Compartir por

Use identidades xestionadas para Azure co almacenamento de Azure Data Lake

  • Artigo

Azure Data Lake Storage ofrece un modelo de seguridade por capas. Este modelo permítelle protexer e controlar o nivel de acceso ás súas contas de almacenamento que esixen as súas aplicacións e os seus contornos empresariais, en función do tipo e subconxunto de redes ou recursos utilizados. Cando se configuran as regras de rede, só poden acceder a unha conta de almacenamento as aplicacións que soliciten datos a través do conxunto de redes especificado ou a través do conxunto de recursos de Azure especificado. Pode limitar o acceso á súa conta de almacenamento ás solicitudes orixinadas desde enderezos IP especificados, intervalos de IP, subredes nunha rede virtual (VNet) de Azure ou instancias de recursos dalgúns servizos de Azure.

As identidades xestionadas para Azure, antes coñecidas como Managed Service Identity (MSI), axudan coa xestión dos segredos. Microsoft Dataverse os clientes que utilizan as capacidades de Azure crean unha identidade xestionada (parte da creación de políticas empresariais) que se pode utilizar para un ou máis Dataverse entornos. Esta identidade xestionada que se aprovisionará no teu inquilino é entón utilizada por Dataverse para acceder ao teu lago de datos de Azure.

Con identidades xestionadas, o acceso á túa conta de almacenamento está restrinxido ás solicitudes procedentes do Dataverse entorno asociado ao teu inquilino. Cando Dataverse conéctase ao almacenamento en nome teu, inclúe información de contexto adicional para demostrar que a solicitude se orixina nun ambiente seguro e de confianza. Isto permite que o almacenamento outorgue Dataverse acceso á túa conta de almacenamento. As identidades xestionadas úsanse para asinar a información de contexto co fin de establecer a confianza. Isto engade seguridade a nivel de aplicación ademais da seguridade da rede e da infraestrutura proporcionada por Azure para as conexións entre os servizos de Azure.

Antes de comezar

  • A CLI de Azure é necesaria na súa máquina local. Descarga e instala
  • Necesitas estes dous módulos de PowerShell. Se non os ten, abra PowerShell e execute estes comandos:
    • Módulo Azure Az PowerShell: Install-Module -Name Az
    • Módulo de Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
    • Power Platform Módulo de administración PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Vaia a este ficheiro de cartafol comprimido en GitHub. A continuación, seleccione Descargar para descargalo. Extrae o ficheiro do cartafol comprimido a un ordenador nun lugar onde poida executar comandos de PowerShell. Todos os ficheiros e cartafoles extraídos dun cartafol comprimido deben conservarse na súa localización orixinal.
  • Recomendamos que cree un novo contedor de almacenamento no mesmo grupo de recursos de Azure para incorporar esta función.

Activa a política empresarial para a subscrición de Azure seleccionada

Importante

Debes ter acceso á función de propietario da subscrición a Azure para completar esta tarefa. Obtén o teu Azure ID de subscrición na páxina de información xeral do grupo de recursos de Azure.

  1. Abra a CLI de Azure con executar como administrador e inicie sesión na súa subscrición de Azure mediante o comando: az login Máis información: inicie sesión coa CLI de Azure
  2. (Opcional) se tes varias subscricións de Azure, asegúrate de executar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para actualizar a túa subscrición predeterminada.
  3. Amplíe o cartafol comprimido que descargou como parte do Antes de iniciar esta función ata un lugar onde poida executar PowerShell.
  4. Para habilitar a política empresarial para a subscrición de Azure seleccionada, execute o script de PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Proporcione o ID da subscrición de Azure.

Crear política empresarial

Importante

Debes ter acceso á función de propietario do grupo de recursos de Azure para completar esta tarefa. Obtén o teu Azure ID de subscrición, Localización e Grupo de recursos nome, desde a páxina de información xeral do grupo de recursos de Azure.

  1. Crear a política empresarial. Executa o script de PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Proporcione o ID da subscrición de Azure.
    • Proporcione o nome do grupo de recursos de Azure.
    • Proporcione o nome da política empresarial preferido.
    • Proporcione a localización do grupo de recursos de Azure.

  2. Garda a copia do ResourceId despois da creación da política.

Nota

As seguintes son as entradas de localización válidas admitidas para a creación de políticas. Selecciona a localización que máis che conveña.

Localizacións dispoñibles para a política empresarial

Estados Unidos EUAP

Os Estados Unidos

Sudáfrica

Reino Unido

Australia

Corea

O Xapón

A India

Francia

Europa

Asia

Noruega

Alemaña

Suíza

O Canadá

Brasil

UAE

Singapur

Conceda acceso ao lector á política empresarial a través de Azure

Os administradores de Dynamics 365 e Power Platform poden acceder ao Power Platform centro de administración para asignar ambientes á política empresarial. Para acceder ás políticas empresariais, é necesaria a pertenza de administrador da bóveda de Azure Key para conceder o rol de lector ao administrador de Dynamics 365 ou Power Platform . Unha vez que se concede o rol de lector, os administradores de Dynamics 365 ou Power Platform verán as políticas empresariais no Power Platform centro de administración.

Só os administradores de Dynamics 365 e Power Platform que se lles concedeu o rol de lector á política empresarial poden "engadir ambiente" á política. Outros administradores de Dynamics 365 e PowerPlatform poden ver a política empresarial, pero recibirán un erro cando intenten engadir un ambiente.

Importante

Debes ter - Microsoft.Authorization/roleAssignments/write permisos, como Administrador de acceso de usuario ou Propietario para completar esta tarefa.

  1. Inicie sesión no portal de Azure.
  2. Obtén o Power Platform usuario administrador de Dynamics 365 ID de obxecto.
    1. Vaia á área Usuarios .
    2. Abra o usuario administrador de Dynamics 365 ou Power Platform .
    3. Na páxina de descrición xeral do usuario, copie o ObjectID.
  3. Obter o ID das políticas empresariais:
    1. Vaia a Azure Explorador de gráficos de recursos.
    2. Executar esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Executa a consulta desde Azure Resource Graph Explorer
    3. Desprázate á dereita da páxina de resultados e selecciona a ligazón Ver detalles .
    4. Na páxina Detalles copie o ID.
  4. Abra a CLI de Azure e execute o seguinte comando, substituíndo o <objId> polo ObjectID do usuario e o <EP Resource Id> polo ID da política empresarial.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Conecta a política empresarial co Dataverse entorno

Importante

Debes ter a función de Power Platform administrador ou administrador de Dynamics 365 para completar esta tarefa. Debes ter a función Lector para que a política empresarial complete esta tarefa.

  1. Obtén o Dataverse ID do entorno.
    1. Inicie sesión no Power Platform centro de administración.
    2. Seleccione Entornos e, a continuación, abra o seu contorno.
    3. Na sección Detalles , copie o ID de ambiente.
    4. Para ligar ao Dataverse entorno, execute este script de PowerShell: ./NewIdentity.ps1
    5. Proporcione o Dataverse ID do entorno.
    6. Proporcione o ResourceId.
      StatusCode = 202 indica que a ligazón foi creada correctamente.
  2. Inicie sesión no Power Platform centro de administración.
  3. Seleccione Entornos e, a continuación, abra o ambiente especificado anteriormente.
  4. Na área Operacións recentes , seleccione Historial completo para validar a conexión da nova identidade.

Configure o acceso á rede para Azure Data Lake Storage Gen2

Importante

Debes ter un rol de Azure Data Lake Storage Xen2 Propietario para completar esta tarefa.

  1. Vaia ao portal de Azure.

  2. Abre a conta de almacenamento conectada ao teu Azure Synapse Link for Dataverse perfil.

  3. No panel de navegación esquerdo, selecciona Rede. A continuación, na pestana Firewalls e redes virtuais , seleccione a seguinte configuración:

    1. Activado desde as redes virtuais e os enderezos IP seleccionados.
    2. En Instancias de recursos, seleccione Permitir que os servizos de Azure na lista de servizos de confianza accedan a esta conta de almacenamento

  4. Seleccione Gardar.

Configura o acceso á rede ao Azure Synapse espazo de traballo

Importante

Debes ter un rol de administrador de Azure Synapse para completar esta tarefa.

