρημένους πόρους Fabric. Ανατρέξτε στο θέμα Ταυτότητα χώρου εργασίας.
• Δημιουργήστε μια ταυτότητα χώρου εργασίας που σχετίζεται με τον χώρο εργασίας Fabric.
• Η αρχή που χρησιμοποιείται για τον έλεγχο ταυτότητας στη διοχέτευση πρέπει να έχει ρόλους Azure RBAC στον λογαριασμό χώρου αποθήκευσης. Η αρχή πρέπει να έχει ρόλο "Συμβάλλων δεδομένων αντικειμένου blob χώρου αποθήκευσης", κάτοχο δεδομένων αντικειμένου blob χώρου αποθήκευσης ή ρόλο "Αναγνώστης δεδομένων αντικειμένου blob χώρου αποθήκευσης" στην εμβέλεια του λογαριασμού χώρου αποθήκευσης.
• Ρυθμίστε τις παραμέτρους ενός κανόνα παρουσίας πόρου για τον λογαριασμό χώρου αποθήκευσης.

Steps

1. Ξεκινήστε επιλέγοντας Λήψη δεδομένων σε ένα σπίτι λίμνης.

2. Επιλέξτε Νέα διοχέτευση. Δώστε ένα όνομα για τη διοχέτευση και, στη συνέχεια, επιλέξτε Δημιουργία.

   

3. Επιλέξτε Azure Data Lake Gen2 ως προέλευση δεδομένων.

   

4. Εισαγάγετε τη διεύθυνση URL του λογαριασμού χώρου αποθήκευσης που έχει ρυθμιστεί με αξιόπιστη πρόσβαση στον χώρο εργασίας και επιλέξτε ένα όνομα για τη σύνδεση. Για το είδος ελέγχου ταυτότητας, επιλέξτε Εταιρικός λογαριασμός ή Κύρια υπηρεσία.

   

   Όταν τελειώσετε, επιλέξτε Επόμενο.

5. Επιλέξτε το αρχείο που πρέπει να αντιγράψετε στο lakehouse.

   

   Όταν τελειώσετε, επιλέξτε Επόμενο.

6. Στην οθόνη Αναθεώρηση + αποθήκευση, επιλέξτε Άμεση έναρξη μεταφοράς δεδομένων. Όταν τελειώσετε, επιλέξτε Αποθήκευση + Εκτέλεση.

   

7. Όταν η κατάσταση της διοχέτευσης αλλάξει από Σε ουράσε Επιτυχής, μεταβείτε στη λίμνη και επαληθεύστε ότι δημιουργήθηκαν οι πίνακες δεδομένων.

Χρήση της πρότασης T-SQL COPY για την πρόσληψη δεδομένων σε μια αποθήκη

Με ενεργοποιημένη την ταυτότητα χώρου εργασίας στο Fabric και την αξιόπιστη πρόσβαση στον λογαριασμό σας χώρου αποθήκευσης ADLS Gen2, μπορείτε να χρησιμοποιήσετε την πρόταση COPY T-SQL για να προσλάβετε δεδομένα στην αποθήκη fabric σας. Όταν τα δεδομένα προσμετατευθούν στην αποθήκη, μπορείτε να ξεκινήσετε την ανάλυση των δεδομένων σας με SQL και Power BI. Οι χρήστες με ρόλους χώρου εργασίας Διαχειριστή, Μέλους, Συμβάλλοντος, Θεατή ή ανάγνωσης στην αποθήκη, μπορούν να χρησιμοποιούν αξιόπιστη πρόσβαση μαζί με την εντολή T-SQL COPY.

Δημιουργία μοντέλου σημασιολογίας με αξιόπιστη πρόσβαση στον χώρο εργασίας

Τα σημασιολογικά μοντέλα σε λειτουργία εισαγωγής υποστηρίζουν αξιόπιστη πρόσβαση χώρου εργασίας σε λογαριασμούς χώρου αποθήκευσης. Μπορείτε να χρησιμοποιήσετε αυτήν τη δυνατότητα για να δημιουργήσετε μοντέλα και αναφορές για δεδομένα σε λογαριασμούς αποθήκευσης ADLS Gen2 με δυνατότητα τείχους προστασίας.

