Engedélyek megadása munkaterület által felügyelt identitásnak
Ez a cikk bemutatja, hogyan adhat engedélyeket a felügyelt identitáshoz az Azure Synapse-munkaterületen. Az engedélyek viszont lehetővé teszik a dedikált SQL-készletek elérését a munkaterületen és az ADLS Gen2 tárfiókban az Azure Portalon keresztül.
Feljegyzés
Ezt a munkaterület felügyelt identitását a dokumentum többi részében felügyelt identitásnak nevezzük.
A felügyelt identitás engedélyeinek megadása az ADLS Gen2-tárfiókhoz
Azure Synapse-munkaterület létrehozásához ADLS Gen2-tárfiók szükséges. Ahhoz, hogy sikeresen elindíthassa a Spark-készleteket az Azure Synapse-munkaterületen, az Azure Synapse által felügyelt identitásnak szüksége van a tárfiókban található Storage Blob Data Közreműködő szerepkörre. A folyamat vezénylése az Azure Synapse-ban szintén előnyös ebből a szerepkörből.
Engedélyek megadása felügyelt identitáshoz a munkaterület létrehozása során
Az Azure Synapse megkísérli megadni a Storage Blob Data Contributor szerepkört a felügyelt identitásnak, miután létrehozta az Azure Synapse-munkaterületet az Azure Portal használatával. Az ADLS Gen2 tárfiók adatait az Alapismeretek lapon adhatja meg.
Válassza ki az ADLS Gen2 tárfiókot és fájlrendszert a Fiók és a Fájlrendszer névben.
Ha a munkaterület létrehozója egyben az ADLS Gen2 tárfiók tulajdonosa is, akkor az Azure Synapse hozzárendeli a Storage Blob Data Közreműködő szerepkört a felügyelt identitáshoz. A megadott tárfiók adatai alatt a következő üzenet jelenik meg.
Ha a munkaterület létrehozója nem az ADLS Gen2 tárfiók tulajdonosa, akkor az Azure Synapse nem rendeli hozzá a storage blobadatok közreműködői szerepkörét a felügyelt identitáshoz. A tárfiók adatai alatt megjelenő üzenet értesíti a munkaterület létrehozóját, hogy nem rendelkeznek megfelelő engedélyekkel ahhoz, hogy a tárblobadat-közreműködői szerepkört a felügyelt identitásnak biztosítják.
Ahogy az üzenet is mondja, csak akkor hozhat létre Spark-készleteket, ha a Tárblobadat-közreműködő hozzá van rendelve a felügyelt identitáshoz.
Engedélyek megadása felügyelt identitáshoz a munkaterület létrehozása után
A munkaterület létrehozása során, ha nem rendeli hozzá a Storage Blob Data-közreműködőt a felügyelt identitáshoz, akkor az ADLS Gen2 tárfiók tulajdonosa manuálisan hozzárendeli ezt a szerepkört az identitáshoz. Az alábbi lépések segítenek a manuális hozzárendelés végrehajtásában.
1. lépés: Navigálás az ADLS Gen2 tárfiókhoz az Azure Portalon
Az Azure Portalon nyissa meg az ADLS Gen2 tárfiókot, és válassza az Áttekintés lehetőséget a bal oldali navigációs sávon. Csak a tároló vagy a fájlrendszer szintjén kell hozzárendelnie a Storage Blob Data Közreműködő szerepkört. Válassza a Tárolók lehetőséget.
2. lépés: A tároló kiválasztása
A felügyelt identitásnak adathozzáféréssel kell rendelkeznie a munkaterület létrehozásakor megadott tárolóhoz (fájlrendszerhez). Ezt a tárolót vagy fájlrendszert az Azure Portalon találja. Nyissa meg az Azure Synapse-munkaterületet az Azure Portalon, és válassza az Áttekintés lapot a bal oldali navigációs sávon.
Válassza ki ugyanazt a tárolót vagy fájlrendszert, hogy a storage blobadatok közreműködője szerepkört biztosítsa a felügyelt identitásnak.
3. lépés: Hozzáférés-vezérlés megnyitása és szerepkör-hozzárendelés hozzáadása
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Kattintson a Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőségre a Szerepkör-hozzárendelés hozzáadása oldal megnyitásához.
Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Beállítás Érték Szerepkör Storage blobadat-közreműködő Hozzáférés hozzárendelése a következőhöz: MANAGEDIDENTITY Tagok felügyelt identitás neve Feljegyzés
A felügyelt identitás neve a munkaterület neve is.
Válassza a Mentés lehetőséget a szerepkör-hozzárendelés hozzáadásához.
4. lépés: Ellenőrizze, hogy a Storage Blob Data Közreműködő szerepkör hozzá van-e rendelve a felügyelt identitáshoz
Válassza a Hozzáférés-vezérlés (IAM), majd a Szerepkör-hozzárendelések lehetőséget.
A felügyelt identitásnak a Storage Blob Data Közreműködő szakaszában kell megjelennie a hozzá rendelt Storage Blob Data Közreműködő szerepkörrel.
Alternatív megoldás a storage blobadatok közreműködői szerepkörére
Ahelyett, hogy tárblobadat-közreműködői szerepkört biztosítanának magának, részletesebb engedélyeket is adhat a fájlok egy részhalmazához.
Minden olyan felhasználónak, akinek hozzá kell férnie a tároló egyes adataihoz, rendelkeznie kell AZ ÖSSZES szülőmappára vonatkozó VÉGREHAJTÁSI engedéllyel, egészen a gyökérig (a tárolóig).
További információ arról , hogyan állíthat be ACL-eket az Azure Data Lake Storage Gen2-ben.
Feljegyzés
A tároló szintjén a végrehajtási engedélyt a Data Lake Storage Gen2-ben kell beállítani. A mappára vonatkozó engedélyek az Azure Synapse-ban állíthatók be.
Ha ebben a példában data2.csv szeretne lekérdezni, a következő engedélyekre van szükség:
- Engedély végrehajtása a tárolón
- Engedély végrehajtása a mappában1
- Olvasási engedély a data2.csv
Jelentkezzen be az Azure Synapse-be egy rendszergazdai felhasználóval, aki teljes engedélyekkel rendelkezik a elérni kívánt adatokhoz.
Az adatpanelen kattintson a jobb gombbal a fájlra, és válassza a Hozzáférés kezelése lehetőséget.
Válassza ki legalább az Olvasási engedélyt. Adja meg például a felhasználó UPN-jét vagy objektumazonosítóját user@contoso.com. Válassza a Hozzáadás lehetőséget.
Olvasási engedély megadása ehhez a felhasználóhoz.
Feljegyzés
A vendégfelhasználók számára ezt a lépést közvetlenül az Azure Data Lake-zel kell elvégezni, mert az nem végezhető el közvetlenül az Azure Synapse-on keresztül.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: