Connettersi a un account di archiviazione di Azure sicuro dall'area di lavoro di Synapse

  • Articolo

Questo articolo spiega come connettersi a un account di archiviazione sicuro di Azure dall'area di lavoro di Azure Synapse. È possibile collegare un account di archiviazione di Azure all'area di lavoro di Synapse quando si crea l'area di lavoro. È possibile collegare altri account di archiviazione, dopo la creazione dell'area di lavoro.

Account di archiviazione di Azure protetti

L'archiviazione di Azure fornisce un modello di sicurezza a più livelli che consente di proteggere e controllare l'accesso agli account di archiviazione. È possibile configurare le regole del firewall IP per concedere l'accesso del traffico proveniente da intervalli di indirizzi IP pubblici selezionati, all'account di archiviazione. È anche possibile configurare le regole di rete per concedere l'accesso del traffico proveniente da reti virtuali selezionate, all'account di archiviazione. È possibile combinare le regole del firewall IP che consentono l'accesso da intervalli di indirizzi IP selezionati e le regole di rete che concedono l'accesso da reti virtuali selezionate nello stesso account di archiviazione. Tali regole si applicano all'endpoint pubblico di un account di archiviazione. Non sono necessarie regole di accesso per consentire al traffico proveniente dagli endpoint privati gestiti creati nell'area di lavoro di accedere a un account di archiviazione. Si possono applicare le regole del firewall di archiviazione agli account di archiviazione esistenti oppure ai nuovi account di archiviazione durante la loro creazione. Altre informazioni sulla protezione dell'account di archiviazione sono disponibili qui.

Reti virtuali e aree di lavoro di Synapse

Quando si crea un'area di lavoro di Synapse, è possibile scegliere di abilitare una rete virtuale gestita da associare. Se non si abilita la rete virtuale gestita per l'area di lavoro durante la creazione, l'area di lavoro si trova in una rete virtuale condivisa insieme ad altre aree di lavoro di Synapse alle quali non è associata una rete virtuale gestita. Se è stata abilitata la rete virtuale gestita al momento della creazione dell'area di lavoro, quest'ultima viene associata a una rete virtuale dedicata, gestita da Azure Synapse. Queste reti virtuali non vengono create nella sottoscrizione del cliente. Pertanto, non sarà possibile consentire al traffico proveniente da queste reti virtuali di accedere all'account di archiviazione protetto, usando le regole di rete descritte in precedenza.

Accedere a un account di archiviazione protetto

Synapse opera da reti che non possono essere incluse nelle regole di rete. Per abilitare l'accesso dall'area di lavoro all'account di archiviazione sicuro, è necessario eseguire le operazioni seguenti.

  • Creare un'area di lavoro di Azure Synapse con una rete virtuale gestita associata e creare endpoint privati gestiti dall'area di lavoro all'account di archiviazione sicuro.

    Se si usa il portale di Azure per creare l'area di lavoro, è possibile abilitare la rete virtuale gestita nella scheda Rete, come illustrato di seguito. Se si abilita la rete virtuale gestita o se Synapse stabilisce che l'account di archiviazione primario è un account di archiviazione sicuro, è possibile creare una richiesta di connessione endpoint privato gestito per l'account di archiviazione sicuro, come illustrato di seguito. Il proprietario dell'account di archiviazione dovrà approvare la richiesta di connessione per stabilire il collegamento privato. In alternativa, Synapse approverà questa richiesta di connessione, se l'utente che crea un pool di Apache Spark nell'area di lavoro ha i privilegi sufficienti per approvare la richiesta di connessione. Enable Managed VNet and Managed private endpoint

  • Concedere all'area di lavoro di Azure Synapse l'accesso all'account di archiviazione sicuro come servizio di Azure attendibile. Essendo un servizio attendibile, Azure Synapse utilizzerà l'autenticazione avanzata per connettersi in modo sicuro all'account di archiviazione.

Creare un'area di lavoro di Synapse con una rete virtuale gestita e creare endpoint privati gestiti nell'account di archiviazione

È possibile eseguire questi passaggi per creare un'area di lavoro di Synapse con una rete virtuale gestita associata. Dopo aver creato l'area di lavoro con una rete virtuale gestita associata, è possibile creare un endpoint privato gestito per l'account di archiviazione sicuro, seguendo i passaggi elencati qui.

Concedere all'area di lavoro di Azure Synapse l'accesso all'account di archiviazione sicuro in qualità di servizio di Azure attendibile

Le funzionalità analitiche, ad esempio il pool SQL dedicato e il pool SQL serverless, utilizzano l'infrastruttura multi-tenant che non è distribuita nella rete virtuale gestita. Al fine di consentire al traffico, proveniente da queste funzionalità, di accedere all'account di archiviazione protetto, è necessario configurare l'accesso all'account di archiviazione in base all'identità gestita assegnata dal sistema dell'area di lavoro, eseguendo i passaggi riportati di seguito.

Nel portale di Azure, passare all'account di archiviazione protetto. Selezionare Rete nel riquadro di spostamento di sinistra. Nella sezione Istanze della risorsa, selezionare Microsoft.Synapse/workspaces come Tipo di risorsa e immettere il nome dell'area di lavoro per il Nome istanza. Seleziona Salva.

Storage account network configuration.

A questo punto, dovrebbe essere possibile accedere all'account di archiviazione protetto dall'area di lavoro.

Passaggi successivi

Altre informazioni sulla Rete virtuale dell'area di lavoro gestita.

Altre informazioni sugli Endpoint privati gestiti.