Acceso a áreas de trabajo de confianza (versión preliminar)

Fabric le permite acceder a cuentas de Azure Data Lake Gen2 habilitadas para firewall de forma segura. Las áreas de trabajo de Fabric que tienen una identidad de área de trabajo pueden acceder de forma segura a cuentas de Azure Data Lake Gen2 con acceso de red pública habilitado desde redes virtuales y direcciones IP seleccionadas. Puede limitar el acceso de ADLS Gen2 a áreas de trabajo de Fabric específicas.

Las áreas de trabajo de Fabric que acceden a una cuenta de almacenamiento con acceso de área de trabajo de confianza necesitan la autorización adecuada para la solicitud. La autorización se admite con las credenciales de Microsoft Entra para cuentas profesionales o entidades de servicio. Para más información sobre las reglas de instancia de recursos, vea Concesión de acceso desde instancias de recursos de Azure.

Para limitar y proteger el acceso a cuentas de almacenamiento habilitadas para firewall desde determinadas áreas de trabajo de Fabric, puede configurar la regla de instancia de recursos para permitir el acceso desde áreas de trabajo de Fabric específicas.

Nota:

El acceso de área de trabajo de confianza está actualmente en versión preliminar pública. La identidad del área de trabajo de Fabric solo se puede crear en áreas de trabajo asociadas a una capacidad de Fabric (F64 o superior). Para obtener información sobre cómo comprar una suscripción de Fabric, vea Compra de una suscripción de Microsoft Fabric.

En este artículo aprenderá a:

• Configurar el acceso de área de trabajo de confianza en una cuenta de almacenamiento de Azure Data Lake Gen 2.

• Crear un acceso directo de OneLake en un almacén de lago de Fabric que conecte con una cuenta de almacenamiento de Azure Data Lake Gen 2 habilitada para el área de trabajo de confianza.

• Crear una canalización de datos para conectar directamente a una cuenta de Azure Data Lake Gen 2 habilitada para firewall con el acceso de área de trabajo de confianza habilitado.

Configuración del acceso a áreas de trabajo de confianza en ADLS Gen2

Regla de instancias de recursos

Puede configurar áreas de trabajo de Fabric específicas para acceder a la cuenta de almacenamiento en función de su identidad de área de trabajo. Puede crear una regla de instancia de recursos mediante la implementación de una plantilla de ARM con una regla de instancia de recursos. Para crear una regla de instancia de recursos:

1. Inicie sesión en Azure Portal y vaya a Implementación personalizada.

2. Seleccione Cree su propia plantilla en el editor. Se proporciona una plantilla de ARM de ejemplo que crea una regla de instancia de recursos al final de este documento.

3. Cree la regla de instancia de recursos en el editor. Cuando termine, elija Revisar y crear.

4. En la pestaña Aspectos básicos que aparece, especifique los detalles necesarios del proyecto y la instancia. Cuando termine, elija Revisar y crear.

5. En la pestaña Revisar y crear que se abre, revise el resumen y, después, seleccione Crear. La regla se enviará para su implementación.

6. Cuando la implementación se complete, podrá ir al recurso.

Nota:

• Las reglas de instancia de recursos para áreas de trabajo de Fabric solo se pueden crear mediante plantillas de ARM. No se admite la creación desde Azure Portal.
• El subscriptionId “000000000-0000-0000-00000-0000000000000” debe usarse para el resourceId del área de trabajo de Fabric.
• Puede obtener el identificador del área de trabajo de un área de trabajo de Fabric a través de su dirección URL de la barra de direcciones.

Este es un ejemplo de una regla de instancia de recursos que se puede crear mediante una plantilla de ARM:

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624”
       }
]

Excepción de servicio de confianza

Si selecciona la excepción de servicio de confianza para una cuenta de Azure Data Lake Gen2 que tenga habilitado el acceso a la red pública desde redes virtuales y direcciones IP seleccionadas, las áreas de trabajo de Fabric con una identidad de área de trabajo podrán acceder a la cuenta de almacenamiento. Cuando se activa la casilla de excepción de servicio de confianza, las áreas de trabajo de las capacidades de Fabric del inquilino que tengan una identidad de área de trabajo pueden acceder a los datos almacenados en la cuenta de almacenamiento.

Esta configuración no se recomienda y es posible que la compatibilidad se quite en el futuro. Se recomienda usar reglas de instancia de recursos para conceder acceso a recursos específicos.

¿Quién puede configurar cuentas de almacenamiento para el acceso de servicio de confianza?

Un colaborador de la cuenta de almacenamiento (un rol RBAC de Azure) puede configurar reglas de instancia de recursos o una excepción de servicio de confianza.

Procedimiento para usar el acceso a áreas de trabajo de confianza en Fabric

Actualmente hay dos maneras de usar el acceso de área de trabajo de confianza para acceder a los datos desde Fabric de forma segura:

• Puede crear un nuevo acceso directo de ADLS en un almacén de lago de Fabric para empezar a analizar los datos con Spark, SQL y Power BI.

• Puede crear una canalización de datos que saque provecho del acceso de área de trabajo de confianza para acceder directamente a una cuenta de Azure Data Lake Gen 2 habilitada para firewall.

En las secciones siguientes se muestra cómo usar estos dos métodos.

Creación de un acceso directo de OneLake a la cuenta de almacenamiento con acceso de área de trabajo de confianza

Con la identidad de área de trabajo configurada en Fabric y el acceso de área de trabajo de confianza habilitado en la cuenta de almacenamiento de ADLS Gen2, puede crear accesos directos de OneLake para acceder a los datos desde Fabric. Solo tiene que crear un acceso directo de ADLS en un almacén de lago de Fabric para poder empezar a analizar los datos con Spark, SQL y Power BI.

Requisitos previos

• Un área de trabajo de Fabric asociada a una capacidad de Fabric. Vea Identidad del área de trabajo.
• Crear una identidad de área de trabajo asociada al área de trabajo de Fabric.
• La cuenta de usuario o la entidad de servicio que se usan para crear el acceso directo deben tener roles RBAC de Azure en la cuenta de almacenamiento. La entidad de seguridad debe tener un rol de Colaborador de datos de blobs de almacenamiento, Propietario de datos de blobs de almacenamiento o Lector de datos de blobs de almacenamiento en el ámbito de la cuenta de almacenamiento, o bien un rol de Delegador de Blob Storage en el ámbito de la cuenta de almacenamiento, además de un rol de Lector de datos de blobs de almacenamiento en el ámbito del contenedor.
• Configurar una regla de instancia de recursos para la cuenta de almacenamiento.

Nota:

Los accesos directos preexistentes en un área de trabajo que cumpla los requisitos previos comenzarán a admitir el acceso de servicio de confianza automáticamente.

Pasos

1. Empiece por crear un acceso directo en un almacén de lago.

   

   Se abre el Asistente para nuevo acceso directo.

2. En Orígenes externos, seleccione Azure Data Lake Storage Gen2.

   

3. Proporcione la dirección URL de la cuenta de almacenamiento que se ha configurado con acceso al área de trabajo de confianza y elija un nombre para la conexión. En Tipo de autenticación, elija Cuenta de la organización o Entidad de servicio.

   

   Cuando termine, seleccione Siguiente.

4. Proporcione el nombre del acceso directo y la ruta de acceso secundaria.

   

   Cuando haya terminado, seleccione Crear.

5. Se crea el acceso directo del almacén de lago y debería poder obtener una vista previa de los datos de almacenamiento en el acceso directo.

   

Uso del acceso directo de OneLake a una cuenta de almacenamiento con acceso de área de trabajo de confianza en elementos de Fabric

Con OneCopy en Fabric, puede acceder a los accesos directos de OneLake con acceso de confianza desde todas las cargas de trabajo de Fabric.

• Spark: puede usar Spark para acceder a los datos desde los accesos directos de OneLake. Cuando se usan accesos directos en Spark, aparecen como carpetas en OneLake. Para acceder a los datos, solo tiene que hacer referencia al nombre de la carpeta. Puede usar el acceso directo de OneLake a las cuentas de almacenamiento con acceso de área de trabajo de confianza en cuadernos de Spark.

• Punto de conexión de SQL: los accesos directos creados en la sección "Tablas" del almacén de lago también están disponibles en el punto de conexión de SQL. Puede abrir el punto de conexión de SQL y consultar los datos igual que lo hace con cualquier otra tabla.

• Canalizaciones: las canalizaciones de datos pueden acceder a accesos directos administrados para cuentas de almacenamiento con acceso de área de trabajo de confianza. Las canalizaciones de datos se pueden usar para leer o escribir en cuentas de almacenamiento mediante accesos directos de OneLake.

• Flujos de datos v2: los flujos de datos de Gen2 se pueden usar para acceder a accesos directos administrados para cuentas de almacenamiento con acceso de área de trabajo de confianza. Los flujos de datos de Gen2 pueden leer o escribir en cuentas de almacenamiento mediante accesos directos de OneLake.

• Informes y modelos semánticos: el modelo semántico predeterminado asociado a un punto de conexión de SQL de almacén de lago puede leer accesos directos administrados para cuentas de almacenamiento con acceso de área de trabajo de confianza. Para ver las tablas administradas en el modelo semántico predeterminado, vaya al punto de conexión de SQL, seleccione Informes y elija Actualizar automáticamente el modelo semántico.

  También puede crear modelos semánticos que hagan referencia a accesos directos de tabla para cuentas de almacenamiento con acceso de área de trabajo de confianza. Vaya al punto de conexión de SQL, seleccione Informes y elija Nuevo modelo semántico.

