Compartir por

Usa identidades xestionadas para Azure co teu almacenamento do lago de datos Azure

  • Artigo

Azure Data Lake Storage ofrece un modelo de seguridade por capas. Este modelo permítelle protexer e controlar o nivel de acceso ás súas contas de almacenamento que esixen as súas aplicacións e os seus contornos empresariais, en función do tipo e subconxunto de redes ou recursos utilizados. Cando se configuran as regras de rede, só poden acceder a unha conta de almacenamento as aplicacións que soliciten datos a través do conxunto especificado de redes ou a través do conxunto especificado de recursos Azure. Podes limitar o acceso á túa conta de almacenamento ás solicitudes orixinadas desde enderezos IP especificados, intervalos de IP, subredes nunha rede virtual (VNet) Azure ou instancias de recursos dalgúns servizos Azure.

As identidades xestionadas para Azure, antes coñecidas como Managed Service Identity (MSI), axudan coa xestión dos segredos. Microsoft Dataverse os clientes que utilizan as capacidades Azure crean unha identidade xestionada (parte da creación de políticas empresariais) que se pode utilizar para un ou máis Dataverse entornos. Esta identidade xestionada que se aprovisionará no teu inquilino é entón utilizada por Dataverse para acceder ao teu lago de datos Azure.

Con identidades xestionadas, o acceso á túa conta de almacenamento está restrinxido ás solicitudes procedentes do Dataverse entorno asociado ao teu inquilino. Cando Dataverse conéctase ao almacenamento en nome teu, inclúe información de contexto adicional para demostrar que a solicitude se orixina nun ambiente seguro e de confianza. Isto permite que o almacenamento outorgue Dataverse acceso á túa conta de almacenamento. As identidades xestionadas úsanse para asinar a información de contexto co fin de establecer a confianza. Isto engade seguridade a nivel de aplicación ademais da seguridade da rede e da infraestrutura proporcionada por Azure para as conexións entre os servizos Azure.

Antes de comezar

  • Azure CLI é necesaria na súa máquina local. Descarga e instala
  • Necesitas estes dous módulos PowerShell. Se non os tes, abre PowerShell e executa estes comandos:
    • Azure Az Azure módulo: Install-Module -Name Az
    • Módulo Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
    • Power Platform administrador PowerShell módulo: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Vaia a este ficheiro de cartafol comprimido en GitHub. A continuación, seleccione Descargar para descargalo. Extrae o ficheiro do cartafol comprimido a un ordenador nun lugar onde poida executar comandos PowerShell. Todos os ficheiros e cartafoles extraídos dun cartafol comprimido deben conservarse na súa localización orixinal.
  • Recomendamos que crees un novo contedor de almacenamento baixo o mesmo grupo de recursos Azure para incorporar esta función.

Activa a política empresarial para a subscrición Azure seleccionada

Importante

Debes ter Azure subscrición Propietario acceso á función para completar esta tarefa. Obtén o teu Azure ID de subscrición na páxina de información xeral do grupo de recursos Azure.

  1. Abre Azure CLI con executar como administrador e inicie sesión na súa subscrición Azure mediante o comando: az login Máis información: inicie sesión coa CLI Azure
  2. (Opcional) se tes varias subscricións Azure, asegúrate de executar Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } para actualizar a túa subscrición predeterminada.
  3. Expande o cartafol comprimido que descargaches como parte do Antes de iniciar esta función a unha localización onde poidas executar PowerShell.
  4. Para activar a política empresarial para a subscrición Azure seleccionada, executa o script PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Proporcione o ID de subscrición Azure.

Crear política empresarial

Importante

Debes ter Azure grupo de recursos Propietario acceso á función para completar esta tarefa. Obtén o teu Azure ID de subscrición, Localización e Grupo de recursos nome, desde a páxina de visión xeral do grupo de recursos Azure.

  1. Crear a política empresarial. Executar o script PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Proporcione o ID de subscrición Azure.
    • Proporcione o nome do grupo de recursos Azure.
    • Proporcione o nome da política empresarial preferido.
    • Proporcione a localización do grupo de recursos Azure.

  2. Garda a copia do ResourceId despois da creación da política.

Nota

As seguintes son as entradas de localización válidas admitidas para a creación de políticas. Selecciona a localización que máis che conveña.

