Acceso a áreas de trabajo de confianza
Fabric le permite acceder a cuentas de Azure Data Lake Storage (ADLS) Gen2 habilitadas para firewall de forma segura. Las áreas de trabajo de Fabric que tienen una identidad de área de trabajo pueden acceder de forma segura a cuentas de ADLS Gen2 con acceso de red pública habilitado desde redes virtuales y direcciones IP seleccionadas. Puede limitar el acceso de ADLS Gen2 a áreas de trabajo de Fabric específicas.
Las áreas de trabajo de Fabric que acceden a una cuenta de almacenamiento con acceso de área de trabajo de confianza necesitan la autorización adecuada para la solicitud. La autorización se admite con las credenciales de Microsoft Entra para cuentas profesionales o entidades de servicio. Para más información sobre las reglas de instancia de recursos, vea Concesión de acceso desde instancias de recursos de Azure.
Para limitar y proteger el acceso a cuentas de almacenamiento habilitadas para firewall desde determinadas áreas de trabajo de Fabric, puede configurar la regla de instancia de recursos para permitir el acceso desde áreas de trabajo de Fabric específicas.
Nota:
El acceso al área de trabajo de confianza está disponible con carácter general, pero solo se puede usar en las capacidades de SKU de F. Para obtener información sobre cómo comprar una suscripción de Fabric, vea Compra de una suscripción de Microsoft Fabric. El acceso al área de trabajo de confianza no se admite en las capacidades de prueba.
En este artículo aprenderá a:
Configurar el acceso de área de trabajo de confianza en una cuenta de almacenamiento de ADLS Gen2.
Crear un acceso directo de OneLake en un almacén de lago de Fabric que conecte con una cuenta de almacenamiento de ADLS Gen2 habilitada para el área de trabajo de confianza.
Crear una canalización de datos para conectar directamente a una cuenta de ADLS Gen2 habilitada para un servidor de seguridad con el acceso de área de trabajo de confianza habilitado.
Use la instrucción COPY de T-SQL para ingerir datos en el almacenamiento desde una cuenta de ADLS Gen2 habilitada para un servidor de seguridad que tenga habilitado el acceso al área de trabajo de confianza.
Configuración del acceso a áreas de trabajo de confianza en ADLS Gen2
Regla de instancias de recursos
Puede configurar áreas de trabajo de Fabric específicas para acceder a la cuenta de almacenamiento en función de su identidad de área de trabajo. Puede crear una regla de instancia de recursos mediante la implementación de una plantilla de ARM con una regla de instancia de recursos. Para crear una regla de instancia de recursos:
Inicie sesión en Azure Portal y vaya a Implementación personalizada.
Seleccione Cree su propia plantilla en el editor. Para obtener una plantilla de ARM de ejemplo que crea una regla de instancia de recursos, consulte ejemplo de plantilla de ARM.
Cree la regla de instancia de recursos en el editor. Cuando termine, elija Revisar y crear.
En la pestaña Aspectos básicos que aparece, especifique los detalles necesarios del proyecto y la instancia. Cuando termine, elija Revisar y crear.
En la pestaña Revisar y crear que se abre, revise el resumen y, después, seleccione Crear. La regla se enviará para su implementación.
Cuando la implementación se complete, podrá ir al recurso.
Nota:
- Las reglas de instancia de recursos para áreas de trabajo de Fabric solo se pueden crear mediante plantillas de ARM. No se admite la creación desde Azure Portal.
- El subscriptionId “000000000-0000-0000-00000-0000000000000” debe usarse para el resourceId del área de trabajo de Fabric.
- Puede obtener el identificador del área de trabajo de un área de trabajo de Fabric a través de su dirección URL de la barra de direcciones.
Este es un ejemplo de una regla de instancia de recursos que se puede crear mediante una plantilla de ARM. Para obtener un ejemplo completo, consulte ejemplo de plantilla de ARM.
