Megbízható munkaterület-hozzáférés
A Fabric lehetővé teszi a tűzfallal kompatibilis Azure Data Lake Storage-fiókok (ADLS) Gen2-fiókok biztonságos elérését. A munkaterületi identitással rendelkező háló-munkaterületek biztonságosan hozzáférhetnek az ADLS Gen2-fiókokhoz a kiválasztott virtuális hálózatokról és IP-címekről engedélyezett nyilvános hálózati hozzáféréssel. Az ADLS Gen2-hozzáférést bizonyos Fabric-munkaterületekre korlátozhatja.
A megbízható munkaterület-hozzáféréssel rendelkező tárfiókhoz hozzáférő háló-munkaterületeknek megfelelő engedélyre van szükségük a kéréshez. Az engedélyezés a Microsoft Entra hitelesítő adataival támogatott a szervezeti fiókokhoz vagy szolgáltatásnevekhez. Az erőforráspéldány-szabályokról további információt az Azure-erőforráspéldányok hozzáférésének biztosítása című témakörben talál.
Ha korlátozni és védeni szeretné a tűzfallal kompatibilis tárfiókok hozzáférését bizonyos Fabric-munkaterületekről, beállíthatja az erőforráspéldány-szabályt, hogy bizonyos Fabric-munkaterületekről engedélyezze a hozzáférést.
Feljegyzés
A megbízható munkaterület-hozzáférés általánosan elérhető. A háló-munkaterület identitása csak hálókapacitáshoz (F64 vagy újabb) társított munkaterületeken hozható létre. A Fabric-előfizetés vásárlásával kapcsolatos információkért lásd: Microsoft Fabric-előfizetés vásárlása.
Ez a cikk bemutatja, hogyan:
Megbízható munkaterület-hozzáférés konfigurálása egy ADLS Gen2-tárfiókban.
Hozzon létre egy OneLake-parancsikont egy Fabric Lakehouse-ban, amely egy megbízható munkaterület-hozzáférésű, ADLS Gen2-tárfiókhoz csatlakozik.
Hozzon létre egy adatfolyamot , amely közvetlenül csatlakozik egy tűzfalbarát ADLS Gen2-fiókhoz, amely engedélyezte a munkaterülethez való hozzáférést.
A T-SQL COPY utasítással adatokat lehet beszúrni a raktárba egy tűzfalbarát ADLS Gen2-fiókból, amely engedélyezte a megbízható munkaterület-hozzáférést.
Megbízható munkaterület-hozzáférés konfigurálása az ADLS Gen2-ben
Erőforráspéldány-szabály
Konfigurálhat bizonyos Fabric-munkaterületeket a tárfiók eléréséhez a munkaterület identitása alapján. Erőforráspéldány-szabályt egy ARM-sablon erőforráspéldány-szabálysal való üzembe helyezésével hozhat létre. Erőforráspéldány-szabály létrehozása:
Jelentkezzen be az Azure Portalra, és nyissa meg az Egyéni üzembe helyezést.
Válassza a Saját sablon létrehozása lehetőséget a szerkesztőben. Az erőforráspéldány-szabályt létrehozó ARM-mintasablonok esetében lásd az ARM-sablon mintáját.
Hozza létre az erőforráspéldány-szabályt a szerkesztőben. Ha elkészült, válassza a Véleményezés + Létrehozás lehetőséget.
A megjelenő Alapismeretek lapon adja meg a szükséges projekt- és példányadatokat. Ha elkészült, válassza a Véleményezés + Létrehozás lehetőséget.
A megjelenő Véleményezés + Létrehozás lapon tekintse át az összegzést, majd válassza a Létrehozás lehetőséget. A szabály elküldve lesz az üzembe helyezéshez.
Ha az üzembe helyezés befejeződött, az erőforrásra léphet.
Feljegyzés
- A Fabric-munkaterületek erőforráspéldány-szabályai csak ARM-sablonokon keresztül hozhatók létre. Az Azure Portalon történő létrehozás nem támogatott.
- A Háló-munkaterület erőforrásazonosítója esetében a "00000000-0000-0000-00000-000000000" előfizetési azonosítót kell használni.
- A Fabric-munkaterület munkaterület-azonosítóját a címsor URL-címén keresztül szerezheti be.
Íme egy példa egy erőforráspéldány-szabályra, amely ARM-sablonnal hozható létre. A teljes példáért tekintse meg az ARM-sablonmintát.
