Accès à l'espace de travail approuvé

Fabric vous permet d'accéder de manière sécurisée à des comptes Azure Data Lake Storage (ADLS) Gen2 dotés d'un pare-feu. Les espaces de travail Fabric qui ont une identité d’espace de travail peuvent accéder en toute sécurité aux comptes ADLS Gen2 avec un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés ou avec l’accès réseau public désactivé. Vous pouvez limiter l’accès ADLS Gen2 à des espaces de travail Fabric spécifiques.

Les espaces de travail Fabric qui accèdent à un compte de stockage disposant d’un accès d’espace de travail approuvé ont besoin d’une autorisation appropriée pour la demande. L’autorisation est prise en charge avec des informations d’identification Microsoft Entra pour les comptes d’organisation ou les principaux de service. Pour plus d’informations sur les règles des instances de ressources, consultez Accorder l’accès depuis des instances de ressources Azure.

Pour limiter et protéger l’accès aux comptes de stockage avec pare-feu à partir de certains espaces de travail Fabric, vous pouvez configurer la règle d’instance de ressource pour autoriser l’accès à partir d’espaces de travail Fabric spécifiques.

Remarque

L'accès à l'espace de travail de confiance est généralement disponible, mais il ne peut être utilisé que dans des capacités UGS de type F. Pour plus d’informations sur l’achat d’un abonnement Fabric, consultez Acheter un abonnement Microsoft Fabric. L’accès aux espaces de travail approuvés n’est pas pris en charge dans les capacités d'essai.

Cet article vous montre comment :

• Configurez l’accès à l’espace de travail approuvé dans un compte de stockage ADLS Gen2.

• Créez un raccourci OneLake dans un Lakehouse Fabric qui se connecte à un compte de stockage ADLS Gen2 avec accès à l'espace de travail sécurisé.

• Créez un pipeline de données pour vous connecter directement à un compte ADLS Gen2 doté d'un pare-feu et dont l'accès à l'espace de travail sécurisé est activé.

• Utilisez l’instruction T-SQL COPY pour ingérer des données dans votre entrepôt à partir d’un compte ADLS Gen2 compatible avec le pare-feu pour lequel l’accès à l’espace de travail approuvé est activé.

• Créez un modèle sémantique en mode importation pour vous connecter à un compte ADLS Gen2 compatible avec le pare-feu avec lequel l’accès à l’espace de travail approuvé est activé.

Configurer l’accès à l’espace de travail approuvé dans ADLS Gen2

Règle d’instance de ressource via un modèle ARM

Vous pouvez configurer des espaces de travail Fabric spécifiques pour accéder à votre compte de stockage en fonction de leur identité d’espace de travail. Vous pouvez créer une règle d’instance de ressource en déployant un modèle ARM avec une règle d’instance de ressource. Pour créer une règle d’instance de ressources :

1. Connectez-vous au Portail Azure et accédez à Déploiement personnalisé.

2. Choisissez Créer votre propre modèle dans l’éditeur. Pour obtenir un exemple de modèle ARM qui crée une règle d’instance de ressource, consultez l’exemple de modèle ARM.

3. Créez la règle de l'instance de ressource dans l'éditeur. Lorsque vous êtes prêt, choisissez Vérifier + créer.

4. Sous l’onglet Informations de base qui s’affiche, spécifiez les détails du projet et de l’instance requis. Lorsque vous êtes prêt, choisissez Vérifier + créer.

5. Sous l’onglet Vérifier + créer, passez en revue le résumé, puis sélectionnez Créer. La règle sera préparée en vue du déploiement.

6. Une fois le déploiement terminé, vous pourrez accéder à la ressource.

Remarque

• Les règles d’instance de ressource pour les espaces de travail Fabric peuvent uniquement être créées via des modèles ARM ou PowerShell. La création via le Portail Azure n’est pas prise en charge.
• Le subscriptionId « 00000000-0000-0000-0000-000000000000 » doit être utilisé pour le resourceId de l’espace de travail Fabric.
• Vous pouvez obtenir l’id d’espace de travail d’un espace de travail Fabric via son URL de barre d'adresse.

