Megbízható munkaterület-hozzáférés

A Fabric lehetővé teszi a tűzfallal kompatibilis Azure Data Lake Storage-fiókok (ADLS) Gen2-fiókok biztonságos elérését. A munkaterületi identitással rendelkező háló-munkaterületek biztonságosan hozzáférhetnek az ADLS Gen2-fiókokhoz a kiválasztott virtuális hálózatokról és IP-címekről engedélyezett nyilvános hálózati hozzáféréssel. Az ADLS Gen2-hozzáférést bizonyos Fabric-munkaterületekre korlátozhatja.

A megbízható munkaterület-hozzáféréssel rendelkező tárfiókhoz hozzáférő háló-munkaterületeknek megfelelő engedélyre van szükségük a kéréshez. Az engedélyezés a Microsoft Entra hitelesítő adataival támogatott a szervezeti fiókokhoz vagy szolgáltatásnevekhez. Az erőforráspéldány-szabályokról további információt az Azure-erőforráspéldányok hozzáférésének biztosítása című témakörben talál.

Ha korlátozni és védeni szeretné a tűzfallal kompatibilis tárfiókok hozzáférését bizonyos Fabric-munkaterületekről, beállíthatja az erőforráspéldány-szabályt, hogy bizonyos Fabric-munkaterületekről engedélyezze a hozzáférést.

Feljegyzés

A megbízható munkaterület-hozzáférés általánosan elérhető. A háló-munkaterület identitása csak hálókapacitáshoz (F64 vagy újabb) társított munkaterületeken hozható létre. A Fabric-előfizetés vásárlásával kapcsolatos információkért lásd: Microsoft Fabric-előfizetés vásárlása.

Ez a cikk bemutatja, hogyan:

• Megbízható munkaterület-hozzáférés konfigurálása egy ADLS Gen2-tárfiókban.

• Hozzon létre egy OneLake-parancsikont egy Fabric Lakehouse-ban, amely egy megbízható munkaterület-hozzáférésű, ADLS Gen2-tárfiókhoz csatlakozik.

• Hozzon létre egy adatfolyamot , amely közvetlenül csatlakozik egy tűzfalbarát ADLS Gen2-fiókhoz, amely engedélyezte a munkaterülethez való hozzáférést.

• A T-SQL COPY utasítással adatokat lehet beszúrni a raktárba egy tűzfalbarát ADLS Gen2-fiókból, amely engedélyezte a megbízható munkaterület-hozzáférést.

Megbízható munkaterület-hozzáférés konfigurálása az ADLS Gen2-ben

Erőforráspéldány-szabály

Konfigurálhat bizonyos Fabric-munkaterületeket a tárfiók eléréséhez a munkaterület identitása alapján. Erőforráspéldány-szabályt egy ARM-sablon erőforráspéldány-szabálysal való üzembe helyezésével hozhat létre. Erőforráspéldány-szabály létrehozása:

1. Jelentkezzen be az Azure Portalra, és nyissa meg az Egyéni üzembe helyezést.

2. Válassza a Saját sablon létrehozása lehetőséget a szerkesztőben. Az erőforráspéldány-szabályt létrehozó ARM-mintasablonok esetében lásd az ARM-sablon mintáját.

3. Hozza létre az erőforráspéldány-szabályt a szerkesztőben. Ha elkészült, válassza a Véleményezés + Létrehozás lehetőséget.

4. A megjelenő Alapismeretek lapon adja meg a szükséges projekt- és példányadatokat. Ha elkészült, válassza a Véleményezés + Létrehozás lehetőséget.

5. A megjelenő Véleményezés + Létrehozás lapon tekintse át az összegzést, majd válassza a Létrehozás lehetőséget. A szabály elküldve lesz az üzembe helyezéshez.

6. Ha az üzembe helyezés befejeződött, az erőforrásra léphet.

Feljegyzés

• A Fabric-munkaterületek erőforráspéldány-szabályai csak ARM-sablonokon keresztül hozhatók létre. Az Azure Portalon történő létrehozás nem támogatott.
• A Háló-munkaterület erőforrásazonosítója esetében a "00000000-0000-0000-00000-000000000" előfizetési azonosítót kell használni.
• A Fabric-munkaterület munkaterület-azonosítóját a címsor URL-címén keresztül szerezheti be.

Íme egy példa egy erőforráspéldány-szabályra, amely ARM-sablonnal hozható létre. A teljes példáért tekintse meg az ARM-sablonmintát.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

Megbízható szolgáltatáskivétel

Ha egy olyan ADLS Gen2-fiók megbízható szolgáltatáskivételét választja, amelynek nyilvános hálózati hozzáférése engedélyezve van a kiválasztott virtuális hálózatokról és IP-címekről, a munkaterületi identitással rendelkező Háló-munkaterületek hozzáférhetnek a tárfiókhoz. Ha be van jelölve a megbízható szolgáltatáskivételi jelölőnégyzet, a bérlő Fabric-kapacitásaiban lévő, munkaterületi identitással rendelkező munkaterületek hozzáférhetnek a tárfiókban tárolt adatokhoz.

Ez a konfiguráció nem ajánlott, és a támogatás a jövőben megszűnhet. Javasoljuk, hogy erőforráspéldány-szabályokkal biztosítson hozzáférést adott erőforrásokhoz.

Ki konfigurálhatja a Tárfiókokat megbízható szolgáltatáshozzáféréshez?

A tárfiók egyik közreműködője (Azure RBAC-szerepkör) konfigurálhatja az erőforráspéldány-szabályokat vagy a megbízható szolgáltatáskivételt.

Megbízható munkaterület-hozzáférés használata a Fabricben

Jelenleg három módon használhat megbízható munkaterület-hozzáférést az adatok biztonságos eléréséhez a Fabricből:

• Létrehozhat egy új ADLS-parancsikont a Fabric Lakehouse-ban, hogy megkezdje az adatok elemzését a Spark, az SQL és a Power BI használatával.

• Létrehozhat egy olyan adatfolyamot, amely megbízható munkaterület-hozzáférést használ egy tűzfalbarát ADLS Gen2-fiók közvetlen eléréséhez.

• Használhat egy T-SQL Copy utasítást, amely megbízható munkaterületi hozzáférést használ az adatok Fabric-raktárba való betöltéséhez.

Az alábbi szakaszok bemutatják, hogyan használhatja ezeket a metódusokat.

OneLake-parancsikon létrehozása a tárfiókhoz megbízható munkaterület-hozzáféréssel

A Fabricben konfigurált munkaterületi identitással és az ADLS Gen2-tárfiókban engedélyezett megbízható munkaterület-hozzáféréssel oneLake-parancsikonokat hozhat létre az adatok Fabricből való eléréséhez. Egyszerűen létrehozhat egy új ADLS-parancsikont egy Fabric Lakehouse-ban, és megkezdheti az adatok elemzését a Spark, az SQL és a Power BI használatával.

Előfeltételek

• Hálókapacitáshoz társított Háló munkaterület. Lásd: Munkaterületi identitás.
• Hozzon létre egy, a Háló munkaterülethez társított munkaterületi identitást.
• A parancsikon létrehozásához használt felhasználói fióknak vagy szolgáltatásnévnek Azure RBAC-szerepköröknek kell rendelkezniük a tárfiókon. Az egyszerű felhasználónak a tárfiók hatókörében tárolási blobadat-közreműködői, tárolási blobadat-tulajdonosi vagy storage-blobadat-olvasói szerepkörrel kell rendelkeznie, vagy a tárfiók hatókörében egy Storage Blob-adatolvasó szerepkör mellett egy Storage Blob Delegator szerepkörrel kell rendelkeznie a tároló hatókörében.
• Konfiguráljon egy erőforráspéldány-szabályt a tárfiókhoz.

Feljegyzés

• A munkaterületen az előfeltételeknek megfelelő, már meglévő billentyűparancsok automatikusan elkezdik támogatni a megbízható szolgáltatáshozzáférést.
• A tárfiókhoz az elosztott fájlrendszer URL-azonosítóját kell használnia. Íme egy példa: https://StorageAccountName.dfs.core.windows.net

Lépések

1. Először hozzon létre egy új parancsikont egy Lakehouse-ban.

   

   Megnyílik az Új parancsikon varázsló.

2. A Külső források területen válassza az Azure Data Lake Storage Gen2 lehetőséget.

   

3. Adja meg annak a tárfióknak az URL-címét, amely megbízható munkaterület-hozzáféréssel lett konfigurálva, és válasszon nevet a kapcsolatnak. Hitelesítési típus esetén válassza a Szervezeti fiók vagy a Szolgáltatásnév lehetőséget.

   

   Ha elkészült, válassza a Tovább gombot.

4. Adja meg a parancsikon nevét és az al elérési útját.

   

   Ha elkészült, válassza a Létrehozás lehetőséget.

5. Létrejön a lakehouse parancsikon, és a parancsikonban meg kell tudnia tekinteni a tárolási adatokat.

   

A OneLake parancsikon használata egy tárfiókhoz megbízható munkaterület-hozzáféréssel a Fabric-elemekben

A OneCopy in Fabric használatával a OneLake-parancsikonokat megbízható hozzáféréssel érheti el az összes Fabric-számítási feladatból.

• Spark: A Spark használatával elérheti az adatokat a OneLake-parancsikonokból. Ha a Sparkban billentyűparancsokat használnak, azok mappákként jelennek meg a OneLake-ben. Csak hivatkoznia kell a mappa nevére az adatok eléréséhez. A OneLake parancsikon használatával megbízható munkaterület-hozzáféréssel rendelkező tárfiókokat használhat a Spark-jegyzetfüzetekben.

• SQL-végpont: A lakehouse "Táblák" szakaszában létrehozott billentyűparancsok az SQL-végpontban is elérhetők. Megnyithatja az SQL-végpontot, és ugyanúgy kérdezheti le az adatokat, mint bármely más táblát.

• Folyamatok: Az adatfolyamok megbízható munkaterület-hozzáféréssel rendelkező tárfiókokhoz férhetnek hozzá felügyelt parancsikonokhoz. Az adatfolyamok a OneLake-parancsikonok használatával olvashatók a tárfiókokból, illetve írhatnak a tárfiókokba.

• Adatfolyamok v2: A Gen2-adatfolyamok a megbízható munkaterület-hozzáféréssel rendelkező tárfiókok felügyelt parancsikonjainak elérésére használhatók. A Gen2-adatfolyamok OneLake-parancsikonokkal olvashatnak vagy írhatnak tárfiókokba.

• Szemantikai modellek és jelentések: A Lakehouse SQL-végponthoz társított alapértelmezett szemantikai modell képes felügyelt parancsikonokat olvasni a megbízható munkaterület-hozzáféréssel rendelkező tárfiókokhoz. Ha meg szeretné tekinteni a felügyelt táblákat az alapértelmezett szemantikai modellben, nyissa meg az SQL-végpontot, válassza a Jelentéskészítés lehetőséget, és válassza a Szemantikai modell automatikus frissítését.

  Létrehozhat olyan új szemantikai modelleket is, amelyek táblahivatkozásokra hivatkoznak a megbízható munkaterület-hozzáféréssel rendelkező tárfiókokra. Lépjen az SQL-végpontra, válassza a Jelentéskészítés lehetőséget, és válassza az Új szemantikai modell lehetőséget.

  Az alapértelmezett szemantikai modelleken és egyéni szemantikai modelleken felül jelentéseket is létrehozhat.

• KQL-adatbázis: OneLake-parancsikonokat is létrehozhat az ADLS Gen2-hez egy KQL-adatbázisban. A felügyelt parancsikon megbízható munkaterület-hozzáféréssel történő létrehozásának lépései változatlanok maradnak.

Adatfolyam létrehozása megbízható munkaterület-hozzáféréssel rendelkező tárfiókba

A Fabricben konfigurált munkaterületi identitással és az ADLS Gen2-tárfiókban engedélyezett megbízható hozzáféréssel adatfolyamokat hozhat létre az adatok Fabricből való eléréséhez. Létrehozhat egy új adatfolyamot, amely adatokat másol egy Fabric lakehouse-ba, majd megkezdheti az adatok elemzését a Spark, az SQL és a Power BI használatával.

Előfeltételek

• Hálókapacitáshoz társított Háló munkaterület. Lásd: Munkaterületi identitás.
• Hozzon létre egy, a Háló munkaterülethez társított munkaterületi identitást.
• A kapcsolat létrehozásához használt felhasználói fióknak vagy szolgáltatásnévnek Azure RBAC-szerepköröknek kell rendelkezniük a tárfiókon. Az egyszerű felhasználónak a tárfiók hatókörében tárolóblobadat-közreműködői, tárolási blobadat-tulajdonosi vagy storage blobadat-olvasói szerepkörrel kell rendelkeznie.
• Konfiguráljon egy erőforráspéldány-szabályt a tárfiókhoz.

Lépések

1. Először válassza az Adatok lekérése lehetőséget egy tóházban.

2. Válassza az Új adatfolyam lehetőséget. Adja meg a folyamat nevét, majd válassza a Létrehozás lehetőséget.

   

3. Adatforrásként válassza az Azure Data Lake Gen2-t .

   

4. Adja meg annak a tárfióknak az URL-címét, amely megbízható munkaterület-hozzáféréssel lett konfigurálva, és válasszon nevet a kapcsolatnak. Hitelesítési típus esetén válassza a Szervezeti fiók vagy a Szolgáltatásnév lehetőséget.

   

   Ha elkészült, válassza a Tovább gombot.

5. Válassza ki a lakehouse-ba másolandó fájlt.

   

   Ha elkészült, válassza a Tovább gombot.