"resourceAccessRules": [
{ "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
}
]
Megbízható szolgáltatáskivétel
Ha egy olyan ADLS Gen2-fiók megbízható szolgáltatáskivételét választja, amelynek nyilvános hálózati hozzáférése engedélyezve van a kiválasztott virtuális hálózatokról és IP-címekről, a munkaterületi identitással rendelkező Háló-munkaterületek hozzáférhetnek a tárfiókhoz. Ha be van jelölve a megbízható szolgáltatáskivételi jelölőnégyzet, a bérlő Fabric-kapacitásaiban lévő, munkaterületi identitással rendelkező munkaterületek hozzáférhetnek a tárfiókban tárolt adatokhoz.
Ez a konfiguráció nem ajánlott, és a támogatás a jövőben megszűnhet. Javasoljuk, hogy erőforráspéldány-szabályokkal biztosítson hozzáférést adott erőforrásokhoz.
Ki konfigurálhatja a Tárfiókokat megbízható szolgáltatáshozzáféréshez?
A tárfiók egyik közreműködője (Azure RBAC-szerepkör) konfigurálhatja az erőforráspéldány-szabályokat vagy a megbízható szolgáltatáskivételt.
Megbízható munkaterület-hozzáférés használata a Fabricben
Jelenleg három módon használhat megbízható munkaterület-hozzáférést az adatok biztonságos eléréséhez a Fabricből:
Létrehozhat egy új ADLS-parancsikont a Fabric Lakehouse-ban, hogy megkezdje az adatok elemzését a Spark, az SQL és a Power BI használatával.
Létrehozhat egy olyan adatfolyamot, amely megbízható munkaterület-hozzáférést használ egy tűzfalbarát ADLS Gen2-fiók közvetlen eléréséhez.
Használhat egy T-SQL Copy utasítást, amely megbízható munkaterületi hozzáférést használ az adatok Fabric-raktárba való betöltéséhez.
Az alábbi szakaszok bemutatják, hogyan használhatja ezeket a metódusokat.
OneLake-parancsikon létrehozása a tárfiókhoz megbízható munkaterület-hozzáféréssel
A Fabricben konfigurált munkaterületi identitással és az ADLS Gen2-tárfiókban engedélyezett megbízható munkaterület-hozzáféréssel oneLake-parancsikonokat hozhat létre az adatok Fabricből való eléréséhez. Egyszerűen létrehozhat egy új ADLS-parancsikont egy Fabric Lakehouse-ban, és megkezdheti az adatok elemzését a Spark, az SQL és a Power BI használatával.
Előfeltételek
- Hálókapacitáshoz társított Háló munkaterület. Lásd: Munkaterületi identitás.
- Hozzon létre egy, a Háló munkaterülethez társított munkaterületi identitást.
- A parancsikon létrehozásához használt felhasználói fióknak vagy szolgáltatásnévnek Azure RBAC-szerepköröknek kell rendelkezniük a tárfiókon. Az egyszerű felhasználónak a tárfiók hatókörében tárolási blobadat-közreműködői, tárolási blobadat-tulajdonosi vagy storage-blobadat-olvasói szerepkörrel kell rendelkeznie, vagy a tárfiók hatókörében egy Storage Blob-adatolvasó szerepkör mellett egy Storage Blob Delegator szerepkörrel kell rendelkeznie a tároló hatókörében.
- Konfiguráljon egy erőforráspéldány-szabályt a tárfiókhoz.
Feljegyzés
- A munkaterületen az előfeltételeknek megfelelő, már meglévő billentyűparancsok automatikusan elkezdik támogatni a megbízható szolgáltatáshozzáférést.
- A tárfiókhoz az elosztott fájlrendszer URL-azonosítóját kell használnia. Íme egy példa:
https://StorageAccountName.dfs.core.windows.net
Lépések
Először hozzon létre egy új parancsikont egy Lakehouse-ban.
Megnyílik az Új parancsikon varázsló.
A Külső források területen válassza az Azure Data Lake Storage Gen2 lehetőséget.
Adja meg annak a tárfióknak az URL-címét, amely megbízható munkaterület-hozzáféréssel lett konfigurálva, és válasszon nevet a kapcsolatnak. Hitelesítési típus esetén válassza a Szervezeti fiók vagy a Szolgáltatásnév lehetőséget.
Ha elkészült, válassza a Tovább gombot.
Adja meg a parancsikon nevét és az al elérési útját.
Ha elkészült, válassza a Létrehozás lehetőséget.
Létrejön a lakehouse parancsikon, és a parancsikonban meg kell tudnia tekinteni a tárolási adatokat.