"resourceAccessRules": [
{ "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
}
]
Excepción de servicio de confianza
Si selecciona la excepción de servicio de confianza para una cuenta de ADLS Gen2 que tenga habilitado el acceso a la red pública desde redes virtuales y direcciones IP seleccionadas, las áreas de trabajo de Fabric con una identidad de área de trabajo podrán acceder a la cuenta de almacenamiento. Cuando se activa la casilla de excepción de servicio de confianza, las áreas de trabajo de las capacidades de Fabric del inquilino que tengan una identidad de área de trabajo pueden acceder a los datos almacenados en la cuenta de almacenamiento.
Esta configuración no se recomienda y es posible que la compatibilidad se quite en el futuro. Se recomienda usar reglas de instancia de recursos para conceder acceso a recursos específicos.
¿Quién puede configurar cuentas de almacenamiento para el acceso de servicio de confianza?
Un colaborador de la cuenta de almacenamiento (un rol RBAC de Azure) puede configurar reglas de instancia de recursos o una excepción de servicio de confianza.
Procedimiento para usar el acceso a áreas de trabajo de confianza en Fabric
Actualmente hay tres maneras de usar el acceso de área de trabajo de confianza para acceder a los datos desde Fabric de forma segura:
Puede crear un nuevo acceso directo de ADLS en un almacén de lago de Fabric para empezar a analizar los datos con Spark, SQL y Power BI.
Puede crear una canalización de datos que saque provecho del acceso de área de trabajo de confianza para acceder directamente a una cuenta de ADLS Gen2 habilitada para un servidor de seguridad.
Puede usar una instrucción copy de T-SQL que aproveche el acceso de área de trabajo de confianza para ingerir datos en un almacenamiento de Fabric.
En las secciones siguientes se muestra cómo usar estos métodos.
Creación de un acceso directo de OneLake a la cuenta de almacenamiento con acceso de área de trabajo de confianza
Con la identidad de área de trabajo configurada en Fabric y el acceso de área de trabajo de confianza habilitado en la cuenta de almacenamiento de ADLS Gen2, puede crear accesos directos de OneLake para acceder a los datos desde Fabric. Solo tiene que crear un acceso directo de ADLS en un almacén de lago de Fabric para poder empezar a analizar los datos con Spark, SQL y Power BI.
Requisitos previos
- Un área de trabajo de Fabric asociada a una capacidad de Fabric. Vea Identidad del área de trabajo.
- Crear una identidad de área de trabajo asociada al área de trabajo de Fabric.
- La cuenta de usuario o la entidad de servicio usadas como tipo de autenticación en el acceso directo deben tener roles de RBAC de Azure en la cuenta de almacenamiento. La entidad de seguridad debe tener un rol de Colaborador de datos de blobs de almacenamiento, Propietario de datos de blobs de almacenamiento o Lector de datos de blobs de almacenamiento en el ámbito de la cuenta de almacenamiento, o bien un rol de Delegador de Blob Storage en el ámbito de la cuenta de almacenamiento, además de un rol de Lector de datos de blobs de almacenamiento en el ámbito del contenedor.
- Configurar una regla de instancia de recursos para la cuenta de almacenamiento.
Nota:
- Los accesos directos preexistentes en un área de trabajo que cumpla los requisitos previos comenzarán a admitir el acceso de servicio de confianza automáticamente.
- Debe usar el identificador de dirección URL de DFS para la cuenta de almacenamiento. A continuación, tiene un ejemplo:
https://StorageAccountName.dfs.core.windows.net
Pasos
Empiece por crear un acceso directo en un almacén de lago.
Se abre el Asistente para nuevo acceso directo.
En Orígenes externos, seleccione Azure Data Lake Storage Gen2.
Proporcione la dirección URL de la cuenta de almacenamiento que se ha configurado con acceso al área de trabajo de confianza y elija un nombre para la conexión. En Tipo de autenticación, elija Cuenta de la organización o Entidad de servicio.
Cuando termine, seleccione Siguiente.
Proporcione el nombre del acceso directo y la ruta de acceso secundaria.
Cuando haya terminado, seleccione Crear.
Se crea el acceso directo del almacén de lago y debería poder obtener una vista previa de los datos de almacenamiento en el acceso directo.
