Ligar a uma conta de armazenamento do Azure segura a partir da área de trabalho do Synapse

  • Artigo

Este artigo irá ensinar-lhe a ligar a uma conta de armazenamento do Azure segura a partir da sua área de trabalho Azure Synapse. Pode ligar uma conta de armazenamento do Azure à área de trabalho do Synapse quando criar a área de trabalho. Pode ligar mais contas de armazenamento depois de criar a área de trabalho.

Contas de armazenamento do Azure protegidas

O armazenamento do Azure fornece um modelo de segurança em camadas que lhe permite proteger e controlar o acesso às suas contas de armazenamento. Pode configurar regras de firewall de IP para conceder acesso ao tráfego de intervalos de endereços IP públicos selecionados à sua conta de armazenamento. Também pode configurar regras de rede para conceder ao tráfego de redes virtuais selecionadas acesso à sua conta de armazenamento. Pode combinar regras de firewall de IP que permitem o acesso a partir de intervalos de endereços IP selecionados e regras de rede que concedem acesso a partir de redes virtuais selecionadas na mesma conta de armazenamento. Estas regras aplicam-se ao ponto final público de uma conta de armazenamento. Não precisa de regras de acesso para permitir o tráfego de pontos finais privados geridos criados na área de trabalho para uma conta de armazenamento. As regras de firewall de armazenamento podem ser aplicadas a contas de armazenamento existentes ou a novas contas de armazenamento quando as criar. Pode saber mais sobre como proteger a sua conta de armazenamento aqui.

Áreas de trabalho e redes virtuais do Synapse

Quando cria uma área de trabalho do Synapse, pode optar por ativar uma rede virtual gerida para ser associada à mesma. Se não ativar a rede virtual gerida para a área de trabalho quando a criar, a área de trabalho está numa rede virtual partilhada juntamente com outras áreas de trabalho do Synapse que não têm uma rede virtual gerida associada à mesma. Se ativou a rede virtual gerida quando criou a área de trabalho, a área de trabalho está associada a uma rede virtual dedicada gerida por Azure Synapse. Estas redes virtuais não são criadas na sua subscrição de cliente. Por conseguinte, não poderá conceder acesso ao tráfego destas redes virtuais à sua conta de armazenamento segura através das regras de rede descritas acima.

Aceder a uma conta de armazenamento segura

O Synapse funciona a partir de redes que não podem ser incluídas nas regras de rede. É necessário fazer o seguinte para permitir o acesso da área de trabalho à sua conta de armazenamento segura.

  • Crie uma área de trabalho Azure Synapse com uma rede virtual gerida associada à mesma e crie pontos finais privados geridos a partir da mesma para a conta de armazenamento segura.

    Se utilizar o Portal do Azure para criar a área de trabalho, pode ativar a rede virtual gerida no separador Rede , conforme mostrado abaixo. Se ativar a rede virtual gerida ou o Synapse determinar que a conta de armazenamento primária é uma conta de armazenamento segura, terá a opção de criar um pedido de ligação de ponto final privado gerido para a conta de armazenamento segura, conforme mostrado abaixo. O proprietário da conta de armazenamento terá de aprovar o pedido de ligação para estabelecer a ligação privada. Em alternativa, o Synapse aprovará este pedido de ligação se o utilizador que está a criar um conjunto do Apache Spark na área de trabalho tiver privilégios suficientes para aprovar o pedido de ligação. Ativar a VNet Gerida e o ponto final privado gerido

  • Conceda à sua área de trabalho Azure Synapse acesso à sua conta de armazenamento seguro como um serviço fidedigno do Azure. Como um serviço fidedigno, Azure Synapse utilizará a autenticação forte para se ligar de forma segura à sua conta de armazenamento.

Criar uma área de trabalho do Synapse com uma rede virtual gerida e criar pontos finais privados geridos para a sua conta de armazenamento

Pode seguir estes passos para criar uma área de trabalho do Synapse que tenha uma rede virtual gerida associada à mesma. Assim que a área de trabalho com uma rede virtual gerida associada for criada, pode criar um ponto final privado gerido para a sua conta de armazenamento segura ao seguir os passos listados aqui.

Conceder à área de trabalho Azure Synapse acesso à sua conta de armazenamento segura como um serviço fidedigno do Azure

As capacidades analíticas, como o Conjunto de SQL dedicado e o Conjunto de SQL sem servidor, utilizam uma infraestrutura multi-inquilino que não está implementada na rede virtual gerida. Para que o tráfego destas capacidades aceda à conta de armazenamento protegida, tem de configurar o acesso à sua conta de armazenamento com base na identidade gerida atribuída pelo sistema da área de trabalho ao seguir os passos abaixo.

No portal do Azure, navegue para a sua conta de armazenamento segura. Selecione Rede no painel de navegação esquerdo. Na secção Instâncias de recursos, selecione Microsoft.Synapse/workspaces como o Tipo de recurso e introduza o nome da área de trabalho para Nome da instância. Selecione Guardar.

Configuração da rede da conta de armazenamento.

Agora, deverá conseguir aceder à sua conta de armazenamento segura a partir da área de trabalho.

Passos seguintes

Saiba mais sobre a rede virtual da área de trabalho gerida.

Saiba mais sobre os pontos finais privados geridos.