Acesso confiável ao espaço de trabalho (preview)

O Fabric permite que você acesse contas do Azure Data Lake Gen 2 habilitadas para firewall de maneira segura. Os espaços de trabalho do Fabric que têm uma identidade de espaço de trabalho podem acessar com segurança contas do Azure Data Lake Gen 2 com acesso à rede pública habilitado em redes virtuais e endereços IP selecionados. Você pode limitar o acesso do ADLS Gen 2 a espaços de trabalho específicos do Fabric.

Os espaços de trabalho do Fabric que acessam uma conta de armazenamento com acesso confiável ao espaço de trabalho precisam de autorização adequada para a solicitação. Há suporte para a autorização com credenciais do Microsoft Entra para contas institucionais ou entidades de serviço. Para saber mais sobre regras de instância de recurso, consulte Conceder acesso de instâncias de recursos do Azure.

Para limitar e proteger o acesso a contas de armazenamento habilitadas para firewall de determinados espaços de trabalho do Fabric, você pode configurar a regra de instância de recurso para permitir o acesso de espaços de trabalho específicos do Fabric.

Observação

O acesso confiável ao espaço de trabalho está em visualização pública. A identidade do espaço de trabalho do Fabric só pode ser criada em espaços de trabalho associados a uma capacidade do Fabric (F64 ou superior). Para obter informações sobre como comprar uma assinatura do Fabric, consulte Comprar uma assinatura do Microsoft Fabric.

Este artigo mostra como:

• Configure o acesso confiável ao espaço de trabalho em uma conta de armazenamento do Azure Data Lake Gen 2.

• Crie um atalho do OneLake em um Lakehouse do Fabric que se conecte a uma conta de armazenamento habilitada para acesso confiável ao espaço de trabalho do Azure Data Lake Gen 2.

• Crie um pipeline de dados para se conectar diretamente a uma conta do Azure Data Lake Gen 2 habilitada para firewall que tenha acesso confiável ao espaço de trabalho habilitado.

Configurar o acesso confiável ao espaço de trabalho no ADLS Gen2

Regra de instância de recurso

Você pode configurar espaços de trabalho específicos do Fabric para acessar sua conta de armazenamento com base nas respectivas identidades de espaço de trabalho. Você pode criar uma regra de instância de recurso implantando um modelo do ARM com uma regra de instância de recurso. Para criar uma instância de recurso:

1. Inicie uma sessão no portal do Azure e acesse Implantação personalizada.

2. Escolha Criar seu modelo no editor. Um modelo do ARM de amostra que cria uma regra de instância de recurso é fornecido no final deste documento.

3. Crie a regra de instância de recurso no editor. Quando terminar, escolha Revisar + Criar.

4. Na guia Noções básicas exibida, especifique os detalhes necessários do projeto e da instância. Quando terminar, escolha Revisar + Criar.

5. Na guia Revisar + Criar, revise o resumo e, em seguida, selecione Criar. A regra será enviada para implantação.

6. Depois que a implantação estiver concluída, você poderá ir para o recurso.

Observação

• As regras de instância de recurso para espaços de trabalho do Fabric só podem ser criadas por meio de modelos do ARM. Não há suporte para a criação por meio do portal do Azure.
• O subscriptionId "00000000-0000-0000-0000-000000000000" deve ser usado para o resourceId do espaço de trabalho do Fabric.
• Você pode obter o ID do espaço de trabalho para um espaço de trabalho do Fabric por meio da URL da barra de endereços.

Aqui está um exemplo de uma regra de instância de recurso que pode ser criada por meio do modelo do ARM:

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624”
       }
]

Exceção de serviço confiável

Se você selecionar a exceção de serviço confiável para uma conta do Azure Data Lake Gen 2 que tenha acesso à rede pública habilitado de redes virtuais e endereços IP selecionados, os espaços de trabalho do Fabric com uma identidade de espaço de trabalho poderão acessar a conta de armazenamento. Quando a caixa de seleção de exceção de serviço confiável está marcada, todos os espaços de trabalho nas capacidades do Fabric do locatário que têm uma identidade de espaço de trabalho podem acessar dados armazenados na conta de armazenamento.

Essa configuração não é recomendada e o suporte pode ser descontinuado no futuro. A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso.

Quem pode configurar contas de armazenamento para acesso confiável a serviços?

Um Colaborador na conta de armazenamento (uma função RBAC do Azure) pode configurar regras de instância de recurso ou exceção de serviço confiável.