Prerequisites

• Ένας χώρος εργασίας Fabric που σχετίζεται με εκχωρημένους πόρους Fabric. Ανατρέξτε στο θέμα Ταυτότητα χώρου εργασίας.
• Δημιουργήστε μια ταυτότητα χώρου εργασίας που σχετίζεται με τον χώρο εργασίας Fabric.
• Μια σύνδεση στο λογαριασμό χώρου αποθήκευσης ADLS Gen2. Η αρχή που χρησιμοποιείται για τον έλεγχο ταυτότητας στη σύνδεση που συνδέεται με το μοντέλο σημασιολογίας πρέπει να έχει ρόλους Azure RBAC στον λογαριασμό χώρου αποθήκευσης. Η αρχή πρέπει να έχει ρόλο "Συμβάλλων δεδομένων αντικειμένου blob χώρου αποθήκευσης", κάτοχο δεδομένων αντικειμένου blob χώρου αποθήκευσης ή ρόλο "Αναγνώστης δεδομένων αντικειμένου blob χώρου αποθήκευσης" στην εμβέλεια του λογαριασμού χώρου αποθήκευσης.
• Ρυθμίστε τις παραμέτρους ενός κανόνα παρουσίας πόρου για τον λογαριασμό χώρου αποθήκευσης.

Steps

1. Δημιουργήστε το σημασιολογικό μοντέλο στο Power BI Desktop που συνδέεται στον λογαριασμό αποθήκευσης ADLS Gen2, χρησιμοποιώντας τα βήματα που αναφέρονται στην ενότητα Ανάλυση δεδομένων στο Azure Data Lake Storage Gen2 χρησιμοποιώντας το Power BI. Μπορείτε να χρησιμοποιήσετε έναν εταιρικό λογαριασμό για να συνδεθείτε στο Azure Data Lake Storage Gen2 στο Desktop.
2. Εισαγάγετε το μοντέλο στον χώρο εργασίας που έχει ρυθμιστεί με την ταυτότητα χώρου εργασίας.
3. Μεταβείτε στις ρυθμίσεις μοντέλου και αναπτύξτε την ενότητα Συνδέσεις πύλης και cloud.
4. Στις συνδέσεις cloud, επιλέξτε μια σύνδεση δεδομένων για τον λογαριασμό χώρου αποθήκευσης ADLS Gen2 (αυτή η σύνδεση μπορεί να έχει ταυτότητα χώρου εργασίας, κύρια υπηρεσία και εταιρικό λογαριασμό ως μέθοδο ελέγχου ταυτότητας)
5. Επιλέξτε Εφαρμογή και, στη συνέχεια, ανανεώστε το μοντέλο για να ολοκληρώσετε τη ρύθμιση παραμέτρων.

Φόρτωση δεδομένων με χρήση του AzCopy και πρόσβαση σε αξιόπιστο χώρο εργασίας

Με τη ρύθμιση παραμέτρων πρόσβασης σε αξιόπιστο χώρο εργασίας, οι εργασίες αντιγραφής AzCopy μπορούν να έχουν πρόσβαση σε δεδομένα που είναι αποθηκευμένα σε έναν λογαριασμό χώρου αποθήκευσης Azure με δυνατότητα τείχους προστασίας, επιτρέποντάς σας να φορτώνετε δεδομένα από τον χώρο αποθήκευσης Azure στο OneLake.

Prerequisites

• Ένας χώρος εργασίας Fabric που σχετίζεται με εκχωρημένους πόρους Fabric. Ανατρέξτε στο θέμα Ταυτότητα χώρου εργασίας.
• Εγκαταστήστε το AzCopy και συνδεθείτε με τον κύριο που χρησιμοποιείται για τον έλεγχο ταυτότητας. Δείτε την ενότητα Γρήγορα αποτελέσματα με το AzCopy.
• Δημιουργήστε μια ταυτότητα χώρου εργασίας που σχετίζεται με τον χώρο εργασίας Fabric.
• Η αρχή που χρησιμοποιείται για τον έλεγχο ταυτότητας στη συντόμευση θα πρέπει να έχει ρόλους Azure RBAC στον λογαριασμό χώρου αποθήκευσης. Η αρχή πρέπει να έχει ρόλο Συμβάλλοντα δεδομένων αντικειμένου blob χώρου αποθήκευσης, κάτοχο δεδομένων αντικειμένου blob χώρου αποθήκευσης ή ρόλο "Αναγνώστης δεδομένων αντικειμένου blob χώρου αποθήκευσης" στην εμβέλεια του λογαριασμού χώρου αποθήκευσης μαζί με την πρόσβαση στο επίπεδο φακέλου μέσα στο κοντέινερ. Η πρόσβαση στο επίπεδο φακέλου μπορεί να παρέχεται μέσω ενός ρόλου RBAC στο επίπεδο κοντέινερ ή μέσω συγκεκριμένης πρόσβασης σε επίπεδο φακέλου.
• Ρυθμίστε τις παραμέτρους ενός κανόνα παρουσίας πόρου για τον λογαριασμό χώρου αποθήκευσης.