Uso del acceso directo de OneLake a una cuenta de almacenamiento con acceso de área de trabajo de confianza en elementos de Fabric
Con OneCopy en Fabric, puede acceder a los accesos directos de OneLake con acceso de confianza desde todas las cargas de trabajo de Fabric.
Spark: puede usar Spark para acceder a los datos desde los accesos directos de OneLake. Cuando se usan accesos directos en Spark, aparecen como carpetas en OneLake. Para acceder a los datos, solo tiene que hacer referencia al nombre de la carpeta. Puede usar el acceso directo de OneLake a las cuentas de almacenamiento con acceso de área de trabajo de confianza en cuadernos de Spark.
Punto de conexión de SQL Analytics: los accesos directos creados en la sección "Tablas" del almacén de lago también están disponibles en el punto de conexión de SQL Analytics. Puede abrir el punto de conexión de SQL Analytics y consultar los datos igual que lo hace con cualquier otra tabla.
Canalizaciones: las canalizaciones de datos pueden acceder a accesos directos administrados para cuentas de almacenamiento con acceso de área de trabajo de confianza. Las canalizaciones de datos se pueden usar para leer o escribir en cuentas de almacenamiento mediante accesos directos de OneLake.
Flujos de datos v2: los flujos de datos de Gen2 se pueden usar para acceder a accesos directos administrados para cuentas de almacenamiento con acceso de área de trabajo de confianza. Los flujos de datos de Gen2 pueden leer o escribir en cuentas de almacenamiento mediante accesos directos de OneLake.
Informes y modelos semánticos: el modelo semántico predeterminado asociado a un punto de conexión de SQL Analytics de un almacén de lago puede leer accesos directos administrados para cuentas de almacenamiento con acceso de área de trabajo de confianza. Para ver las tablas administradas en el modelo semántico predeterminado, vaya al punto de conexión de SQL Analytics, seleccione Informes y elija Actualizar automáticamente el modelo semántico.
También puede crear modelos semánticos que hagan referencia a accesos directos de tabla para cuentas de almacenamiento con acceso de área de trabajo de confianza. Vaya al punto de conexión de SQL Analytics, seleccione Informes y elija Nuevo modelo semántico.
Puede crear informes sobre los modelos semánticos predeterminados y modelos semánticos personalizados.
Base de datos KQL: también puede crear accesos directos de OneLake a ADLS Gen2 en una base de datos KQL. Los pasos para crear el acceso directo administrado con acceso al área de trabajo de confianza son los mismos.
Creación de una canalización de datos a una cuenta de almacenamiento con acceso de área de trabajo de confianza
Con la identidad del área de trabajo configurada en Fabric y el acceso de confianza habilitado en la cuenta de almacenamiento de ADLS Gen2, puede crear canalizaciones de datos para acceder a los datos desde Fabric. Puede crear una nueva canalización de datos para copiar los datos en un almacén de lago de Fabric y, después, empezar a analizar los datos con Spark, SQL y Power BI.
Requisitos previos
- Un área de trabajo de Fabric asociada a una capacidad de Fabric. Vea Identidad del área de trabajo.
- Crear una identidad de área de trabajo asociada al área de trabajo de Fabric.
- La cuenta de usuario o la entidad de servicio utilizadas para crear la conexión deben tener roles RBAC de Azure en la cuenta de almacenamiento. La entidad de servicio debe tener el rol Colaborador de datos de Storage Blob, Propietario de datos de Storage Blob o Lector de datos de Storage Blob en el ámbito de la cuenta de almacenamiento.
- Configurar una regla de instancia de recursos para la cuenta de almacenamiento.
Pasos
Empiece seleccionando Obtener datos en un almacén de lago.
Seleccione Nueva canalización. Ponga un nombre a la canalización y seleccione Crear.
Elija Azure Data Lake Gen2 como origen de datos.
Proporcione la dirección URL de la cuenta de almacenamiento que se ha configurado con acceso al área de trabajo de confianza y elija un nombre para la conexión. En Tipo de autenticación, elija Cuenta de la organización o Entidad de servicio.
Cuando termine, seleccione Siguiente.
Seleccione el archivo que necesite copiar en el almacén de lago.
Cuando termine, seleccione Siguiente.