6. A Véleményezés + mentés képernyőn válassza az Adatátvitel azonnali indítása lehetőséget. Ha elkészült, válassza a Mentés + Futtatás lehetőséget.

   

7. Amikor a folyamat állapota várólistáról sikeresre változik, lépjen a lakehouse-ba, és ellenőrizze, hogy létrejöttek-e az adattáblák.

A T-SQL COPY utasítás használata adatok raktárba való betöltéséhez

A Fabricben konfigurált munkaterületidentitás és az ADLS Gen2-tárfiókban engedélyezett megbízható hozzáférés révén a COPY T-SQL utasítással adatokat helyezhet be a Fabric-raktárba. Miután az adatokat betöltötte a raktárba, megkezdheti az adatok elemzését az SQL és a Power BI használatával.

Korlátozások és szempontok

• A megbízható munkaterület-hozzáférés csak a Fabric-kapacitásokban (F64 vagy újabb) lévő munkaterületek esetében támogatott.
• Csak a OneLake-billentyűparancsokban, az adatfolyamokban és a T-SQL COPY utasításban használhat megbízható munkaterület-hozzáférést. A Tárfiókok a Fabric Sparkból való biztonságos eléréséhez tekintse meg a Fabric felügyelt privát végpontjait.
• Ha egy munkaterületi identitással rendelkező munkaterületet nem hálókapacitásba vagy F64-nél alacsonyabb hálókapacitásba migrál, a megbízható munkaterület-hozzáférés egy óra múlva leáll.
• A 2023. október 10. előtt létrehozott, már meglévő billentyűparancsok nem támogatják a megbízható munkaterület-hozzáférést.
• A megbízható munkaterület-hozzáféréshez tartozó kapcsolatok nem hozhatók létre és nem módosíthatók a Kapcsolatok és átjárók kezelése területen.
• A tűzfallal kompatibilis tárfiókokhoz való kapcsolatok kapcsolat nélküli állapotúak lesznek a Kapcsolatok és átjárók kezelése területen.
• Ha olyan kapcsolatokat használ újra, amelyek a parancsikonokon és folyamatokon kívül más hálóelemekben vagy más munkaterületeken is támogatják a megbízható munkaterület-hozzáférést, előfordulhat, hogy nem működnek.
• Csak szervezeti fiók vagy szolgáltatásnév használható a megbízható munkaterület-hozzáférésű tárfiókok hitelesítéséhez.
• A folyamatok nem írhatnak a OneLake-táblázat parancsikonjaira megbízható munkaterület-hozzáféréssel rendelkező tárfiókokon. Ez ideiglenes korlátozás.
• Legfeljebb 200 erőforráspéldány-szabály konfigurálható. További információ: Azure-előfizetések korlátai és kvótái – Azure Resource Manager.
• A megbízható munkaterület-hozzáférés csak akkor működik, ha a nyilvános hozzáférés engedélyezve van a kijelölt virtuális hálózatokról és IP-címekről.
• A Fabric-munkaterületek erőforráspéldány-szabályait ARM-sablonokkal kell létrehozni. Az Azure Portal felhasználói felületén létrehozott erőforráspéldány-szabályok nem támogatottak.
• Az előfeltételeknek megfelelő munkaterületen már meglévő billentyűparancsok automatikusan elkezdik támogatni a megbízható szolgáltatáshozzáférést.
• Ha a szervezet entra feltételes hozzáférési szabályzattal rendelkezik az összes szolgáltatásnevet tartalmazó számítási feladatok identitásaihoz, akkor a megbízható munkaterület-hozzáférés nem fog működni. Ilyen esetekben ki kell zárnia bizonyos Fabric-munkaterületi identitásokat a számítási feladatok identitásainak feltételes hozzáférési szabályzatából.

Megbízható munkaterület-hozzáféréssel kapcsolatos problémák elhárítása

Ha egy tűzfallal védett ADLS Gen2-tárfiókot megcélzó lakehouse-parancsikon elérhetetlenné válik, az az lehet, hogy a lakehouse-t megosztották egy olyan felhasználóval, aki nem rendelkezik rendszergazdai, tagi vagy közreműködői szerepkörrel azon a munkaterületen, ahol a lakehouse található. Ez egy ismert probléma. A megoldás az, hogy nem osztja meg a lakehouse-t olyan felhasználókkal, akik nem rendelkeznek rendszergazdai, tagi vagy közreműködői szerepkörrel a munkaterületen.

ARM-sablonminta

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Kapcsolódó tartalom

• Munkaterület identitása
• Hozzáférés engedélyezése Azure-erőforráspéldányokról
• Felügyelt identitáson alapuló megbízható hozzáférés