A OneLake parancsikon használata egy tárfiókhoz megbízható munkaterület-hozzáféréssel a Fabric-elemekben
A OneCopy in Fabric használatával a OneLake-parancsikonokat megbízható hozzáféréssel érheti el az összes Fabric-számítási feladatból.
Spark: A Spark használatával elérheti az adatokat a OneLake-parancsikonokból. Ha a Sparkban billentyűparancsokat használnak, azok mappákként jelennek meg a OneLake-ben. Csak hivatkoznia kell a mappa nevére az adatok eléréséhez. A OneLake parancsikon használatával megbízható munkaterület-hozzáféréssel rendelkező tárfiókokat használhat a Spark-jegyzetfüzetekben.
SQL-végpont: A lakehouse "Táblák" szakaszában létrehozott billentyűparancsok az SQL-végpontban is elérhetők. Megnyithatja az SQL-végpontot, és ugyanúgy kérdezheti le az adatokat, mint bármely más táblát.
Folyamatok: Az adatfolyamok megbízható munkaterület-hozzáféréssel rendelkező tárfiókokhoz férhetnek hozzá felügyelt parancsikonokhoz. Az adatfolyamok a OneLake-parancsikonok használatával olvashatók a tárfiókokból, illetve írhatnak a tárfiókokba.
Adatfolyamok v2: A Gen2-adatfolyamok a megbízható munkaterület-hozzáféréssel rendelkező tárfiókok felügyelt parancsikonjainak elérésére használhatók. A Gen2-adatfolyamok OneLake-parancsikonokkal olvashatnak vagy írhatnak tárfiókokba.
Szemantikai modellek és jelentések: A Lakehouse SQL-végponthoz társított alapértelmezett szemantikai modell képes felügyelt parancsikonokat olvasni a megbízható munkaterület-hozzáféréssel rendelkező tárfiókokhoz. Ha meg szeretné tekinteni a felügyelt táblákat az alapértelmezett szemantikai modellben, nyissa meg az SQL-végpontot, válassza a Jelentéskészítés lehetőséget, és válassza a Szemantikai modell automatikus frissítését.
Létrehozhat olyan új szemantikai modelleket is, amelyek táblahivatkozásokra hivatkoznak a megbízható munkaterület-hozzáféréssel rendelkező tárfiókokra. Lépjen az SQL-végpontra, válassza a Jelentéskészítés lehetőséget, és válassza az Új szemantikai modell lehetőséget.
Az alapértelmezett szemantikai modelleken és egyéni szemantikai modelleken felül jelentéseket is létrehozhat.
KQL-adatbázis: OneLake-parancsikonokat is létrehozhat az ADLS Gen2-hez egy KQL-adatbázisban. A felügyelt parancsikon megbízható munkaterület-hozzáféréssel történő létrehozásának lépései változatlanok maradnak.
Adatfolyam létrehozása megbízható munkaterület-hozzáféréssel rendelkező tárfiókba
A Fabricben konfigurált munkaterületi identitással és az ADLS Gen2-tárfiókban engedélyezett megbízható hozzáféréssel adatfolyamokat hozhat létre az adatok Fabricből való eléréséhez. Létrehozhat egy új adatfolyamot, amely adatokat másol egy Fabric lakehouse-ba, majd megkezdheti az adatok elemzését a Spark, az SQL és a Power BI használatával.
Előfeltételek
- Hálókapacitáshoz társított Háló munkaterület. Lásd: Munkaterületi identitás.
- Hozzon létre egy, a Háló munkaterülethez társított munkaterületi identitást.
- A kapcsolat létrehozásához használt felhasználói fióknak vagy szolgáltatásnévnek Azure RBAC-szerepköröknek kell rendelkezniük a tárfiókon. Az egyszerű felhasználónak a tárfiók hatókörében tárolóblobadat-közreműködői, tárolási blobadat-tulajdonosi vagy storage blobadat-olvasói szerepkörrel kell rendelkeznie.
- Konfiguráljon egy erőforráspéldány-szabályt a tárfiókhoz.
Lépések
Először válassza az Adatok lekérése lehetőséget egy tóházban.
Válassza az Új adatfolyam lehetőséget. Adja meg a folyamat nevét, majd válassza a Létrehozás lehetőséget.
Adatforrásként válassza az Azure Data Lake Gen2-t .
Adja meg annak a tárfióknak az URL-címét, amely megbízható munkaterület-hozzáféréssel lett konfigurálva, és válasszon nevet a kapcsolatnak. Hitelesítési típus esetén válassza a Szervezeti fiók vagy a Szolgáltatásnév lehetőséget.
Ha elkészült, válassza a Tovább gombot.
