Bagikan melalui

Menggunakan identitas terkelola untuk Azure dengan penyimpanan data lake Azure Anda

  • Artikel

Azure Data Lake Storage menyediakan model keamanan berlapis. Model ini memungkinkan Anda mengamankan dan mengontrol tingkat akses ke akun penyimpanan yang diminta aplikasi dan lingkungan perusahaan Anda, berdasarkan jenis dan subset jaringan atau sumber daya yang digunakan. Saat aturan jaringan dikonfigurasi, hanya aplikasi yang meminta data melalui kumpulan jaringan yang ditentukan atau melalui kumpulan sumber daya Azure yang ditentukan yang dapat mengakses akun penyimpanan. Anda dapat membatasi akses ke akun penyimpanan Anda ke permintaan yang berasal dari alamat IP tertentu, rentang IP, subnet di Azure Virtual Network (VNet), atau instans sumber daya dari beberapa layanan Azure.

Identitas terkelola untuk Azure, sebelumnya dikenal sebagai Identitas Layanan Terkelola (MSI), membantu pengelolaan rahasia. Microsoft Dataverse pelanggan yang menggunakan kemampuan Azure membuat identitas terkelola (bagian dari pembuatan kebijakan perusahaan) yang dapat digunakan untuk satu atau beberapa Dataverse lingkungan. Identitas terkelola yang akan disediakan di penyewa Anda ini kemudian digunakan untuk Dataverse mengakses data lake Azure Anda.

Dengan identitas terkelola, akses ke akun penyimpanan Anda dibatasi untuk permintaan yang berasal dari Dataverse lingkungan yang terkait dengan penyewa Anda. Saat Dataverse terhubung ke penyimpanan atas nama Anda, ini menyertakan informasi konteks tambahan untuk membuktikan bahwa permintaan berasal dari lingkungan yang aman dan tepercaya. Hal ini memungkinkan penyimpanan untuk memberikan Dataverse akses ke akun penyimpanan Anda. Identitas terkelola digunakan untuk menandatangani informasi konteks untuk membangun kepercayaan. Ini menambahkan keamanan tingkat aplikasi selain keamanan jaringan dan infrastruktur yang disediakan oleh Azure untuk koneksi antar layanan Azure.

Sebelum Anda memulai

  • Azure CLI diperlukan di komputer lokal Anda. Unduh dan instal
  • Anda memerlukan dua modul PowerShell ini. Jika Anda tidak memilikinya, buka PowerShell dan jalankan perintah berikut:
    • Azure Az PowerShell module: Install-Module -Name Az
    • Modul PowerShell Azure Az.Resources: Install-Module -Name Az.Resources
    • Power Platform modul PowerShell admin: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Buka file folder terkompresi ini di GitHub. Kemudian pilih Unduh untuk mengunduhnya. Ekstrak file folder terkompresi ke komputer di lokasi tempat Anda dapat menjalankan perintah PowerShell. Semua file dan folder yang diekstrak dari folder terkompresi harus disimpan di lokasi aslinya.
  • Kami menyarankan Anda membuat kontainer penyimpanan baru di bawah grup sumber daya Azure yang sama untuk mengaktifkan fitur ini.

Aktifkan kebijakan perusahaan untuk langganan Azure yang dipilih

Penting

Anda harus memiliki akses peran Pemilik langganan Azure untuk menyelesaikan tugas ini. Dapatkan ID Langganan Azure Anda dari halaman gambaran umum untuk grup sumber daya Azure.

  1. Buka Azure CLI dengan jalankan sebagai administrator dan masuk ke langganan Azure Anda menggunakan perintah: az login Informasi selengkapnya: Masuk dengan Azure CLI
  2. (Opsional) jika Anda memiliki beberapa langganan Azure, pastikan untuk menjalankan Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } untuk memperbarui langganan default Anda.
  3. Perluas folder terkompresi yang Anda unduh sebagai bagian dari Sebelum memulai fitur ini ke lokasi tempat Anda dapat menjalankan PowerShell.
  4. Untuk mengaktifkan kebijakan perusahaan untuk langganan Azure yang dipilih, jalankan skrip PowerShell./SetupSubscriptionForPowerPlatform.ps1.
    • Berikan ID langganan Azure.

Membuat kebijakan perusahaan

Penting

Anda harus memiliki akses peran Pemilik grup sumber daya Azure untuk menyelesaikan tugas ini. Dapatkan ID Langganan Azure , Lokasi , dannama grup sumber daya Anda, dari halaman gambaran umum untuk grup sumber daya Azure.

  1. Buat kebijakan perusahaan. Jalankan skrip PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Berikan ID langganan Azure.
    • Berikan nama grup sumber daya Azure.
    • Berikan nama kebijakan perusahaan yang disukai.
    • Berikan lokasi grup sumber daya Azure.