Como usar o acesso confiável ao espaço de trabalho no Fabric

Atualmente, há duas maneiras de usar o acesso confiável ao espaço de trabalho para acessar seus dados do Fabric de maneira segura:

• Criar um novo atalho do ADLS em um Lakehouse do Fabric e começar a analisar seus dados com Spark, SQL e Power BI.

• Criar um pipeline de dados que utilize o acesso confiável ao espaço de trabalho para acessar diretamente uma conta do Azure Data Lake Gen 2 habilitada para firewall.

As seções a seguir mostram como usar esses dois métodos.

Criar um atalho do OneLake para a conta de armazenamento com acesso confiável ao espaço de trabalho

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável ao espaço de trabalho habilitado em sua conta de armazenamento do ADLS Gen2, você pode criar atalhos do OneLake para acessar seus dados do Fabric. Basta criar um novo atalho do ADLS em um Lakehouse do Fabric e começar a analisar seus dados com o Spark, o SQL e o Power BI.

Pré-requisitos

• Um espaço de trabalho do Fabric associado a uma capacidade do Fabric. Consulte Identidade do espaço de trabalho.
• Crie uma identidade de espaço de trabalho associada ao espaço de trabalho do Fabric.
• A conta de usuário ou a entidade de serviço usada para criar o atalho deve ter funções RBAC do Azure na conta de armazenamento. A entidade de segurança deve ter uma função de Colaborador de Dados de Blob de Armazenamento, proprietário de Dados de Blob de Armazenamento ou Leitor de Dados de Blob de Armazenamento no escopo da conta de armazenamento ou uma função de Delegador de Blob de Armazenamento no escopo da conta de armazenamento, além de uma função Leitor de Dados de Blob de Armazenamento no escopo do contêiner.
• Configure uma regra de instância de recurso para a conta de armazenamento.

Observação

Os atalhos preexistentes em um espaço de trabalho que atenda aos pré-requisitos serão iniciados automaticamente para oferecer suporte ao acesso confiável a serviços.

Etapas

1. Comece criando um novo atalho em um Lakehouse.

   

   O assistente Novo atalho é aberto.

2. Em Fontes externas, selecione Azure Data Lake Storage Gen2.

   

3. Forneça a URL da conta de armazenamento que foi configurada com acesso confiável ao espaço de trabalho e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta institucional ou Entidade de Serviço.

   

   Quando terminar, escolha Avançar.

4. Forneça o nome do atalho e o subcaminho.

   

   Ao terminar, selecione Criar.

5. O atalho do lakehouse é criado e você deve ser capaz de visualizar dados de armazenamento no atalho.

   

Usar o atalho do OneLake para uma conta de armazenamento com acesso confiável ao espaço de trabalho em itens do Fabric

Com o OneCopy no Fabric, você pode acessar seus atalhos do OneLake com acesso confiável de todas as cargas de trabalho do Fabric.

• Spark: você pode usar o Spark para acessar dados de seus atalhos do OneLake. Quando os atalhos são usados no Spark, eles aparecem como pastas no OneLake. Você só precisa fazer referência ao nome da pasta para acessar os dados. Você pode usar o atalho do OneLake para contas de armazenamento com acesso confiável ao espaço de trabalho em notebooks do Spark.

• Ponto de extremidade SQL: os atalhos criados na seção "Tabelas" do seu lakehouse também estão disponíveis no ponto de extremidade SQL. Você pode abrir o ponto de extremidade SQL e consultar seus dados como qualquer outra tabela.

• Pipelines: os pipelines de dados podem acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. Os pipelines de dados podem ser usados para ler ou gravar em contas de armazenamento por meio de atalhos do OneLake.

• Dataflows v2: o Dataflows Gen2 pode ser usado para acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. O Dataflows Gen2 pode ler ou gravar em contas de armazenamento por meio de atalhos do OneLake.

• Modelos semânticos e relatórios: o modelo semântico padrão associado a um ponto de extremidade SQL do Lakehouse pode ler atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. Para ver as tabelas gerenciadas no modelo semântico padrão, vá para o ponto de extremidade SQL, selecione Relatórios e escolha Atualizar automaticamente o modelo semântico.

  Você também pode criar modelos semânticos que fazem referência a atalhos de tabela para contas de armazenamento com acesso confiável ao espaço de trabalho. Vá para o ponto de extremidade SQL, selecione Relatórios e escolha Novo modelo semântico.

  Você pode criar relatórios sobre os modelos semânticos padrão e modelos semânticos personalizados.