Voici un exemple de règle d’instance de ressource qui peut être créée via un modèle ARM. Pour obtenir un exemple complet, consultez l’exemple de modèle ARM.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Règle d’instance de ressource via un script PowerShell

Vous pouvez créer une règle d’instance de ressource via PowerShell à l’aide du script suivant.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Exception de service de confiance

Si vous sélectionnez l’exception de service approuvé pour un compte ADLS Gen2 qui dispose d’un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés, les espaces de travail Fabric avec une identité d’espace de travail pourront accéder au compte de stockage. Quand la case d’exception de service approuvée est cochée, les espaces de travail des capacités Fabric de votre locataire disposant d’une identité d’espace de travail peuvent accéder aux données stockées dans le compte de stockage.

Cette configuration n’est pas recommandée et la prise en charge peut être abandonnée à l’avenir. Nous vous recommandons d’utiliser des règles d’instance de ressources pour accorder l’accès à des ressources spécifiques.

Qui peut configurer des comptes de stockage pour l’accès au service approuvé ?

Un contributeur sur le compte de stockage (un rôle RBAC Azure) peut configurer des règles d'instance de ressources ou une exception de service de confiance.

Comment utiliser l’accès à l’espace de travail approuvé dans Fabric

Il existe plusieurs façons d’utiliser l’accès à l’espace de travail approuvé pour accéder à vos données à partir de Fabric de manière sécurisée :

• Vous pouvez créer un raccourci ADLS dans Fabric Lakehouse pour commencer à analyser vos données avec Spark, SQL et Power BI.

• Vous pouvez créer un pipeline de données qui utilise l’accès à l’espace de travail approuvé pour accéder directement à un compte ADLS Gen2 doté d'un pare-feu.

• Vous pouvez utiliser une instruction T-SQL Copy qui tire parti de l’accès de l’espace de travail approuvé pour ingérer des données dans un entrepôt Fabric.

• Vous pouvez utiliser un modèle sémantique (mode d’importation) pour tirer parti de l’accès à l’espace de travail approuvé et créer des modèles et des rapports sur les données.

Les sections suivantes vous montrent comment utiliser ces méthodes.

Créer un raccourci OneLake vers un compte de stockage avec accès à l’espace de travail approuvé

Avec l’identité de l’espace de travail configurée dans Fabric et l’accès à l’espace approuvé activé dans votre compte de stockage ADLS Gen2, vous pouvez créer des raccourcis OneLake pour accéder à vos données à partir de Fabric. Vous créez simplement un raccourci ADLS dans Fabric Lakehouse et vous pouvez commencer à analyser vos données avec Spark, SQL et Power BI.

Prérequis

• Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
• Créez une identité d’espace de travail associée à l’espace de travail Fabric.
• Le principal utilisé pour l’authentification dans le raccourci doivent avoir des rôles RBAC Azure sur le compte de stockage. Le principal doit disposer d’un rôle de Contributeur aux données Blob du stockage, de Propriétaire des données Blob du stockage ou de Lecteur des données Blob du stockage au niveau du compte de stockage, ou d’un rôle de Délégation d’objet blob de stockage au niveau du compte de stockage, avec un accès au niveau du dossier dans le conteneur. L’accès au niveau du dossier peut être fourni via un rôle RBAC au niveau du conteneur ou via un accès spécifique au niveau du dossier.
• Configurez une règle d’instance de ressource pour le compte de stockage.

Remarque

• Les raccourcis préexistants dans un espace de travail qui répondent aux conditions préalables commencent automatiquement à prendre en charge l’accès au service approuvé.
• Vous devez utiliser l’identifiant d’URL DFS pour le compte de stockage. Prenons un exemple : https://StorageAccountName.dfs.core.windows.net
• Les principaux de service peuvent également créer des raccourcis vers des comptes de stockage disposant d’un accès approuvé.

Étapes

1. Commencez par créer un nouveau raccourci dans un Lakehouse.

   

   L’Assistant Nouveau raccourci s’ouvre.

2. Sous Sources externes, sélectionnez Azure Data Lake Storage Gen2.

   

3. Indiquez l’URL du compte de stockage configuré avec l’accès à l’espace de travail approuvé, puis choisissez un nom pour la connexion. Pour le type d’authentification, choisissez Compte professionnel ou Principal de service.

   

   Lorsque vous avez terminé, sélectionnez Suivant.

4. Indiquez le nom de raccourci et le sous-chemin d’accès.

   

   Quand vous avez terminé, sélectionnez Créer.

5. Le raccourci lakehouse est créé et vous devez être en mesure d’afficher un aperçu des données de stockage dans le raccourci.

   

Utiliser le raccourci OneLake vers un compte de stockage avec accès à l’espace de travail approuvé dans les éléments Fabric

Avec OneCopy dans Fabric, vous pouvez accéder à vos raccourcis OneLake avec un accès approuvé à partir de toutes les charges de travail Fabric.

• Spark : vous pouvez utiliser Spark pour accéder aux données à partir de vos raccourcis OneLake. Lorsque des raccourcis sont utilisés dans Spark, ils apparaissent sous forme de dossiers dans OneLake. Vous devez simplement référencer le nom du dossier pour accéder aux données. Vous pouvez utiliser le raccourci OneLake vers des comptes de stockage avec accès à l’espace de travail approuvé dans les notebooks Spark.

• point de terminaison d'analytique SQL : les raccourcis créés dans la section « Tables » de votre lakehouse sont également disponibles dans le point de terminaison d'analytique SQL. Vous pouvez ouvrir le point de terminaison d'analytique SQL et interroger vos données comme n’importe quelle autre table.

• Pipelines : les pipelines de données peuvent accéder aux raccourcis managés vers les comptes de stockage avec un accès à l’espace de travail approuvé. Les pipelines de données peuvent être utilisés pour lire ou écrire dans des comptes de stockage via des raccourcis OneLake.

• Flux de données v2 : les flux de données Gen2 peuvent être utilisés pour accéder aux raccourcis managés vers les comptes de stockage avec un accès à l’espace de travail approuvé. Les flux de données Gen2 peuvent lire ou écrire dans des comptes de stockage via des raccourcis OneLake.

• Modèles sémantiques et rapports : le modèle sémantique par défaut associé au point de terminaison d'analytique SQL d’un Lakehouse peut lire des raccourcis managés vers des comptes de stockage disposant d’un accès approuvé à l’espace de travail. Pour afficher les tables managées dans le modèle sémantique par défaut, accédez à l’élément du point de terminaison d'analytique SQL, sélectionnez Création de rapports et choisissez Mettre à jour automatiquement le modèle sémantique.

  Vous pouvez également créer de nouveaux modèles sémantiques qui référencent les raccourcis de table vers les comptes de stockage avec accès à l’espace de travail approuvé. Accédez au point de terminaison d'analytique SQL, sélectionnez Création de rapports et choisissez Nouveau modèle sémantique.

  Vous pouvez créer des rapports en plus des modèles sémantiques par défaut et des modèles sémantiques personnalisés.

• Base de données KQL : vous pouvez également créer des raccourcis OneLake vers ADLS Gen2 dans une base de données KQL. Les étapes de création du raccourci managé avec l’accès à l’espace de travail approuvé restent les mêmes.

Créer un pipeline de données vers un compte de stockage avec accès à l’espace de travail approuvé

Avec l’identité de l’espace de travail configurée dans Fabric et l’accès approuvé activé dans votre compte de stockage ADLS Gen2, vous pouvez créer des pipelines de données pour accéder à vos données à partir de Fabric. Vous pouvez créer un pipeline de données pour copier les données dans Fabric Lakehouse et commencer à analyser vos données avec Spark, SQL et Power BI.

Prérequis

• Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
• Créez une identité d’espace de travail associée à l’espace de travail Fabric.
• Le principal utilisé pour l’authentification dans le pipeline doivent avoir des rôles RBAC Azure sur le compte de stockage. Le principal de service doit avoir le rôle Lecteur de données blob du stockage, Contributeur aux données Blob du stockage ou Propriétaire des données blob du stockage sur le compte de stockage.
• Configurez une règle d’instance de ressource pour le compte de stockage.

Étapes

1. Commencez par sélectionner Obtenir des données dans un lakehouse.

2. Sélectionnez Nouveau pipeline de données. Spécifiez un nom pour le pipeline, puis sélectionnez Créer.

   

3. Choisissez Azure Data Lake Gen2 comme source de données.

   

4. Indiquez l’URL du compte de stockage configuré avec l’accès à l’espace de travail approuvé, puis choisissez un nom pour la connexion. Pour le type d’authentification, choisissez Compte professionnel ou Principal de service.

   

   Lorsque vous avez terminé, sélectionnez Suivant.

5. Sélectionnez le fichier que vous devez copier dans le Lakehouse.

   

   Lorsque vous avez terminé, sélectionnez Suivant.

6. Dans l’écran Vérifier + enregistrer, sélectionnez Démarrer le transfert de données immédiatement. Lorsque vous avez terminé, sélectionnez Enregistrer + exécuter.

   

7. Quand l’état du pipeline passe de Mis en file d’attente à Réussi, accédez au lakehouse et vérifiez que les tables de données ont été créées.

Utiliser l’instruction T-SQL COPY pour ingérer les données dans votre entrepôt de données

Avec l'identité de l'espace de travail configurée dans Fabric et l'accès de confiance activé dans votre compte de stockage ADLS Gen2, vous pouvez utiliser l'instruction T-SQL COPY pour ingérer des données dans votre entrepôt Fabric. Une fois les données ingérées dans l’entrepôt, vous pouvez commencer à analyser vos données avec SQL et Power BI. Les utilisateurs ayant des rôles d’espace de travail Administrateur, Membre, Contributeur ou Viewer, ou des autorisations de lecture sur l’entrepôt peuvent utiliser l’accès approuvé avec la commande T-SQL COPY.

Créer un modèle sémantique avec un accès d’espace de travail approuvé

Les modèles sémantiques en mode importation facilitent l'accès aux espaces de travail de confiance pour les comptes de stockage. Vous pouvez utiliser cette fonctionnalité pour créer des modèles et des rapports pour les données dans les comptes de stockage ADLS Gen2 prenant en charge le pare-feu.

Prérequis

• Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
• Créez une identité d’espace de travail associée à l’espace de travail Fabric.
• Connexion au compte de stockage ADLS Gen2. Le principal utilisé pour l’authentification dans la connexion liée au modèle sémantique doit avoir des rôles RBAC Azure sur le compte de stockage. Le principal de service doit avoir le rôle Lecteur de données blob du stockage, Contributeur aux données Blob du stockage ou Propriétaire des données blob du stockage sur le compte de stockage.
• Configurez une règle d’instance de ressource pour le compte de stockage.

Étapes

1. Créez le modèle sémantique dans Power BI Desktop qui se connecte au compte de stockage ADLS Gen2 à l’aide des étapes répertoriées dans Analyser les données dans Azure Data Lake Storage Gen2 à l’aide de Power BI. Vous pouvez utiliser un compte d’organisation pour vous connecter à Azure Data Lake Storage Gen2 dans Desktop.
2. Importez le modèle dans l’espace de travail configuré avec l’identité de l’espace de travail.
3. Accédez aux paramètres du modèle et développez la section Passerelle et connexions cloud.
4. Sous connexions cloud, sélectionnez une connexion de données pour le compte de stockage ADLS Gen2 (cette connexion peut avoir l’identité de l’espace de travail, le principal de service et le compte d’organisation comme méthode d’authentification)
5. Sélectionnez Appliquer , puis actualisez le modèle pour finaliser la configuration.