  2. Simpan salinan ResourceId setelah pembuatan kebijakan.

Catatan

Berikut ini adalah input lokasi valid yang didukung untuk pembuatan kebijakan. Pilih lokasi yang paling sesuai untuk Anda.

Lokasi yang tersedia untuk kebijakan perusahaan

Amerika Serikat EUAP

Amerika Serikat

Afrika Selatan

Inggris

Australia

Korea Selatan

Jepang

India

Prancis

Eropa

Asia

Norwegia

Jerman

Swiss

Kanada

Brasil

UEA

Singapura

Memberikan akses Pembaca ke kebijakan perusahaan melalui Azure

Admin Dynamics 365, dan Power Platform admin dapat mengakses Power Platform pusat admin untuk menetapkan lingkungan ke kebijakan perusahaan. Untuk mengakses kebijakan perusahaan, keanggotaan admin brankas Azure Key diperlukan untuk memberikan peran Pembaca kepada Dynamics 365 atau Power Platform admin. Setelah peran Pembaca diberikan, Dynamics 365 atau Power Platform admin akan melihat kebijakan perusahaan di Power Platform pusat admin.

Hanya Dynamics 365 dan Power Platform admin yang diberikan peran Pembaca ke kebijakan perusahaan yang dapat 'menambahkan lingkungan' ke kebijakan. Admin Dynamics 365 dan PowerPlatform lainnya mungkin dapat melihat kebijakan perusahaan, tetapi mereka akan mendapatkan kesalahan saat mencoba menambahkan lingkungan.

Penting

Anda harus memiliki - Microsoft.Authorization/roleAssignments/write permissions, seperti Administrator atau Pemilik Akses Pengguna untuk menyelesaikan tugas ini.

  1. Masuk ke portal Microsoft Azure.
  2. Dapatkan ObjectID Power Platform pengguna admin Dynamics 365.
    1. Buka area Pengguna .
    2. Buka Dynamics 365 atau Power Platform pengguna admin.
    3. Di bawah halaman ikhtisar untuk pengguna, salin ObjectID.
  3. Dapatkan ID kebijakan perusahaan:
    1. Buka Azure Resource Graph Explorer.
    2. Jalankan kueri ini: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Jalankan kueri dari Azure Resource Graph Explorer
    3. Gulir ke kanan halaman hasil dan pilih tautkan Lihat detail.
    4. Pada halaman Detail , salin ID.
  4. Buka Azure CLI dan jalankan perintah berikut, ganti dengan <objId> ObjectID pengguna dan dengan <EP Resource Id> ID kebijakan perusahaan.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Hubungkan kebijakan perusahaan ke Dataverse lingkungan

Penting

Anda harus memiliki Power Platform peran administrator atau administrator Dynamics 365 untuk menyelesaikan tugas ini. Anda harus memilikiperan Pembaca untuk kebijakan perusahaan untuk menyelesaikan tugas ini.

  1. Dapatkan Dataverse ID lingkungan.
    1. Masuk ke Power Platform Pusat Admin.
    2. Pilih Lingkungan, lalu buka lingkungan Anda.
    3. Di bagian Detail , salin ID Lingkungan.
    4. Untuk menautkan ke Dataverse lingkungan, jalankan skrip PowerShell ini: ./NewIdentity.ps1
    5. Berikan Dataverse ID lingkungan.
    6. Berikan ResourceId.
      StatusCode = 202 menunjukkan tautkan berhasil dibuat.
  2. Masuk ke Power Platform Pusat Admin.
  3. Pilih Lingkungan, lalu buka lingkungan yang Anda tentukan sebelumnya.
  4. Di area Operasi terbaru, pilih Riwayat lengkap untuk memvalidasi koneksi identitas baru.

Konfigurasikan akses jaringan ke Azure Data Lake Storage Gen2

Penting

Anda harus memiliki Azure Data Lake Storage peran Pemilik Gen2 untuk menyelesaikan tugas ini.

  1. Buka portal Microsoft Azure.

  2. Buka akun penyimpanan yang terhubung ke profil Anda Azure Synapse Link for Dataverse .

  3. Pada panel navigasi kiri, pilih Jaringan. Kemudian, pada tab Firewall dan jaringan virtual, pilih pengaturan berikut:

    1. Diaktifkan dari jaringan virtual dan alamat IP yang dipilih.
    2. Di bawah Instans sumber daya, pilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini

  4. Pilih Simpan.

Mengonfigurasi akses jaringan ke Azure Synapse Ruang Kerja

Penting

Anda harus memiliki peran administrator Azure Synapse untuk menyelesaikan tugas ini.