  Puede crear informes sobre los modelos semánticos predeterminados y modelos semánticos personalizados.

• Base de datos KQL: también puede crear accesos directos de OneLake a Azure Data Lake Storage Gen2 en una base de datos KQL. Los pasos para crear el acceso directo administrado con acceso al área de trabajo de confianza son los mismos.

Creación de una canalización de datos a una cuenta de almacenamiento con acceso de área de trabajo de confianza

Con la identidad del área de trabajo configurada en Fabric y el acceso de confianza habilitado en la cuenta de almacenamiento de ADLS Gen2, puede crear canalizaciones de datos para acceder a los datos desde Fabric. Puede crear una nueva canalización de datos para copiar los datos en un almacén de lago de Fabric y, después, empezar a analizar los datos con Spark, SQL y Power BI.

Requisitos previos

• Un área de trabajo de Fabric asociada a una capacidad de Fabric. Vea Identidad del área de trabajo.
• Crear una identidad de área de trabajo asociada al área de trabajo de Fabric.
• La cuenta de usuario o la entidad de servicio utilizadas para crear la conexión deben tener roles RBAC de Azure en la cuenta de almacenamiento. La entidad de servicio debe tener el rol Colaborador de datos de Storage Blob, Propietario de datos de Storage Blob o Lector de datos de Storage Blob en el ámbito de la cuenta de almacenamiento.
• Configurar una regla de instancia de recursos para la cuenta de almacenamiento.

Pasos

1. Empiece seleccionando Obtener datos en un almacén de lago.

2. Seleccione Nueva canalización. Ponga un nombre a la canalización y seleccione Crear.

   

3. Elija Azure Data Lake Gen 2 como origen de datos.

   

4. Proporcione la dirección URL de la cuenta de almacenamiento que se ha configurado con acceso al área de trabajo de confianza y elija un nombre para la conexión. En Tipo de autenticación, elija Cuenta de la organización o Entidad de servicio.

   

   Cuando termine, seleccione Siguiente.

5. Seleccione el archivo que necesite copiar en el almacén de lago.

   

   Cuando termine, seleccione Siguiente.

6. En la pantalla Revisar y guardar, seleccione Iniciar transferencia de datos inmediatamente. Cuando haya terminado, seleccione Guardar y ejecutar.

   

7. Cuando cambie el estado de la canalización de En cola a Correcto, vaya al almacén de lago y compruebe que se hayan creado las tablas de datos.

Restricciones y consideraciones

• El acceso a áreas de trabajo de confianza solo se admite para las áreas de trabajo de capacidades de Fabric (F64 o superior).
• Solo puede usar el acceso de área de trabajo de confianza en accesos directos y canalizaciones de datos de OneLake. Para acceder de forma segura a las cuentas de almacenamiento desde Fabric Spark, consulte Puntos de conexión privados administrados para Fabric.
• Si un área de trabajo con una identidad de área de trabajo se migra a una capacidad que no es de Fabric o a una capacidad de Fabric inferior a F64, el acceso al área de trabajo de confianza dejará de funcionar después de una hora.
• Los accesos directos preexistentes creados antes del 10 de octubre de 2023 no admiten el acceso a áreas de trabajo de confianza.
• Las conexiones para el acceso a áreas de trabajo de confianza no se pueden crear ni modificar en Administrar conexiones y puertas de enlace.
• Si reutiliza conexiones que admiten el acceso a áreas de trabajo de confianza en elementos de Fabric distintos de los accesos directos y las canalizaciones, o en otras áreas de trabajo, es posible que no funcionen.
• Solo se debe usar una cuenta profesional o una entidad de servicio para la autenticación en las cuentas de almacenamiento para el acceso al área de trabajo de confianza.
• Las canalizaciones no pueden escribir en accesos directos de tablas de OneLake en cuentas de almacenamiento con acceso de área de trabajo de confianza. Tenga en cuenta que esta es una limitación temporal.
• Se puede configurar un máximo de 200 reglas de instancia de recursos. Para obtener más información, vea Límites y cuotas de suscripción de Azure: Azure Resource Manager.
• El acceso de área de trabajo de confianza solo funciona cuando se habilita el acceso público desde direcciones IP y redes virtuales seleccionadas.
• Las reglas de instancia de recursos para áreas de trabajo de Fabric se deben crear mediante plantillas de ARM. No se admiten las reglas de instancia de recursos creadas a través de la interfaz de usuario de Azure Portal.
• Los accesos directos preexistentes en un área de trabajo que cumpla los requisitos previos comenzarán a admitir el acceso de servicio de confianza automáticamente.

Ejemplo de plantilla de ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Contenido relacionado

• Identidad del área de trabajo
• Concesión de acceso a instancias de recursos de Azure
• Acceso de confianza basado en una identidad administrada