Localizacións dispoñibles para a política empresarial

Estados Unidos EUAP

Os Estados Unidos

Sudáfrica

Reino Unido

Australia

Corea

O Xapón

A India

Francia

Europa

Asia

Noruega

Alemaña

Suíza

O Canadá

Brasil

UAE

Singapur

Conceda acceso ao lector á política empresarial a través de Azure

Os administradores PowerShell e os Power Platform administradores poden acceder ao Power Platform centro de administración para asignar ambientes á política empresarial. Para acceder ás políticas empresariais, é necesaria a pertenza de administrador da bóveda de claves Azure para concederlle o rol de lector ao Azure ou Power Platform administrador. Unha vez concedida a función de lector, os Dynamics 365 ou Power Platform administradores verán as políticas empresariais no Power Platform centro de administración.

Só os Dynamics 365 e os Power Platform administradores aos que se lles concedeu o rol de lector á política empresarial poden "engadir ambiente" á política. É posible que outros administradores de Dynamics 365 e PowerPlatform poidan ver a política empresarial, pero recibirán un erro cando intenten engadir ambiente.

Importante

Debes ter - Microsoft.Authorization/roleAssignments/write permisos, como Administrador de acceso de usuario ou Propietario para completar esta tarefa.

  1. Inicie sesión no portal Azure.
  2. Obter o Dynamics 365 Power Platform usuario administrador ObjectID.
    1. Vaia á área Usuarios .
    2. Abre o usuario administrador Dynamics 365 ou Power Platform .
    3. Na páxina de descrición xeral do usuario, copie o ObjectID.
  3. Obter o ID das políticas empresariais:
    1. Vaia ao Azure Explorador de gráficos de recursos.
    2. Executar esta consulta: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Executar consulta desde Azure Resource Graph Explorer
    3. Desprázate á dereita da páxina de resultados e selecciona a ligazón Ver detalles .
    4. Na páxina Detalles copie o ID.
  4. Abre Azure CLI e executa o seguinte comando, substituíndo o <objId> polo ObjectID do usuario e o <EP Resource Id> pola política empresarial ID.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Conecta a política empresarial co Dataverse entorno

Importante

Debes ter a función de Power Platform administrador ou Dynamics 365 administrador para completar esta tarefa. Debes ter a función Lector para que a política empresarial complete esta tarefa.

  1. Obtén o Dataverse ID do entorno.
    1. Inicie sesión no Power Platform centro de administración.
    2. Seleccione Entornos e, a continuación, abra o seu contorno.
    3. Na sección Detalles , copie o ID de ambiente.
    4. Para ligar ao Dataverse entorno, execute este script PowerShell: ./NewIdentity.ps1
    5. Proporcione o Dataverse ID do entorno.
    6. Proporcione o ResourceId.
      StatusCode = 202 indica que a ligazón foi creada correctamente.
  2. Inicie sesión no Power Platform centro de administración.
  3. Seleccione Entornos e, a continuación, abra o ambiente especificado anteriormente.
  4. Na área Operacións recentes , seleccione Historial completo para validar a conexión da nova identidade.

Configure o acceso á rede para Azure Data Lake Storage Gen2

Importante

Debes ter un rol de Azure Data Lake Storage Xen2 Propietario para completar esta tarefa.

  1. Vaia ao portal Azure.

  2. Abre a conta de almacenamento conectada ao teu Azure Synapse Link for Dataverse perfil.

  3. No panel de navegación esquerdo, selecciona Rede. A continuación, na pestana Firewalls e redes virtuais , seleccione a seguinte configuración:

    1. Activado desde as redes virtuais e os enderezos IP seleccionados.
    2. En Instancias de recursos, seleccione Permitir que os servizos Azure da lista de servizos de confianza accedan a esta conta de almacenamento

  4. Seleccione Gardar.

Configura o acceso á rede ao Azure Synapse espazo de traballo

Importante

Debes ter unha función de Azure administrador de Synapse para completar esta tarefa.