  1. Buka portal Microsoft Azure.
  2. Buka ruang kerja yang Azure Synapse terhubung ke profil Anda Azure Synapse Link for Dataverse .
  3. Pada panel navigasi kiri, pilih Jaringan.
  4. Pilih Izinkan layanan dan sumber daya Azure untuk mengakses ruang kerja ini.
  5. Jika ada aturan firewall IP yang dibuat untuk semua rentang IP, hapus untuk membatasi akses jaringan publik. Azure Synapse Pengaturan jaringan ruang kerja
  6. Tambahkan aturan firewall IP baru berdasarkan alamat IP klien.
  7. Pilih Simpan setelah selesai. Informasi lebih lanjut: Azure Synapse Analytics Aturan firewall IP

Penting

Dataverse: Anda harus memiliki peran keamanan administrator Dataverse sistem. Selain itu, tabel yang ingin Anda ekspor harus Azure Synapse Link mengaktifkan properti Lacak perubahan . Informasi lebih lanjut: Opsi lanjutan

Azure Data Lake Storage Gen2: Anda harus memiliki Azure Data Lake Storage akun Gen2 dan akses peran Kontributor Data Blob Pemilik dan Penyimpanan. Akun penyimpanan Anda harus mengaktifkan namespace hierarki untuk penyiapan awal dan sinkronisasi delta. Izinkan akses kunci akun penyimpanan hanya diperlukan untuk penyiapan awal.

Ruang kerja Synapse: Anda harus memiliki ruang kerja Synapse dan akses peran Administrator Synapse dalam Synapse Studio. Ruang kerja Synapse harus berada di kawasan yang sama dengan akun Azure Data Lake Storage Gen2 Anda. Akun penyimpanan harus ditambahkan sebagai layanan tertaut di Dalam Synapse Studio. Untuk membuat ruang kerja Synapse, buka Membuat ruang kerja Synapse.

Saat Anda membuat tautan, Azure Synapse Link for Dataverse mendapatkan detail tentang kebijakan perusahaan yang saat ini ditautkan di bawah lingkungan, Dataverse lalu menyimpan URL rahasia klien identitas dalam cache untuk terhubung ke Azure.

  1. Masuk dan Power Apps pilih lingkungan Anda.
  2. Di panel navigasi kiri, pilih Azure Synapse Link, lalu pilih + tautkan baru. Jika item tidak ada di panel panel samping, pilih ... Lainnya lalu pilih item yang Anda inginkan.
  3. Isi kolom yang sesuai, sesuai dengan pengaturan yang dimaksudkan. Pilih akun Langganan, Grup sumber daya, dan Penyimpanan. Untuk menyambungkan Dataverse ke ruang kerja Synapse, pilih opsi Sambungkan ke ruang kerja Azure Synapse Anda . Untuk konversi data Delta Lake, pilih kumpulan Spark.
  4. Pilih Pilih Kebijakan Perusahaan dengan Identitas Layanan Terkelola, lalu pilih Berikutnya.
  5. Tambahkan tabel yang ingin Anda ekspor, lalu pilih Simpan.

Catatan

Untuk membuat perintah Gunakan identitas terkelola tersedia Power Apps, Anda harus menyelesaikan penyiapan di atas untuk menyambungkan kebijakan perusahaan ke lingkungan Anda Dataverse . Informasi lebih lanjut: Menyambungkan kebijakan perusahaan ke Dataverse lingkungan

  1. Buka profil Synapse tautkan yang ada dari Power Apps (make.powerapps.com).
  2. Pilih Gunakan identitas terkelola, lalu konfirmasi. Gunakan perintah identitas terkelola di Power Apps

Mengatasi Masalah

Jika Anda menerima kesalahan 403 selama pembuatan tautkan:

  • Identitas terkelola membutuhkan waktu ekstra untuk memberikan izin sementara selama sinkronisasi awal. Beri waktu dan coba operasi lagi nanti.
  • Pastikan penyimpanan tertaut tidak memiliki kontainer yang ada Dataverse (dataverse-environmentName-organizationUniqueName) dari lingkungan yang sama.
  • Anda dapat mengidentifikasi kebijakan perusahaan yang ditautkan dan policyArmId dengan menjalankan skrip ./GetIdentityEnterprisePolicyforEnvironment.ps1 PowerShell dengan ID Langganan Azure dan nama grup Sumber Daya.
  • Anda dapat membatalkan tautan kebijakan perusahaan dengan menjalankan skrip ./RevertIdentity.ps1 PowerShell dengan Dataverse ID lingkungan dan policyArmId.
  • Anda dapat menghapus kebijakan perusahaan dengan menjalankan skrip PowerShell.\RemoveIdentityEnterprisePolicy.ps1 dengan policyArmId.

Batasan yang diketahui

Hanya satu kebijakan perusahaan yang dapat terhubung ke Dataverse lingkungan secara bersamaan. Jika Anda perlu membuat beberapa Azure Synapse Link tautan dengan identitas terkelola diaktifkan, pastikan semua sumber daya Azure yang ditautkan berada di bawah grup sumber daya yang sama.

Baca juga

Apa itu Azure Synapse Link for Dataverse?