Restrictions et considérations

• L’accès à l’espace de travail approuvé est pris en charge pour les espaces de travail dans n’importe quelle capacité Fabric de référence SKU F.
• Vous ne pouvez utiliser l’accès à l’espace de travail approuvé que dans les raccourcis OneLake, les pipelines de données, les modèles sémantiques et l’instruction T-SQL COPY. Pour accéder en toute sécurité aux comptes de stockage à partir de Fabric Spark, consultez Points de terminaison privés gérés pour Fabric.
• Si un espace de travail avec une identité d’espace de travail est migré vers une capacité non-Fabric, ou vers une capacité Fabric d’une référence SKU autre que F, l’accès à l’espace de travail approuvé cessera de fonctionner au bout d’une heure.
• Les raccourcis préexistants créés avant le 10 octobre 2023 ne prennent pas en charge l’accès à l’espace de travail approuvé.
• Les connexions pour l’accès à un espace de travail approuvé peuvent être créées dans Gérer les connexions et les passerelles ; toutefois, l’identité de l’espace de travail est la seule méthode d’authentification prise en charge. La connexion de test échoue si les méthodes d’authentification du compte d’organisation ou du principal de service sont utilisées.
• Si vous souhaitez utiliser le principal de service ou les comptes organisationnels comme méthode d’authentification dans les connexions à un compte de stockage activé par le pare-feu, vous pouvez utiliser des expériences de création de raccourci ou de pipeline, ou l’expérience de création de rapports rapides Power BI pour créer la connexion. Plus tard, vous pouvez lier cette connexion à des modèles sémantiques, ainsi que d’autres raccourcis et pipelines.
• Si un modèle sémantique utilise des connexions cloud personnelles, vous pouvez uniquement utiliser l’identité de l’espace de travail comme méthode d’authentification pour l’accès approuvé au stockage. Nous vous recommandons de remplacer les connexions cloud personnelles par des connexions cloud partagées.
• Les connexions aux comptes de stockage avec pare-feu activé auront l’état Hors connexion dans Gérer les connexions et les passerelles.
• Si vous réutilisez les connexions qui prennent en charge l’accès à un espace de travail approuvé dans les éléments Fabric autres que les raccourcis, les pipelines et les modèles sémantiques, ou dans d’autres espaces de travail, ils peuvent ne pas fonctionner.
• Seuls le compte d’organisation, le principal de service et l’identité de l’espace de travail doivent être utilisés pour l’authentification des comptes de stockage afin d’assurer un accès approuvé à l’espace de travail dans les raccourcis et les pipelines.
• Les pipelines ne peuvent pas écrire dans des raccourcis de table OneLake sur les comptes de stockage avec accès à l’espace de travail approuvé. Il s’agit d’une limite temporaire.
• Vous pouvez configurer au maximum 200 règles d’instance de ressource. Pour plus d’informations, consultez Limites et quotas de l’abonnement Azure - Azure Resource Manager.
• L’accès à l’espace de travail approuvé fonctionne uniquement lorsque l’accès public est activé à partir de réseaux virtuels et d’adresses IP sélectionnés ou lorsque l’accès public est désactivé.
• Les règles d’instance de ressource pour les espaces de travail Fabric doivent être créées via des modèles ARM. Les règles d’instance de ressource créées via l’interface utilisateur du portail Azure ne sont pas prises en charge.
• Les raccourcis préexistants dans un espace de travail qui répondent aux conditions préalables commencent automatiquement à prendre en charge l’accès au service approuvé.
• Si votre organisation a une stratégie d’accès conditionnel Entra pour les identités de charge de travail qui inclut tous les principaux de service, l’accès à l’espace de travail approuvé ne fonctionnera pas. Dans de tels cas, vous devez exclure des identités spécifiques d’espace de travail Fabric des règles d’accès conditionnel pour les identités de charge de travail.
• L’accès à l’espace de travail approuvé n’est pas compatible avec les requêtes interlocataires.

Exemple de modèles ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Contenu connexe

• Identité de l’espace de travail
• Accorder l’accès depuis des instances de ressource Azure
• Accès approuvé basé sur une identité managée