Conceder permissões à identidade gerida da área de trabalho
Este artigo ensina-o a conceder permissões à identidade gerida na área de trabalho do Azure Synapse. Por sua vez, as permissões permitem o acesso a conjuntos de SQL dedicados na área de trabalho e à conta de armazenamento do ADLS Gen2 através do portal do Azure.
Nota
Esta identidade gerida da área de trabalho será referida como identidade gerida através do resto deste documento.
Conceder as permissões de identidade gerida à conta de armazenamento do ADLS Gen2
É necessária uma conta de armazenamento do ADLS Gen2 para criar uma área de trabalho Azure Synapse. Para iniciar conjuntos do Spark com êxito na Azure Synapse área de trabalho, a Azure Synapse identidade gerida precisa da função Contribuidor de Dados do Blob de Armazenamento nesta conta de armazenamento. A orquestração de pipelines no Azure Synapse também beneficia desta função.
Conceder permissões à identidade gerida durante a criação da área de trabalho
Azure Synapse tentará conceder a função Contribuidor de Dados do Blob de Armazenamento à identidade gerida depois de criar a área de trabalho Azure Synapse com portal do Azure. Pode fornecer os detalhes da conta de armazenamento do ADLS Gen2 no separador Noções básicas .
Escolha a conta de armazenamento e o sistema de ficheiros do ADLS Gen2 em Nome da conta e Nome do sistema de ficheiros.
Se o criador da área de trabalho também for Proprietário da conta de armazenamento do ADLS Gen2, Azure Synapse atribuirá a função Contribuidor de Dados do Blob de Armazenamento à identidade gerida. Verá a seguinte mensagem abaixo dos detalhes da conta de armazenamento que introduziu.
Se o criador da área de trabalho não for o proprietário da conta de armazenamento do ADLS Gen2, Azure Synapse não atribui a função Contribuidor de Dados do Blob de Armazenamento à identidade gerida. A mensagem apresentada abaixo dos detalhes da conta de armazenamento notifica o criador da área de trabalho de que não tem permissões suficientes para conceder a função Contribuidor de Dados do Blob de Armazenamento à identidade gerida.
Como a mensagem indica, não pode criar conjuntos do Spark a menos que o Contribuidor de Dados do Blob de Armazenamento esteja atribuído à identidade gerida.
Conceder permissões à identidade gerida após a criação da área de trabalho
Durante a criação da área de trabalho, se não atribuir o contribuidor de Dados do Blob de Armazenamento à identidade gerida, o Proprietário da conta de armazenamento do ADLS Gen2 atribui manualmente essa função à identidade. Os passos seguintes irão ajudá-lo a realizar a atribuição manual.
Passo 1: navegar para a conta de armazenamento do ADLS Gen2 no portal do Azure
No portal do Azure, abra a conta de armazenamento do ADLS Gen2 e selecione Descrição geral no painel de navegação esquerdo. Só terá de atribuir a função Contribuidor de Dados do Blob de Armazenamento ao nível do contentor ou sistema de ficheiros. Selecione Contentores.
Passo 2: selecionar o contentor
A identidade gerida deve ter acesso de dados ao contentor (sistema de ficheiros) que foi fornecido quando a área de trabalho foi criada. Pode encontrar este contentor ou sistema de ficheiros no portal do Azure. Abra a área de trabalho Azure Synapse no portal do Azure e selecione o separador Descrição geral no painel de navegação esquerdo.
Selecione o mesmo contentor ou sistema de ficheiros para conceder a função Contribuidor de Dados do Blob de Armazenamento à identidade gerida.
Passo 3: Abrir o controlo de Acesso e adicionar atribuição de função
Selecione Controlo de acesso (IAM) .
Selecione Adicionar>atribuição de função para abrir a página Adicionar atribuição de função.
Atribua a seguinte função. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.
Definição Valor Função Contribuinte de Dados do Armazenamento de Blobs Atribuir acesso a MANAGEDIDENTITY Membros nome da identidade gerida Nota
O nome da identidade gerida também é o nome da área de trabalho.
Selecione Guardar para adicionar a atribuição de função.
Passo 4: verificar se a função Contribuidor de Dados do Blob de Armazenamento está atribuída à identidade gerida
Selecione Controlo de Acesso(IAM) e, em seguida, selecione Atribuições de funções.
Deverá ver a sua identidade gerida listada na secção Contribuidor de Dados do Blob de Armazenamento com a função Contribuidor de Dados do Blob de Armazenamento atribuída.
Alternativa à função Contribuidor de Dados do Blob de Armazenamento
Em vez de conceder a si próprio uma função contribuidor de dados do Blob de Armazenamento, também pode conceder permissões mais granulares num subconjunto de ficheiros.
Todos os utilizadores que precisam de aceder a alguns dados neste contentor também têm de ter permissão EXECUTE em todas as pastas principais até à raiz (o contentor).
Saiba mais sobre como definir ACLs no Azure Data Lake Storage Gen2.
Nota
A permissão de execução ao nível do contentor tem de ser definida dentro de Data Lake Storage Gen2. As permissões na pasta podem ser definidas no Azure Synapse.
Se quiser consultar data2.csv neste exemplo, são necessárias as seguintes permissões:
- Permissão de execução no contentor
- Executar permissão na pasta1
- Permissão de leitura no data2.csv
Inicie sessão no Azure Synapse com um utilizador administrador que tenha permissões completas nos dados aos quais pretende aceder.
No painel de dados, clique com o botão direito do rato no ficheiro e selecione Gerir acesso.
Selecione, pelo menos, Permissão de leitura . Introduza o UPN ou o ID de objeto do utilizador, por exemplo, user@contoso.com. Selecione Adicionar.
Conceda permissão de leitura a este utilizador.
Nota
Para os utilizadores convidados, este passo tem de ser feito diretamente com o Azure Data Lake, uma vez que não pode ser feito diretamente através de Azure Synapse.
Passos seguintes
Saiba mais sobre a identidade gerida da Área de Trabalho