Accès à l’espace de travail approuvé (préversion)

  • Article

Fabric vous permet d’accéder aux comptes Azure Data Lake Gen 2 avec pare-feu de manière sécurisée. Les espaces de travail Fabric qui ont une identité d’espace de travail peuvent accéder en toute sécurité aux comptes Azure Data Lake Gen 2 avec un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés. Vous pouvez limiter l’accès ADLS gen 2 à des espaces de travail Fabric spécifiques.

Les espaces de travail Fabric qui accèdent à un compte de stockage disposant d’un accès d’espace de travail approuvé ont besoin d’une autorisation appropriée pour la demande. L’autorisation est prise en charge avec les informations d’identification Microsoft Entra pour les comptes d’organisation ou les principaux de service. Pour en savoir plus sur les règles d’instance de ressource, consultez Accorder l’accès à partir d’instances de ressources Azure.

Pour limiter et protéger l’accès aux comptes de stockage avec pare-feu à partir de certains espaces de travail Fabric, vous pouvez configurer la règle d’instance de ressource pour autoriser l’accès à partir d’espaces de travail Fabric spécifiques.

Remarque

L’accès à un espace de travail approuvé est actuellement en préversion publique. L’identité de l’espace de travail Fabric ne peut être créée que dans les espaces de travail associés à une capacité Fabric (F64 ou ultérieure). Pour plus d’informations sur l’achat d’un abonnement Fabric, consultez Acheter un abonnement Microsoft Fabric.

Cet article vous montre comment :

Configurer l’accès à l’espace de travail approuvé dans ADLS Gen2

Règle d’instance de ressource

Vous pouvez configurer des espaces de travail Fabric spécifiques pour accéder à votre compte de stockage en fonction de leur identité d’espace de travail. Vous pouvez créer une règle d’instance de ressource en déployant un modèle ARM avec une règle d’instance de ressource. Pour créer une règle d’instance de ressource :

  1. Connectez-vous au Portail Azure et accédez à Déploiement personnalisé.

  2. Choisissez Créer votre propre modèle dans l’éditeur. Un exemple de modèle ARM qui crée une règle d’instance de ressource est fourni à la fin de ce document.

  3. Créez la règle d’instance de ressource dans l’éditeur. Lorsque vous êtes prêt, choisissez Vérifier + créer.

  4. Sous l’onglet Informations de base qui s’affiche, spécifiez les détails du projet et de l’instance requis. Lorsque vous êtes prêt, choisissez Vérifier + créer.

  5. Sous l’onglet Vérifier + créer, passez en revue le résumé, puis sélectionnez Créer. La règle sera envoyée pour le déploiement.

  6. Une fois le déploiement terminé, vous pourrez accéder à la ressource.

Remarque

  • Les règles d’instance de ressource pour les espaces de travail Fabric peuvent uniquement être créées via des modèles ARM. La création via le Portail Azure n’est pas prise en charge.
  • Le subscriptionId « 00000000-0000-0000-0000-000000000000 » doit être utilisé pour le resourceId de l’espace de travail Fabric.
  • Vous pouvez obtenir l’id d’espace de travail d’un espace de travail Fabric via son URL de barre d'adresse.

Capture d’écran montrant la règle d’instance de ressource configurée.

Voici un exemple de règle d’instance de ressource qui peut être créée via un modèle ARM :

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624”
       }
]

Exception de service approuvé

Si vous sélectionnez l’exception de service approuvé pour un compte Azure Data Lake Gen 2 qui dispose d’un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés, les espaces de travail Fabric avec une identité d’espace de travail pourront accéder au compte de stockage. Lorsque la case d’exception de service approuvé est sélectionnée, tous les espaces de travail des capacités Fabric de votre locataire disposant d’une identité d’espace de travail peuvent accéder aux données stockées dans le compte de stockage.

Cette configuration n’est pas recommandée et la prise en charge peut être abandonnée à l’avenir. Nous vous recommandons d’utiliser des règles d’instance de ressources pour accorder l’accès à des ressources spécifiques.

Qui peut configurer des comptes de stockage pour l’accès au service approuvé ?

Un contributeur sur le compte de stockage (un rôle RBAC Azure) peut configurer des règles d’instance de ressource ou une exception de service approuvé.

Comment utiliser l’accès à l’espace de travail approuvé dans Fabric

Il existe actuellement deux façons d’utiliser l’accès à l’espace de travail approuvé pour accéder à vos données à partir de Fabric de manière sécurisée :

  • Vous pouvez créer un raccourci ADLS dans Fabric Lakehouse pour commencer à analyser vos données avec Spark, SQL et Power BI.

  • Vous pouvez créer un pipeline de données qui utilise l’accès à l’espace de travail approuvé pour accéder directement à un compte Azure Data Lake Gen 2 avec pare-feu.

Les sections suivantes vous montrent comment utiliser ces deux méthodes.