  1. Vaia ao portal de Azure.
  2. Abre o Azure Synapse espazo de traballo conectado ao teu Azure Synapse Link for Dataverse perfil.
  3. No panel de navegación esquerdo, selecciona Rede.
  4. Seleccione Permitir que os servizos e recursos de Azure accedan a este espazo de traballo.
  5. Se hai regras de firewall de IP creadas para todo o intervalo de IP, elimínaas para restrinxir o acceso á rede pública. Azure Synapse configuración da rede do espazo de traballo
  6. Engade unha nova regra de firewall IP baseada no enderezo IP do cliente.
  7. Seleccione Gardar cando remate. Máis información: Azure Synapse Analytics Regras do firewall IP

Importante

Dataverse: Debes ter o Dataverse administrador do sistema rol de seguranza. Ademais, as táboas que queres exportar mediante Azure Synapse Link deben ter activada a propiedade Rastrexar cambios . Máis información: Opcións avanzadas

Azure Data Lake Storage Gen2: debes ter unha Azure Data Lake Storage conta Gen2 e Propietario e Colaborador de datos de blob de almacenamento acceso ao rol. A túa conta de almacenamento debe activar o espazo de nomes xerárquico para a configuración inicial e a sincronización delta. É necesario permitir o acceso á chave da conta de almacenamento só para a configuración inicial.

Espazo de traballo de Synapse: debes ter un espazo de traballo de Synapse e o acceso á función Administrador de Synapse dentro de Synapse Studio. O espazo de traballo de Synapse debe estar na mesma rexión que a súa conta de Azure Data Lake Storage Gen2. A conta de almacenamento debe engadirse como un servizo ligado dentro de Synapse Studio. Para crear un espazo de traballo Synapse, vai a Creación dun espazo de traballo Synapse.

Cando crea a ligazón, Azure Synapse Link for Dataverse obtén detalles sobre a política empresarial actualmente vinculada no Dataverse entorno e almacena na caché o URL secreto do cliente de identidade para conectarse a Azure.

  1. Inicie sesión Power Apps e seleccione o seu entorno.
  2. No panel de navegación esquerdo, selecciona Azure Synapse Link e, a continuación, selecciona + Nova ligazón. Se o elemento non está no panel do panel lateral, seleccione …Máis e, a continuación, seleccione o elemento que desexe.
  3. Encha os campos apropiados, segundo a configuración prevista. Seleccione a Subscrición, Grupo de recursos e Conta de almacenamento. Para conectar Dataverse ao espazo de traballo de Synapse, selecciona a opción Conectar ao teu Azure Synapse espazo de traballo . Para a conversión de datos de Delta Lake, seleccione un grupo Spark.
  4. Seleccione Seleccionar política empresarial con identidade de servizo xestionada e, a continuación, seleccione Seguinte.
  5. Engade as táboas que queres exportar e, a continuación, selecciona Gardar.

Nota

Para que o comando Usar identidade xestionada estea dispoñible en Power Apps, cómpre rematar a configuración anterior para conectar a política empresarial ao teu Dataverse a15>ambiente. Máis información: Conectar a política empresarial co Dataverse entorno

  1. Vaia a un perfil de Synapse Link existente de Power Apps (make.powerapps.com).
  2. Selecciona Usar identidade xestionada e, a continuación, confirma. Usa o comando de identidade xestionada en Power Apps

Resolución de problemas

Se recibe erros 403 durante a creación da ligazón:

  • As identidades xestionadas tardan máis en conceder permisos transitorios durante a sincronización inicial. Dálle un tempo e tente a operación de novo máis tarde.
  • Asegúrate de que o almacenamento ligado non teña o Dataverse contedor existente(dataverse-environmentName-organizationUniqueName) do mesmo contorno.
  • Podes identificar a política empresarial vinculada e policyArmId executando o script de PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 co Azure ID de subscrición e Nome do grupo de recursos .
  • Podes desvincular a política empresarial executando o script de PowerShell ./RevertIdentity.ps1 co Dataverse ID de entorno e policyArmId.
  • Pode eliminar a política empresarial executando o script de PowerShell .\RemoveIdentityEnterprisePolicy.ps1 con policyArmId.

Limitacións coñecidas

Só unha política empresarial pode conectarse ao Dataverse entorno simultaneamente. Se precisa crear varias Azure Synapse Link ligazóns coa identidade xestionada activada, asegúrese de que todos os recursos de Azure vinculados estean no mesmo grupo de recursos.

Consulte tamén

Que é Azure Synapse Link for Dataverse?