En la pantalla Revisar y guardar, seleccione Iniciar transferencia de datos inmediatamente. Cuando haya terminado, seleccione Guardar y ejecutar.
Cuando cambie el estado de la canalización de En cola a Correcto, vaya al almacén de lago y compruebe que se hayan creado las tablas de datos.
Usar la instrucción COPY de T-SQL para ingerir datos en el almacén
Con la identidad del área de trabajo configurada en Fabric y el acceso de confianza habilitado en la cuenta de almacenamiento de ADLS Gen2, puede crear usar la instrucción T-SQL COPY para ingerir datos en su almacén de Fabric. Una vez que se ingieren los datos en el almacén, puede empezar a analizar los datos con SQL y Power BI.
Restricciones y consideraciones
- El acceso a áreas de trabajo de confianza solo se admite para las áreas de trabajo de capacidades de SKU de Fabric F.
- Solo puede usar el acceso de área de trabajo de confianza en accesos directos y canalizaciones de datos de OneLake, y la instrucción COPY de T-SQL. Para acceder de forma segura a las cuentas de almacenamiento desde Fabric Spark, consulte Puntos de conexión privados administrados para Fabric.
- Si un área de trabajo con una identidad de área de trabajo se migra a una capacidad que no es de Fabric o a una capacidad de SKU que no sea la versión Fabric F, el acceso al área de trabajo de confianza dejará de funcionar después de una hora.
- Los accesos directos preexistentes creados antes del 10 de octubre de 2023 no admiten el acceso a áreas de trabajo de confianza.
- Las conexiones para el acceso a áreas de trabajo de confianza no se pueden crear ni modificar en Administrar conexiones y puertas de enlace.
- Las conexiones a las cuentas de almacenamiento habilitadas para firewall tendrán el estado Sin conexión en Administrar conexiones y las puertas de enlace.
- Si reutiliza conexiones que admiten el acceso a áreas de trabajo de confianza en elementos de Fabric distintos de los accesos directos y las canalizaciones, o en otras áreas de trabajo, es posible que no funcionen.
- Solo se debe usar una cuenta profesional o una entidad de servicio para la autenticación en las cuentas de almacenamiento para el acceso al área de trabajo de confianza.
- Las canalizaciones no pueden escribir en accesos directos de tablas de OneLake en cuentas de almacenamiento con acceso de área de trabajo de confianza. Tenga en cuenta que esta es una limitación temporal.
- Se puede configurar un máximo de 200 reglas de instancia de recursos. Para obtener más información, vea Límites y cuotas de suscripción de Azure: Azure Resource Manager.
- El acceso de área de trabajo de confianza solo funciona cuando se habilita el acceso público desde direcciones IP y redes virtuales seleccionadas.
- Las reglas de instancia de recursos para áreas de trabajo de Fabric se deben crear mediante plantillas de ARM. No se admiten las reglas de instancia de recursos creadas a través de la interfaz de usuario de Azure Portal.
- Los accesos directos preexistentes en un área de trabajo que cumpla los requisitos previos comenzarán a admitir el acceso de servicio de confianza automáticamente.
- Si su organización tiene una directiva de acceso condicional Entra para las identidades de carga de trabajo que incluye todas las entidades de servicio, el acceso al área de trabajo de confianza no funcionará. En tales casos, debe excluir identidades específicas del área de trabajo de Fabric de la directiva de acceso condicional para las identidades de carga de trabajo.
- No se admite el acceso al área de trabajo de confianza si se usa una entidad de servicio para crear acceso directo.
Solución de problemas con el acceso al área de trabajo de confianza
Si un acceso directo en una instancia de almacén de lago que tiene como destino una cuenta de almacenamiento de ADLS Gen2 protegida por firewall deja de estar accesible, puede deberse a que el almacén de lago se ha compartido con un usuario que no tiene un rol de administrador, miembro o colaborador en el área de trabajo donde reside la instancia de almacén de lago. Este es un problema conocido. El recurso no es compartir el almacén de lago con los usuarios que no tienen un rol de administrador, miembro o colaborador en el área de trabajo.
Ejemplo de plantilla de ARM
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}