Бөлісу құралы:

Предоставление разрешений управляемому удостоверению рабочей области

  • Мақала

Эта статья поможет вам узнать, как предоставлять разрешения управляемому удостоверению в рабочей области Azure Synapse. Разрешения, в свою очередь, открывают доступ к выделенным пулам SQL в рабочей области и учетной записи хранения ADLS 2-го поколения с помощью портала Azure.

Примечание.

Это управляемое удостоверение рабочей области будет называться управляемым удостоверением далее в этом документе.

Предоставление разрешений управляемого удостоверения учетной записи хранения ADLS 2-го поколения

Для создания рабочей области Azure Synapse требуется учетная запись хранения ADLS 2-го поколения. Чтобы успешно запустить пулы Spark в рабочей области Azure Synapse, управляемому удостоверению Azure Synapse требуется роль участника для данных BLOB-объектов хранилища в этой учетной записи хранения. Оркестрация конвейеров в Azure Synapse также получает преимущества от этой роли.

Предоставление разрешений управляемому удостоверению во время создания рабочей области

Azure Synapse будет пытаться предоставить управляемому удостоверению роль участника для данных BLOB-объектов хранилища после создания рабочей области Azure Synapse с помощью портала Azure. Сведения об учетной записи хранения ADLS 2-го поколения можно указать на вкладке Основы.

Снимок экрана: вкладка

Выберите учетную запись хранения ADLS 2-го поколения и файловую систему в поле Имя учетной записи и Имя файловой системы.

Снимок экрана: предоставление сведений об учетной записи хранения ADLS 2-го поколения.

Если создатель рабочей области также является владельцем учетной записи хранения ADLS 2-го поколения, Azure Synapse присвоит управляемому удостоверению роль участника для данных BLOB-объектов хранилища. После введенных данных учетной записи хранения вы увидите следующее сообщение.

Снимок экрана: успешное назначение участника для данных BLOB-объектов хранилища.

Если создатель рабочей области не является владельцем учетной записи хранения ADLS 2-го поколения, Azure Synapse не присвоит управляемому удостоверению роль участника для данных BLOB-объектов хранилища. Сообщение, которое отображается под данными учетной записи хранения, уведомляет создателя рабочей области о том, что у него нет достаточных прав для предоставления роли участника для данных BLOB-объектов хранилища управляемому удостоверению.

Снимок экрана: ошибка при назначении участника для данных BLOB-объекта хранилища с выделенным сообщением об ошибке.

Как указано в сообщении, нельзя создавать пулы Spark, если участник для данных BLOB-объектов хранилища не назначен управляемому удостоверению.

Предоставление разрешений управляемому удостоверению после создания рабочей области

Если при создании рабочей области участник для данных BLOB-объектов хранилища не назначается управляемому удостоверению, владелец учетной записи хранения ADLS 2-го поколения вручную назначает эту роль удостоверению. Следующие шаги помогут выполнить назначение вручную.

Шаг 1. Перейдите к учетной записи хранения ADLS 2-го поколения на портал Azure

На портале Azure откройте учетную запись хранения ADLS 2-го поколения и выберите Обзор в левой области навигации. Вам потребуется назначить роль участника для данных BLOB-объектов хранилища на уровне контейнера или файловой системы. Выберите Контейнеры.

Снимок экрана: портал Azure, обзор учетной записи хранения ADLS 2-го поколения.

Шаг 2. Выберите контейнер

Управляемое удостоверение должно иметь доступ к данным контейнера (файловой системы), который был предоставлен при создании рабочей области. Этот контейнер или файловую систему можно найти на портале Azure. Откройте рабочую область Azure Synapse на портале Azure и щелкните вкладку Обзор в области навигации слева.

Снимок экрана: портал Azure, показано название файла хранилища ADLS 2-го поколения

Выберите тот же контейнер или файловую систему, чтобы назначить управляемому удостоверению роль участника для данных BLOB-объектов хранилища.

Снимок экрана, показывающий контейнер или файловую систему, которые следует выбрать.

Шаг 3. Откройте раздел "Управление доступом" и добавьте назначение ролей

  1. Выберите Управление доступом (IAM) .

  2. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

  3. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Параметр Значение
    Роль Участник данных хранилища BLOB-объектов
    Назначить доступ для MANAGEDIDENTITY
    Участники имя управляемого удостоверения

    Примечание.

    Имя управляемого удостоверения также является именем рабочей области.

    Снимок экрана: станица

  4. Нажмите кнопку Сохранить, чтобы добавить назначение ролей.

Шаг 4. Убедитесь, что роль участника для данных BLOB-объектов хранилища назначена управляемому удостоверению

Выберите Управление доступом (IAM), а затем Назначение ролей.

Снимок экрана: кнопка

Управляемое удостоверение должно отображаться в разделе Участник для данных BLOB-объектов хранилища с назначенной ему ролью участника для данных BLOB-объектов хранилища.
Снимок экрана: портал Azure, на котором показан выбор контейнера учетной записи хренения ADLS 2-го поколения.

Альтернатива роли участника для данных BLOB-объектов хранилища

Вместо предоставления себе роли "Участник данных BLOB-объектов хранилища" можно предоставить более детализированные разрешения для доступа к подмножеству файлов.

Всем пользователям, которым необходим доступ к некоторым данным в этом контейнере, также необходимо разрешение EXECUTE (ВЫПОЛНЕНИЕ) для всех родительских папок вплоть до корневой (контейнера).

Дополнительные сведения о настройке списков управления доступом в Azure Data Lake Storage 2-го поколения.

Примечание.

Разрешение на выполнение на уровне контейнера необходимо задать в Azure Data Lake 2-го поколения. Разрешения для папки можно задать в Azure Synapse.

Если в этом примере вы хотите запросить файл data2.csv, необходимы следующие разрешения:

  • разрешение на выполнение для контейнера
  • разрешение на выполнение для папки1
  • разрешение на чтение для файла data2.csv

Схема, демонстрирующая структуру разрешений в озере данных.

  1. Войдите в Azure Synapse с помощью учетной записи администратора, обладающей полными правами доступа к данным, к которым вы хотите получить доступ.

  2. В области данных нажмите правой кнопкой мыши на файле и выберите Manage access (Управление доступом).

    Снимок экрана: параметр управления доступом.

  3. Выберите по крайней мере разрешение Read (Чтение). Введите имя участника-пользователя или идентификатор объекта, например user@contoso.com. Выберите Добавить.

  4. Предоставьте разрешение на чтение этому пользователю.

    Снимок экрана: предоставление разрешений на чтение.

Примечание.

Для гостевых пользователей это необходимо сделать непосредственно с помощью службы Azure Data Lake, так как напрямую через Azure Synapse это выполнить невозможно.

Следующие шаги

Дополнительные сведения об управляемых удостоверениях рабочей области