• Banco de dados KQL: você também pode criar atalhos do OneLake para o Azure Data Lake Storage Gen 2 em um banco de dados KQL. As etapas para criar o atalho gerenciado com acesso confiável ao espaço de trabalho permanecem as mesmas.

Criar um pipeline de dados para a conta de armazenamento com acesso confiável ao espaço de trabalho

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável habilitado em sua conta de armazenamento do ADLS Gen2, você pode criar pipelines de dados para acessar seus dados do Fabric. Você pode criar um novo pipeline de dados para copiar dados em um Lakehouse do Fabric e começar a analisar seus dados com Spark, SQL e Power BI.

Pré-requisitos

• Um espaço de trabalho do Fabric associado a uma capacidade do Fabric. Consulte Identidade do espaço de trabalho.
• Crie uma identidade de espaço de trabalho associada ao espaço de trabalho do Fabric.
• A conta de usuário ou a entidade de serviço usada para criar a conexão deve ter funções RBAC do Azure na conta de armazenamento. A entidade de serviço deve ter a função Colaborador de Dados de Blobs de Armazenamento, Proprietário de Dados de Blobs de Armazenamento ou Leitor de Dados de Blobs de Armazenamento no escopo da conta de armazenamento.
• Configure uma regra de instância de recurso para a conta de armazenamento.

Etapas

1. Comece selecionando Obter dados em um lakehouse.

2. Selecione Novo pipeline de dados. Forneça um nome para o pipeline e selecione Criar.

   

3. Escolha Azure Data Lake Gen 2 como a fonte de dados.

   

4. Forneça a URL da conta de armazenamento que foi configurada com acesso confiável ao espaço de trabalho e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta institucional ou Entidade de Serviço.

   

   Quando terminar, escolha Avançar.

5. Selecione o arquivo que precisa copiar para o lakehouse.

   

   Quando terminar, escolha Avançar.

6. Na tela Revisar + Salvar, selecione Iniciar transferência de dados imediatamente. Ao terminar, escolha Salvar + Executar.

   

7. Quando o status do pipeline mudar de Enfileirado para Êxito, vá para o lakehouse e verifique se as tabelas de dados foram criadas.

Restrições e considerações

• Só há suporte para o acesso confiável ao espaço de trabalho em espaços de trabalho em capacidades do Fabric (F64 ou superior).
• Você só pode usar o acesso confiável ao espaço de trabalho em atalhos e pipelines de dados do OneLake. Para acessar com segurança as contas de armazenamento do Fabric Spark, consulte Pontos de extremidade privados gerenciados para o Fabric.
• Se um espaço de trabalho com uma identidade de espaço de trabalho for migrado para uma capacidade que não seja do Fabric ou para uma capacidade do Fabric inferior a F64, o acesso confiável ao espaço de trabalho poderá parar de funcionar após uma hora.
• Os atalhos pré-existentes criados antes de 10 de outubro de 2023 não oferecem suporte ao acesso confiável ao espaço de trabalho.
• Não é possível criar nem modificar conexões para o acesso confiável ao espaço de trabalho na opção Gerenciar gateways e conexões.
• Se você reutilizar conexões que oferecem suporte ao acesso confiável ao espaço de trabalho em itens do Fabric diferentes de atalhos e pipelines, ou em outros espaços de trabalho, elas poderão não funcionar.
• Somente uma conta institucional ou entidade de serviço deve ser usada para autenticação em contas de armazenamento para acesso confiável ao espaço de trabalho.
• Os pipelines não podem gravar em atalhos de tabela do OneLake em contas de armazenamento com acesso confiável ao espaço de trabalho. Essa limitação é temporária.
• Um máximo de 200 regras de instância de recurso podem ser configuradas. Para obter mais informações, consulte Azure subscription limits and quotas - Azure Resource Manager.
• O acesso confiável ao espaço de trabalho só funciona quando o acesso público é habilitado desde redes virtuais e endereços IP selecionados.
• As regras de instância de recurso para espaços de trabalho do Fabric devem ser criadas por meio de modelos do ARM. Não há suporte a regras de instância de recurso criadas por meio da interface do usuário do Portal do Azure.
• Os atalhos pré-existentes em um espaço de trabalho que atenda aos pré-requisitos serão iniciados automaticamente para oferecer suporte ao acesso confiável a serviços.

Amostra de modelo do ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Conteúdo relacionado

• Identidade do espaço de trabalho
• Permitir acesso de instâncias de recursos do Azure
• Acesso confiável com base em uma identidade gerenciada