Válassza ki a lakehouse-ba másolandó fájlt.
Ha elkészült, válassza a Tovább gombot.
A Véleményezés + mentés képernyőn válassza az Adatátvitel azonnali indítása lehetőséget. Ha elkészült, válassza a Mentés + Futtatás lehetőséget.
Amikor a folyamat állapota várólistáról sikeresre változik, lépjen a lakehouse-ba, és ellenőrizze, hogy létrejöttek-e az adattáblák.
A T-SQL COPY utasítás használata adatok raktárba való betöltéséhez
A Fabricben konfigurált munkaterületidentitás és az ADLS Gen2-tárfiókban engedélyezett megbízható hozzáférés révén a COPY T-SQL utasítással adatokat helyezhet be a Fabric-raktárba. Miután az adatokat betöltötte a raktárba, megkezdheti az adatok elemzését az SQL és a Power BI használatával.
Korlátozások és szempontok
- A megbízható munkaterület-hozzáférés csak a Fabric-kapacitásokban (F64 vagy újabb) lévő munkaterületek esetében támogatott.
- Csak a OneLake-billentyűparancsokban, az adatfolyamokban és a T-SQL COPY utasításban használhat megbízható munkaterület-hozzáférést. A Tárfiókok a Fabric Sparkból való biztonságos eléréséhez tekintse meg a Fabric felügyelt privát végpontjait.
- Ha egy munkaterületi identitással rendelkező munkaterületet nem hálókapacitásba vagy F64-nél alacsonyabb hálókapacitásba migrál, a megbízható munkaterület-hozzáférés egy óra múlva leáll.
- A 2023. október 10. előtt létrehozott, már meglévő billentyűparancsok nem támogatják a megbízható munkaterület-hozzáférést.
- A megbízható munkaterület-hozzáféréshez tartozó kapcsolatok nem hozhatók létre és nem módosíthatók a Kapcsolatok és átjárók kezelése területen.
- A tűzfallal kompatibilis tárfiókokhoz való kapcsolatok kapcsolat nélküli állapotúak lesznek a Kapcsolatok és átjárók kezelése területen.
- Ha olyan kapcsolatokat használ újra, amelyek a parancsikonokon és folyamatokon kívül más hálóelemekben vagy más munkaterületeken is támogatják a megbízható munkaterület-hozzáférést, előfordulhat, hogy nem működnek.
- Csak szervezeti fiók vagy szolgáltatásnév használható a megbízható munkaterület-hozzáférésű tárfiókok hitelesítéséhez.
- A folyamatok nem írhatnak a OneLake-táblázat parancsikonjaira megbízható munkaterület-hozzáféréssel rendelkező tárfiókokon. Ez ideiglenes korlátozás.
- Legfeljebb 200 erőforráspéldány-szabály konfigurálható. További információ: Azure-előfizetések korlátai és kvótái – Azure Resource Manager.
- A megbízható munkaterület-hozzáférés csak akkor működik, ha a nyilvános hozzáférés engedélyezve van a kijelölt virtuális hálózatokról és IP-címekről.
- A Fabric-munkaterületek erőforráspéldány-szabályait ARM-sablonokkal kell létrehozni. Az Azure Portal felhasználói felületén létrehozott erőforráspéldány-szabályok nem támogatottak.
- Az előfeltételeknek megfelelő munkaterületen már meglévő billentyűparancsok automatikusan elkezdik támogatni a megbízható szolgáltatáshozzáférést.
- Ha a szervezet entra feltételes hozzáférési szabályzattal rendelkezik az összes szolgáltatásnevet tartalmazó számítási feladatok identitásaihoz, akkor a megbízható munkaterület-hozzáférés nem fog működni. Ilyen esetekben ki kell zárnia bizonyos Fabric-munkaterületi identitásokat a számítási feladatok identitásainak feltételes hozzáférési szabályzatából.
Megbízható munkaterület-hozzáféréssel kapcsolatos problémák elhárítása
Ha egy tűzfallal védett ADLS Gen2-tárfiókot megcélzó lakehouse-parancsikon elérhetetlenné válik, az az lehet, hogy a lakehouse-t megosztották egy olyan felhasználóval, aki nem rendelkezik rendszergazdai, tagi vagy közreműködői szerepkörrel azon a munkaterületen, ahol a lakehouse található. Ez egy ismert probléma. A megoldás az, hogy nem osztja meg a lakehouse-t olyan felhasználókkal, akik nem rendelkeznek rendszergazdai, tagi vagy közreműködői szerepkörrel a munkaterületen.
ARM-sablonminta
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: