Conectar-se a uma conta de armazenamento seguro do Azure do seu workspace do Synapse
Este artigo ensina como conectar a uma conta de armazenamento seguro do Azure do seu workspace do Azure Synapse. Você poderá vincular uma conta de armazenamento do Azure ao seu workspace do Synapse ao criar o workspace. Você poderá vincular mais contas de armazenamento depois de criar seu workspace.
Contas de armazenamento do Azure protegidas
O armazenamento do Azure fornece um modelo de segurança em camadas que permite que você proteja e controle o acesso às suas contas de armazenamento. Você pode configurar regras de firewall de IP para conceder tráfego de acesso à sua conta de armazenamento de intervalos de endereços IP públicos selecionados. Você também pode configurar regras de rede para conceder tráfego de acesso à sua conta de armazenamento de redes virtuais selecionadas. Você pode combinar regras de firewall de IP que permitem acesso de intervalos de endereços IP selecionados e regras de rede que concedem acesso de redes virtuais selecionadas para a mesma conta de armazenamento. Essas regras se aplicam ao ponto de extremidade público de uma conta de armazenamento. Você não precisa de nenhuma regra de acesso para permitir o tráfego de pontos de extremidade privados gerenciados criados em seu workspace para uma conta de armazenamento. As regras de firewall de armazenamento podem ser aplicadas a contas de armazenamento existentes ou a novas contas de armazenamento durante a criação delas. Você pode saber mais sobre como proteger sua conta de armazenamento aqui.
Workspaces e redes virtuais do Synapse
Ao criar um workspace do Synapse, você poderá optar por habilitar uma rede virtual gerenciada a ser associada a ela. Se você não habilitar a rede virtual gerenciada para seu workspace ao criá-la, seu workspace estará em uma rede virtual compartilhada junto com outros workspaces do Synapse que não têm uma rede virtual gerenciada associada a ele. Se você tiver habilitado a rede virtual gerenciada quando criou o workspace, o workspace será associado a uma rede virtual dedicada gerenciada pelo Azure Synapse. Essas redes virtuais não são criadas na sua assinatura de cliente. Portanto, você não poderá conceder tráfego deste acesso a redes virtuais para sua conta de armazenamento protegido usando as regras de rede descritas acima.
Acessar uma conta de armazenamento protegida
O Synapse opera de redes que não podem ser incluídas em suas regras de rede. É necessário seguir as etapas abaixo para habilitar o acesso do workspace à sua conta de armazenamento seguro.
Criar um workspace do Azure Synapse com uma rede virtual gerenciada associada a ele e criar pontos de extremidade privados gerenciados por ele para a conta de armazenamento seguro.
Se usar o Portal do Azure para criar seu workspace, você poderá habilitar a rede virtual gerenciada na guia Rede, conforme mostrado abaixo. Se habilitar a rede virtual gerenciada ou o Synapse determinar que a conta de armazenamento primária é uma conta de armazenamento segura, você terá a opção de criar uma solicitação de conexão de ponto de extremidade privado gerenciado para a conta de armazenamento segura, conforme mostrado abaixo. O proprietário da conta de armazenamento precisará aprovar a solicitação de conexão para estabelecer o link privado. Como alternativa, o Synapse aprovará essa solicitação de conexão se o usuário que estiver criando um pool do Apache Spark no workspace tiver privilégios suficientes para aprovar a solicitação de conexão.
Conceda para o workspace do Azure Synapse acesso à sua conta de armazenamento seguro como um serviço do Azure confiável. Como um serviço confiável, o Azure Synapse usará a autenticação forte para se conectar à sua conta de armazenamento com segurança.
Criar um workspace do Synapse com uma rede virtual gerenciada e criar pontos de extremidade privados gerenciados para sua conta de armazenamento
Você pode seguir estas etapas para criar um workspace do Synapse que tenha uma rede virtual gerenciada associada a ele. Depois que o workspace com uma rede virtual gerenciada associada for criado, você poderá criar um ponto de extremidade privado gerenciado para sua conta de armazenamento seguro seguindo as etapas listadas aqui.
Conceder para o workspace do Azure Synapse acesso à sua conta de armazenamento seguro como um serviço do Azure confiável
Recursos analíticos, como pool de SQL dedicado e pool de SQL sem servidor, usam a infraestrutura multilocatário que não é implantada na rede virtual gerenciada. Para o tráfego desses recursos acessar a conta de armazenamento protegido, você deverá configurar o acesso à sua conta de armazenamento com base na identidade gerenciada atribuída pelo sistema do workspace seguindo as etapas abaixo.
No portal do Azure, navegue até sua conta de armazenamento protegido. Selecione Rede no painel de navegação esquerdo. Na seção Instâncias do recurso, selecione Microsoft.Synapse/workspaces como o Tipo de recurso e insira o nome do workspace para o Nome da instância. Selecione Salvar.
Agora você poderá acessar sua conta de armazenamento protegido no workspace.
Próximas etapas
Saiba mais sobre a Rede virtual do workspace gerenciado.
Saiba mais sobre Pontos de extremidade privados gerenciados.