  1. Vaia ao portal Azure.
  2. Abre o Azure Synapse espazo de traballo conectado ao teu Azure Synapse Link for Dataverse perfil.
  3. No panel de navegación esquerdo, selecciona Rede.
  4. Seleccione Permitir que os servizos e recursos Azure accedan a este espazo de traballo.
  5. Se hai regras de firewall de IP creadas para todo o intervalo de IP, elimínaas para restrinxir o acceso á rede pública. Azure Synapse configuración da rede do espazo de traballo
  6. Engade unha nova regra de firewall IP baseada no enderezo IP do cliente.
  7. Seleccione Gardar cando remate. Máis información: Azure Synapse Analytics Regras do firewall IP

Importante

Dataverse: Debes ter o Dataverse administrador do sistema rol de seguranza. Ademais, as táboas que queres exportar mediante Azure Synapse Link deben ter activada a propiedade Rastrexar cambios . Máis información: Opcións avanzadas

Azure Data Lake Storage Gen2: debes ter unha Azure Data Lake Storage conta Gen2 e Propietario e Colaborador de datos de blob de almacenamento acceso ao rol. A túa conta de almacenamento debe activar o espazo de nomes xerárquico para a configuración inicial e a sincronización delta. É necesario permitir o acceso á chave da conta de almacenamento só para a configuración inicial.

Espazo de traballo de Synapse: debes ter un espazo de traballo de Synapse e o acceso á función Administrador de Synapse dentro de Synapse Studio. O espazo de traballo de Synapse debe estar na mesma rexión que a súa conta de Azure Data Lake Storage Gen2. A conta de almacenamento debe engadirse como un servizo ligado dentro de Synapse Studio. Para crear un espazo de traballo Synapse, vai a Creación dun espazo de traballo Synapse.

Cando creas a ligazón, Azure Synapse Link for Dataverse obtén detalles sobre a política empresarial actualmente vinculada no Dataverse entorno e almacena na caché o URL secreto do cliente de identidade para conectar con Azure.

  1. Inicie sesión Power Apps e seleccione o seu entorno.
  2. No panel de navegación esquerdo, selecciona Azure Synapse Link e, a continuación, selecciona + Nova ligazón. Se o elemento non está no panel do panel lateral, selecciona …Máis e, a continuación, selecciona o elemento que queres.
  3. Encha os campos apropiados, segundo a configuración prevista. Seleccione a Subscrición, Grupo de recursos e Conta de almacenamento. Para conectar Dataverse ao espazo de traballo de Synapse, selecciona a opción Conectar ao teu Azure Synapse espazo de traballo . Para a conversión de datos de Delta Lake, seleccione un grupo Spark.
  4. Seleccione Seleccionar política empresarial con identidade de servizo xestionada e, a continuación, seleccione Seguinte.
  5. Engade as táboas que queres exportar e, a continuación, selecciona Gardar.

Nota

Para que o comando Usar identidade xestionada estea dispoñible en Power Apps, cómpre rematar a configuración anterior para conectar a política empresarial ao teu Dataverse a15>ambiente. Máis información: Conectar a política empresarial co Dataverse entorno

  1. Vaia a un perfil de Synapse Link existente de Power Apps (make.powerapps.com).
  2. Selecciona Usar identidade xestionada e, a continuación, confirma. Usa o comando de identidade xestionada en Power Apps

Resolución de problemas

Se recibe erros 403 durante a creación da ligazón:

  • As identidades xestionadas tardan máis en conceder permisos transitorios durante a sincronización inicial. Dálle un tempo e tente a operación de novo máis tarde.
  • Asegúrate de que o almacenamento ligado non teña o Dataverse contedor existente(dataverse-environmentName-organizationUniqueName) do mesmo contorno.
  • Podes identificar a política empresarial vinculada e policyArmId executando o script PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 co Azure ID de subscrición e Nome do grupo de recursos .
  • Podes desvincular a política empresarial executando o script PowerShell ./RevertIdentity.ps1 co Dataverse ID de entorno e policyArmId.
  • Podes eliminar a política empresarial executando o script PowerShell .\RemoveIdentityEnterprisePolicy.ps1 con policyArmId.

Limitacións coñecidas

Só unha política empresarial pode conectarse ao Dataverse entorno simultaneamente. Se precisas crear varias Azure Synapse Link ligazóns coa identidade xestionada activada, asegúrate de que todos os recursos Azure ligados estean no mesmo grupo de recursos.

Consulte tamén

Que é Azure Synapse Link for Dataverse?