Se connecter à un compte de stockage Azure sécurisé à partir de votre espace de travail Azure Synapse

  • Article

Cet article explique comment se connecter à un compte de stockage Azure sécurisé à partir de votre espace de travail Microsoft Azure Synapse Analytics. Vous pouvez lier un compte de stockage Azure à votre espace de travail Azure Synapse lorsque vous créez votre espace de travail. Vous pouvez lier davantage de comptes de stockage après avoir créé votre espace de travail.

Sécuriser des comptes de stockage Azure

Le stockage Azure fournit un modèle de sécurité à plusieurs niveaux qui vous permet de sécuriser et de contrôler l’accès à vos comptes de stockage. Vous pouvez configurer des règles de pare-feu IP pour permettre au trafic de certaines plages d’adresses IP publiques d’accéder à votre compte de stockage. Vous pouvez également configurer des règles de réseau pour autoriser le trafic de certains réseaux virtuels à accéder à votre compte de stockage. Vous pouvez combiner sur le même compte de stockage des règles de pare-feu IP qui autorisent l’accès à partir de certaines plages d’adresses IP et des règles de réseau qui accordent l’accès à partir de certains réseaux virtuels. Ces règles s’appliquent s’appliquent au point de terminaison public d’un compte de stockage. Vous n’avez pas besoin de règles d’accès pour autoriser le trafic entre les points de terminaison privés gérés créés dans votre espace de travail et un compte de stockage. Les règles de pare-feu de stockage peuvent être appliquées aux comptes de stockage existants ou aux nouveaux comptes de stockage lorsque vous les créez. Vous pouvez en savoir plus sur la sécurisation de votre compte de stockage ici.

Espaces de travail Azure Synapse et réseaux virtuels

Lorsque vous créez un espace de travail Azure Synapse, vous pouvez choisir d’y associer un réseau virtuel géré. Si vous n’activez pas le réseau virtuel géré pour votre espace de travail lorsque vous le créez, votre espace de travail se trouve dans un réseau virtuel partagé avec d’autres espaces de travail Azure Synapse auxquels aucun réseau virtuel géré n’est associé. Si vous avez activé le réseau virtuel géré lors de la création de l’espace de travail, votre espace de travail est associé à un réseau virtuel dédié géré par Azure Synapse. Ces réseaux virtuels ne sont pas créés dans votre abonnement client. Par conséquent, vous ne pourrez pas accorder au trafic de ces réseaux virtuels l’accès à votre compte de stockage sécurisé en utilisant les règles de réseau décrites ci-dessus.

Accéder à un compte de stockage sécurisé

Azure Synapse fonctionne à partir de réseaux qui ne peuvent pas être inclus dans vos règles de réseau. Vous devez effectuer les opérations suivantes pour permettre l’accès à votre compte de stockage sécurisé depuis votre espace de travail :

  • Créez un espace de travail Azure Synapse avec un réseau virtuel géré qui lui est associé et créez des points de terminaison privés gérés entre celui-ci et le compte de stockage sécurisé.

    Si vous utilisez le portail Azure pour créer votre espace de travail, vous pouvez activer le réseau virtuel géré sous l’onglet Mise en réseau comme indiqué ci-dessous. Si vous activez le réseau virtuel géré ou si Synapse détermine que le compte de stockage principal est un compte de stockage sécurisé, vous pouvez créer une demande de connexion de point de terminaison privé géré au compte de stockage sécurisé, comme indiqué ci-dessous. Le propriétaire du compte de stockage doit approuver la demande de connexion pour établir la liaison privée. Synapse peut également approuver cette demande de connexion si l’utilisateur qui crée un pool Apache Spark dans l’espace de travail dispose des privilèges suffisants pour approuver la demande de connexion. Activer le VNet managé et le point de terminaison privé géré

  • Accordez à votre espace de travail Azure Synapse l’accès à votre compte de stockage sécurisé en tant que service Azure approuvé. En tant que service de confiance, Azure Synapse utilisera alors une authentification forte pour se connecter en toute sécurité à votre compte de stockage.

Créer un espace de travail Azure Synapse avec un réseau virtuel géré et créer des points de terminaison privés gérés sur votre compte de stockage

Vous pouvez suivre ces étapes pour créer un espace de travail Azure Synapse auquel est associé un réseau virtuel géré. Une fois l’espace de travail et le réseau virtuel géré associés créés, vous pouvez créer un point de terminaison privé géré sur votre compte de stockage sécurisé en suivant les étapes répertoriées ici.

Accorder à votre espace de travail Azure Synapse l’accès à votre compte de stockage sécurisé en tant que service Azure approuvé

Les capacités analytiques, telles que les pools SQL dédiés et les pools SQL serverless, utilisent une infrastructure mutualisée qui n’est pas déployée dans le réseau virtuel géré. Pour que le trafic provenant de ces capacités puisse accéder au compte de stockage sécurisé, vous devez configurer l’accès à votre compte de stockage en fonction de l’identité managée affectée par le système de l’espace de travail en suivant les étapes ci-dessous.

Dans Portail Azure, accédez à votre compte de stockage sécurisé. Sélectionnez Mise en réseau dans le volet de navigation de gauche. Dans la section Instances de ressource, sélectionnez Microsoft.Synapse/workspaces comme type de ressource, puis entrez le nom de votre espace de travail pour Nom de l’instance. Sélectionnez Enregistrer.

Configuration réseau du compte de stockage.

Vous devriez maintenant pouvoir accéder à votre compte de stockage sécurisé à partir de l’espace de travail.

Étapes suivantes

En savoir plus sur le Réseau virtuel d’espace de travail managé.

En savoir plus sur les Points de terminaison privés managés.