Créer un raccourci OneLake vers un compte de stockage avec accès à l’espace de travail approuvé

Avec l’identité de l’espace de travail configurée dans Fabric et l’accès à l’espace approuvé activé dans votre compte de stockage ADLS Gen2, vous pouvez créer des raccourcis OneLake pour accéder à vos données à partir de Fabric. Vous créez simplement un raccourci ADLS dans Fabric Lakehouse et vous pouvez commencer à analyser vos données avec Spark, SQL et Power BI.

Prérequis

  • Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
  • Créez une identité d’espace de travail associée à l’espace de travail Fabric.
  • Le compte d’utilisateur ou le principal de service utilisé pour créer le raccourci doit avoir des rôles RBAC Azure sur le compte de stockage. Le principal doit avoir un contributeur aux données Blob du stockage, propriétaire des données de l’objet blob de stockage ou rôle Lecteur des données Blob du stockage au niveau de l’étendue du compte de stockage, ou un rôle de Délégation du Stockage Blob au niveau de l’étendue du compte de stockage en plus d’un rôle Lecteur des données Blob du stockage dans l’étendue du conteneur.
  • Configurez une règle d’instance de ressource pour le compte de stockage.

Remarque

Les raccourcis préexistants dans un espace de travail qui répondent aux conditions préalables commencent automatiquement à prendre en charge l’accès au service approuvé.

Étapes

  1. Commencez par créer un nouveau raccourci dans un Lakehouse.

    Capture d'écran de l'élément de menu contextuel Créer un nouveau raccourci.

    L’assistant Nouveau raccourci s’ouvre.

  2. Sous Sources externes, sélectionnez Azure Data Lake Storage Gen 2.

    Capture d’écran montrant le choix d’Azure Data Lake Storage Gen2 en tant que source externe.

  3. Indiquez l’URL du compte de stockage configuré avec l’accès à l’espace de travail approuvé, puis choisissez un nom pour la connexion. Pour le type d’authentification, choisissez Compte professionnel ou Principal de service.

    Capture d’écran montrant la spécification de l’URL dans l’Assistant Raccourci.

    Lorsque vous avez terminé, sélectionnez Suivant.

  4. Indiquez le nom de raccourci et le sous-chemin d’accès.

    Capture d’écran montrant la définition de sous-chemin dans l’Assistant Raccourci.

    Quand vous avez terminé, sélectionnez Créer.

  5. Le raccourci lakehouse est créé et vous devez être en mesure d’afficher un aperçu des données de stockage dans le raccourci.

    Capture d’écran montrant l’aperçu des données de stockage via le raccourci lakehouse.

Utiliser le raccourci OneLake vers un compte de stockage avec accès à l’espace de travail approuvé dans les éléments Fabric

Avec OneCopy dans Fabric, vous pouvez accéder à vos raccourcis OneLake avec un accès approuvé à partir de toutes les charges de travail Fabric.

  • Spark : vous pouvez utiliser Spark pour accéder aux données à partir de vos raccourcis OneLake. Lorsque des raccourcis sont utilisés dans Spark, ils apparaissent sous forme de dossiers dans OneLake. Vous devez simplement référencer le nom du dossier pour accéder aux données. Vous pouvez utiliser le raccourci OneLake vers des comptes de stockage avec accès à l’espace de travail approuvé dans les notebooks Spark.

  • Point de terminaison SQL : les raccourcis créés dans la section « Tables » de votre lakehouse sont également disponibles dans le point de terminaison SQL. Vous pouvez ouvrir le point de terminaison SQL et interroger vos données comme n’importe quelle autre table.

  • Pipelines : les pipelines de données peuvent accéder aux raccourcis managés vers les comptes de stockage avec un accès à l’espace de travail approuvé. Les pipelines de données peuvent être utilisés pour lire ou écrire dans des comptes de stockage via des raccourcis OneLake.

  • Flux de données v2 : les flux de données Gen2 peuvent être utilisés pour accéder aux raccourcis managés vers les comptes de stockage avec un accès à l’espace de travail approuvé. Les flux de données Gen2 peuvent lire ou écrire dans des comptes de stockage via des raccourcis OneLake.

  • Modèles sémantiques et rapports : le modèle sémantique par défaut associé à un point de terminaison SQL Lakehouse peut lire des raccourcis managés vers des comptes de stockage disposant d’un accès approuvé à l’espace de travail. Pour afficher les tables managées dans le modèle sémantique par défaut, accédez au point de terminaison SQL, sélectionnez Création de rapports et choisissez Mettre à jour automatiquement le modèle sémantique.

    Vous pouvez également créer de nouveaux modèles sémantiques qui référencent les raccourcis de table vers les comptes de stockage avec accès à l’espace de travail approuvé. Accédez au point de terminaison SQL, sélectionnez Création de rapports et choisissez Nouveau modèle sémantique.

    Vous pouvez créer des rapports en plus des modèles sémantiques par défaut et des modèles sémantiques personnalisés.

