Udzielanie uprawnień do tożsamość zarządzanej przez obszar roboczy
W tym artykule przedstawiono sposób udzielania uprawnień do tożsamości zarządzanej w obszarze roboczym usługi Azure synapse. Uprawnienia umożliwiają z kolei dostęp do dedykowanych pul SQL w obszarze roboczym i na koncie magazynu usługi ADLS Gen2 za pośrednictwem Azure Portal.
Uwaga
Ta tożsamość zarządzana obszaru roboczego będzie określana jako tożsamość zarządzana w pozostałej części tego dokumentu.
Udzielanie uprawnień tożsamości zarządzanej do konta magazynu usługi ADLS Gen2
Konto magazynu usługi ADLS Gen2 jest wymagane do utworzenia Azure Synapse obszaru roboczego. Aby pomyślnie uruchomić pule platformy Spark w obszarze roboczym Azure Synapse, tożsamość zarządzana Azure Synapse wymaga roli Współautor danych obiektu blob usługi Storage na tym koncie magazynu. Orkiestracja potoków w Azure Synapse również korzysta z tej roli.
Udzielanie uprawnień do tożsamości zarządzanej podczas tworzenia obszaru roboczego
Azure Synapse podejmie próbę udzielenia roli Współautor danych obiektu blob usługi Storage do tożsamości zarządzanej po utworzeniu obszaru roboczego Azure Synapse przy użyciu Azure Portal. Szczegóły konta magazynu usługi ADLS Gen2 można podać na karcie Podstawy .
Wybierz konto magazynu usługi ADLS Gen2 i system plików w polu Nazwa konta i Nazwa systemu plików.
Jeśli twórca obszaru roboczego jest również właścicielem konta magazynu usługi ADLS Gen2, Azure Synapse przypisze rolę Współautor danych obiektu blob magazynu do tożsamości zarządzanej. Poniżej wprowadzonych szczegółów konta magazynu zostanie wyświetlony następujący komunikat.
Jeśli twórca obszaru roboczego nie jest właścicielem konta magazynu usługi ADLS Gen2, Azure Synapse nie przypisuje roli Współautor danych obiektu blob usługi Storage do tożsamości zarządzanej. Komunikat wyświetlany poniżej szczegółów konta magazynu powiadamia twórcę obszaru roboczego, że nie ma wystarczających uprawnień do udzielenia roli Współautor danych obiektu blob usługi Storage do tożsamości zarządzanej.
W przypadku stanów komunikatów nie można utworzyć pul platformy Spark, chyba że współautor danych obiektu blob usługi Storage jest przypisany do tożsamości zarządzanej.
Udzielanie uprawnień tożsamości zarządzanej po utworzeniu obszaru roboczego
Jeśli podczas tworzenia obszaru roboczego nie przypiszesz współautora danych obiektu blob usługi Storage do tożsamości zarządzanej, właściciel konta magazynu usługi ADLS Gen2 ręcznie przypisuje rolę do tożsamości. Poniższe kroki ułatwią wykonanie ręcznego przypisania.
Krok 1. Przejdź do konta magazynu usługi ADLS Gen2 w Azure Portal
W Azure Portal otwórz konto magazynu usługi ADLS Gen2 i wybierz pozycję Przegląd w obszarze nawigacji po lewej stronie. Wystarczy przypisać rolę Współautor danych obiektu blob usługi Storage na poziomie kontenera lub systemu plików. Wybierz pozycję Kontenery.
Krok 2. Wybieranie kontenera
Tożsamość zarządzana powinna mieć dostęp do danych do kontenera (systemu plików), który został podany podczas tworzenia obszaru roboczego. Ten kontener lub system plików można znaleźć w Azure Portal. Otwórz obszar roboczy Azure Synapse w Azure Portal i wybierz kartę Przegląd w obszarze nawigacji po lewej stronie.
Wybierz ten sam kontener lub system plików, aby udzielić roli Współautor danych obiektu blob usługi Storage do tożsamości zarządzanej.
Krok 3. Otwieranie kontroli dostępu i dodawanie przypisania roli
Wybierz pozycję Kontrola dostępu (IAM) .
Wybierz pozycję Dodaj>przypisanie roli , aby otworzyć stronę Dodawanie przypisania roli.
Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Ustawienie Wartość Rola Współautor danych obiektu blob usługi Storage Przypisz dostęp do MANAGEDIDENTITY Elementy członkowskie nazwa tożsamości zarządzanej Uwaga
Nazwa tożsamości zarządzanej jest również nazwą obszaru roboczego.
Wybierz pozycję Zapisz , aby dodać przypisanie roli.
Krok 4. Sprawdź, czy rola Współautor danych obiektu blob magazynu jest przypisana do tożsamości zarządzanej
Wybierz pozycję Access Control(IAM), a następnie wybierz pozycję Przypisania ról.
Tożsamość zarządzana powinna zostać wyświetlona w sekcji Współautor danych obiektu blob usługi Storage z przypisaną rolą Współautor danych obiektu blob usługi Storage .
Alternatywa dla roli Współautor danych obiektu blob usługi Storage
Zamiast udzielać sobie roli Współautor danych obiektu blob usługi Storage, możesz również przyznać bardziej szczegółowe uprawnienia do podzestawu plików.
Wszyscy użytkownicy, którzy potrzebują dostępu do niektórych danych w tym kontenerze, również muszą mieć uprawnienie EXECUTE we wszystkich folderach nadrzędnych do katalogu głównego (kontenera).
Dowiedz się więcej na temat ustawiania list ACL w Azure Data Lake Storage Gen2.
Uwaga
Uprawnienia do wykonywania na poziomie kontenera muszą być ustawione w Data Lake Storage Gen2. Uprawnienia do folderu można ustawić w Azure Synapse.
Jeśli chcesz wykonać zapytanie data2.csv w tym przykładzie, potrzebne są następujące uprawnienia:
- Uprawnienie do wykonywania w kontenerze
- Uprawnienie do wykonywania w folderze folder1
- Uprawnienie do odczytu w data2.csv
Zaloguj się do Azure Synapse przy użyciu użytkownika administracyjnego, który ma pełne uprawnienia do danych, do których chcesz uzyskać dostęp.
W okienku danych kliknij prawym przyciskiem myszy plik i wybierz pozycję Zarządzaj dostępem.
Wybierz co najmniej uprawnienie do odczytu . Wprowadź nazwę UPN użytkownika lub identyfikator obiektu, na przykład user@contoso.com. Wybierz pozycję Dodaj.
Udziel uprawnień do odczytu dla tego użytkownika.
Uwaga
W przypadku użytkowników-gości ten krok należy wykonać bezpośrednio za pomocą usługi Azure Data Lake, ponieważ nie można wykonać go bezpośrednio za pośrednictwem Azure Synapse.
Następne kroki
Dowiedz się więcej o tożsamości zarządzanej obszaru roboczego