Steps

1. Συνδεθείτε στο AzCopy με τον κύριο που έχει πρόσβαση στον λογαριασμό χώρου αποθήκευσης Azure και στο στοιχείο Fabric. Επιλέξτε τη συνδρομή που περιέχει τον λογαριασμό σας Azure Storage με δυνατότητα τείχους προστασίας.

azcopy login

2. Δημιουργήστε την εντολή AzCopy. Χρειάζεστε την πηγή αντιγραφής, τον προορισμό και τουλάχιστον μία παράμετρο.
   • source-path: Ένα αρχείο ή κατάλογος στον λογαριασμό σας Azure Storage με δυνατότητα τείχους προστασίας.
   • destination-path: Η ζώνη προσγείωσης στο OneLake για τα δεδομένα σας. Για παράδειγμα, ο φάκελος /Files σε ένα lakehouse.
   • --trusted-microsoft-suffixes: Πρέπει να περιλαμβάνει "fabric.microsoft.com".

azcopy copy "https://<source-account-name>.blob.core.windows.net/<source-container>/<source-path>" "https://onelake.dfs.fabric.microsoft.com/<destination-workspace>/<destination-path>" --trusted-microsoft-suffixes "fabric.microsoft.com"

3. Εκτελέστε την εντολή αντιγραφής. Το AzCopy χρησιμοποιεί την ταυτότητα με την οποία συνδεθήκατε για πρόσβαση τόσο στο OneLake όσο και στο Azure Storage. Η λειτουργία αντιγραφής είναι σύγχρονη, οπότε όταν επιστρέψει η εντολή, αντιγράφονται όλα τα αρχεία. Για περισσότερες πληροφορίες σχετικά με τη χρήση του AzCopy με το OneLake, ανατρέξτε στο θέμα AzCopy.

Περιορισμοί και ζητήματα

Υποστηριζόμενα σενάρια και περιορισμοί

• Η πρόσβαση στον αξιόπιστο χώρο εργασίας υποστηρίζεται για χώρους εργασίας σε οποιουσδήποτε εκχωρημένους πόρους SKU Fabric F.
• Μπορείτε να χρησιμοποιήσετε πρόσβαση σε αξιόπιστο χώρο εργασίας μόνο σε συντομεύσεις, διοχετεύσεις, σημασιολογικά μοντέλα, την πρόταση T-SQL COPY και το AzCopy. Για ασφαλή πρόσβαση σε λογαριασμούς χώρου αποθήκευσης από το Fabric Spark, ανατρέξτε στο θέμα Διαχειριζόμενα ιδιωτικά τελικά σημεία για Fabric.
• Οι διοχετεύσεις δεν μπορούν να κάνουν εγγραφή σε συντομεύσεις πίνακα OneLake σε λογαριασμούς χώρου αποθήκευσης με αξιόπιστη πρόσβαση στον χώρο εργασίας. Αυτός είναι ένας προσωρινός περιορισμός.
• Εάν χρησιμοποιήσετε ξανά συνδέσεις που υποστηρίζουν αξιόπιστη πρόσβαση στον χώρο εργασίας σε στοιχεία Fabric εκτός από συντομεύσεις, διοχετεύσεις και σημασιολογικά μοντέλα ή σε άλλους χώρους εργασίας, ενδέχεται να μην λειτουργούν.
• Η αξιόπιστη πρόσβαση στον χώρο εργασίας δεν είναι συμβατή με αιτήσεις μεταξύ μισθωτών.

Μέθοδοι ελέγχου ταυτότητας και διαχείριση σύνδεσης

• Οι συνδέσεις για πρόσβαση σε αξιόπιστο χώρο εργασίας μπορούν να δημιουργηθούν στη Διαχείριση συνδέσεων και πυλών. Ωστόσο, η ταυτότητα χώρου εργασίας είναι η μόνη υποστηριζόμενη μέθοδος ελέγχου ταυτότητας. Η δοκιμαστική σύνδεση αποτυγχάνει εάν χρησιμοποιούνται μέθοδοι ελέγχου ταυτότητας εταιρικού λογαριασμού ή κύριας υπηρεσίας.
• Μόνο οι μέθοδοι ελέγχου ταυτότητας εταιρικού λογαριασμού, κύριας υπηρεσίας και ταυτότητας χώρου εργασίας μπορούν να χρησιμοποιηθούν για έλεγχο ταυτότητας σε λογαριασμούς αποθήκευσης για πρόσβαση σε αξιόπιστο χώρο εργασίας σε συντομεύσεις, διοχετεύσεις και συντομεύσεις.
• Εάν θέλετε να χρησιμοποιήσετε την κύρια υπηρεσία ή λογαριασμούς οργανισμού ως μέθοδο ελέγχου ταυτότητας σε συνδέσεις σε έναν λογαριασμό χώρου αποθήκευσης με δυνατότητα τείχους προστασίας, μπορείτε να χρησιμοποιήσετε εμπειρίες συντόμευσης ή δημιουργίας διοχέτευσης ή την εμπειρία γρήγορων αναφορών του Power BI για να δημιουργήσετε τη σύνδεση. Αργότερα, μπορείτε να συνδέσετε αυτήν τη σύνδεση με σημασιολογικά μοντέλα και άλλες συντομεύσεις και διοχετεύσεις.
• Εάν ένα σημασιολογικό μοντέλο χρησιμοποιεί προσωπικές συνδέσεις cloud, μπορείτε να χρησιμοποιήσετε την ταυτότητα χώρου εργασίας μόνο ως μέθοδο ελέγχου ταυτότητας για αξιόπιστη πρόσβαση στον χώρο αποθήκευσης. Συνιστούμε να αντικαταστήσετε τις προσωπικές συνδέσεις cloud με κοινόχρηστες συνδέσεις cloud.
• Οι συνδέσεις σε λογαριασμούς χώρου αποθήκευσης με δυνατότητα τείχους προστασίας έχουν την κατάσταση Χωρίς σύνδεση στη Διαχείριση συνδέσεων και πυλών.

Μετεγκατάσταση και προϋπάρχουσες συντομεύσεις

• Εάν ένας χώρος εργασίας με ταυτότητα χώρου εργασίας μετεγκατασταθεί σε εκχωρημένους πόρους που δεν είναι Fabric ή σε εκχωρημένους πόρους SKU Fabric που δεν είναι F, η αξιόπιστη πρόσβαση στον χώρο εργασίας θα σταματήσει να λειτουργεί μετά από μία ώρα.
• Οι προϋπάρχουσες συντομεύσεις που δημιουργήθηκαν πριν από τις 10 Οκτωβρίου 2023 δεν υποστηρίζουν πρόσβαση σε αξιόπιστο χώρο εργασίας.
• Η προϋπόθεση ότι υπάρχουν συντομεύσεις σε έναν χώρο εργασίας που ικανοποιεί τις προϋποθέσεις θα αρχίσει αυτόματα να υποστηρίζει αξιόπιστη πρόσβαση στην υπηρεσία.

Ρύθμιση παραμέτρων ασφάλειας, δικτύου και πόρων

• Η πρόσβαση στον αξιόπιστο χώρο εργασίας λειτουργεί μόνο όταν η δημόσια πρόσβαση ενεργοποιείται από επιλεγμένα εικονικά δίκτυα και διευθύνσεις IP ή όταν η δημόσια πρόσβαση είναι απενεργοποιημένη.
• Οι κανόνες παρουσίας πόρων για χώρους εργασίας Fabric πρέπει να δημιουργούνται μέσω προτύπων ARM. Δεν υποστηρίζονται κανόνες παρουσίας πόρων που δημιουργήθηκαν μέσω του περιβάλλοντος εργασίας χρήστη της πύλης Azure.
• Είναι δυνατή η ρύθμιση έως και 200 κανόνων παρουσίας πόρων. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Όρια και όρια συνδρομής Azure - Azure Resource Manager.
• Εάν ο οργανισμός σας διαθέτει μια πολιτική πρόσβασης υπό όρους Microsoft Entra για ταυτότητες φόρτου εργασίας που περιλαμβάνει όλες τις κύριες υπηρεσίες, τότε η πρόσβαση σε αξιόπιστο χώρο εργασίας δεν θα λειτουργεί. Σε αυτές τις περιπτώσεις, πρέπει να εξαιρέσετε συγκεκριμένες ταυτότητες χώρου εργασίας Fabric από την πολιτική πρόσβασης υπό όρους για ταυτότητες φόρτου εργασίας.

Δείγμα προτύπου ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Σχετικό περιεχόμενο

• Ταυτότητα χώρου εργασίας
• Εκχώρηση πρόσβασης από παρουσίες πόρων του Azure
• Αξιόπιστη πρόσβαση βάσει διαχειριζόμενης ταυτότητας