  • Base de données KQL : vous pouvez également créer des raccourcis OneLake vers Azure Data Lake Storage Gen2 dans une base de données KQL. Les étapes de création du raccourci managé avec l’accès à l’espace de travail approuvé restent les mêmes.

Créer un pipeline de données vers un compte de stockage avec accès à l’espace de travail approuvé

Avec l’identité de l’espace de travail configurée dans Fabric et l’accès approuvé activé dans votre compte de stockage ADLS Gen2, vous pouvez créer des pipelines de données pour accéder à vos données à partir de Fabric. Vous pouvez créer un pipeline de données pour copier les données dans Fabric Lakehouse et commencer à analyser vos données avec Spark, SQL et Power BI.

Prérequis

  • Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
  • Créez une identité d’espace de travail associée à l’espace de travail Fabric.
  • Le compte d’utilisateur ou le principal de service utilisé pour créer la connexion doit avoir des rôles RBAC Azure sur le compte de stockage. Le principal doit avoir le rôle Contributeur aux données Blob de stockage, Propriétaire des données Blob de stockage ou Lecteur de données Blob de stockage sur le compte de stockage.
  • Configurez une règle d’instance de ressource pour le compte de stockage.

Étapes

  1. Commencez par sélectionner Obtenir des données dans un lakehouse.

  2. Sélectionnez Nouveau pipeline de données. Spécifiez un nom pour le pipeline, puis sélectionnez Créer.

    Capture d’écran montrant la boîte de dialogue du nouveau pipeline.

  3. Choisissez Azure Data Lake Gen 2 comme source de données.

    Capture d’écran montrant la sélection d’Azure Data Lake Gen 2.

  4. Indiquez l’URL du compte de stockage configuré avec l’accès à l’espace de travail approuvé, puis choisissez un nom pour la connexion. Pour le type d’authentification, choisissez Compte professionnel ou Principal de service.

    Capture d’écran montrant les paramètres de connexion pour la source de données.

    Lorsque vous avez terminé, sélectionnez Suivant.

  5. Sélectionnez le fichier que vous devez copier dans le lakehouse.

    Capture d’écran montrant le fichier selection.png

    Lorsque vous avez terminé, sélectionnez Suivant.

  6. Dans l’écran Vérifier + enregistrer, sélectionnez Démarrer le transfert de données immédiatement. Lorsque vous avez terminé, sélectionnez Enregistrer + exécuter.

    Capture d’écran montrant le review-and-save-screen.png

  7. Lorsque l’état du pipeline passe de Mis en file d’attente à Réussi, accédez au lakehouse et vérifiez que les tables de données ont été créées.

Restrictions et considérations

  • L’accès aux espaces de travail approuvés est pris en charge uniquement pour les espaces de travail dans les capacités Fabric (F64 ou version ultérieure).
  • Vous ne pouvez utiliser l’accès à l’espace de travail approuvé que dans les raccourcis OneLake et les pipelines de données. Pour accéder en toute sécurité aux comptes de stockage à partir de Fabric Spark, consultez Points de terminaison privés gérés pour Fabric.
  • Si un espace de travail avec une identité d’espace de travail est migré vers une capacité non-Fabric ou une capacité Fabric inférieure à F64, l’accès à l’espace de travail approuvé peut cesser de fonctionner après une heure.
  • Les raccourcis préexistants créés avant le 10 octobre 2023 ne prennent pas en charge l’accès à l’espace de travail approuvé.
  • Les connexions pour l’accès à l’espace de travail approuvé ne peuvent pas être créées ou modifiées dans Gérer les connexions et les passerelles.
  • Si vous réutilisez les connexions qui prennent en charge l’accès à un espace de travail approuvé dans des éléments Fabric autres que des raccourcis et des pipelines ou dans d’autres espaces de travail, elles peuvent ne pas fonctionner.
  • Seul un compte professionnel ou un principal de service doit être utilisé pour l’authentification auprès des comptes de stockage pour l’accès à l’espace de travail approuvé.
  • Les pipelines ne peuvent pas écrire dans les raccourcis de table OneLake sur les comptes de stockage avec accès à l’espace de travail approuvé. Il s’agit d’une limite temporaire.
  • Vous pouvez configurer au maximum 200 règles d’instance de ressource. Pour plus d’informations, consultez Limites et quotas de l’abonnement Azure - Azure Resource Manager.
  • L’accès à l’espace de travail approuvé fonctionne uniquement lorsque l’accès public est activé à partir de réseaux virtuels et d’adresses IP sélectionnés.
  • Les règles d’instance de ressource pour les espaces de travail Fabric doivent être créées via des modèles ARM. Les règles d’instance de ressource créées via l’interface utilisateur du portail Azure ne sont pas prises en charge.
  • Les raccourcis préexistants dans un espace de travail qui répondent aux conditions préalables commencent automatiquement à prendre en charge l’accès au service approuvé.

Exemple de modèles ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Contenu connexe