Acesso a espaços de trabalho fidedignos (pré-visualização)

  • Artigo

O Fabric permite que você acesse contas do Azure Data Lake Gen 2 habilitadas para firewall de maneira segura. Os espaços de trabalho de malha que têm uma identidade de espaço de trabalho podem acessar com segurança contas do Azure Data Lake Gen 2 com acesso à rede pública habilitado a partir de redes virtuais e endereços IP selecionados. Você pode limitar o acesso do ADLS gen 2 a espaços de trabalho específicos do Fabric.

Os espaços de trabalho de malha que acessam uma conta de armazenamento com acesso a espaço de trabalho confiável precisam de autorização adequada para a solicitação. A autorização é suportada com credenciais do Microsoft Entra para contas organizacionais ou entidades de serviço. Para saber mais sobre as regras de instância de recurso, consulte Conceder acesso de instâncias de recursos do Azure.

Para limitar e proteger o acesso a contas de armazenamento habilitadas para firewall de determinados espaços de trabalho de malha, você pode configurar a regra de instância de recurso para permitir o acesso de espaços de trabalho específicos do Fabric.

Nota

O acesso ao espaço de trabalho confiável está atualmente em visualização pública. A identidade do espaço de trabalho de malha só pode ser criada em espaços de trabalho associados a uma capacidade de malha (F64 ou superior). Para obter informações sobre como comprar uma assinatura do Fabric, consulte Comprar uma assinatura do Microsoft Fabric.

Este artigo mostra-lhe como:

  • Configure o acesso ao espaço de trabalho confiável em uma conta de armazenamento do Azure Data Lake Gen 2.

  • Crie um atalho do OneLake em um Fabric Lakehouse que se conecte a uma conta de armazenamento do Azure Data Lake Gen 2 habilitada para acesso a espaço de trabalho confiável.

  • Crie um pipeline de dados para se conectar diretamente a uma conta do Azure Data Lake Gen 2 habilitada para firewall que tenha o acesso ao espaço de trabalho confiável habilitado.

Configurar o acesso a espaços de trabalho confiáveis no ADLS Gen2

Regra de instância de recurso

Você pode configurar espaços de trabalho específicos do Fabric para acessar sua conta de armazenamento com base na identidade do espaço de trabalho. Você pode criar uma regra de instância de recurso implantando um modelo ARM com uma regra de instância de recurso. Para criar uma regra de instância de recurso:

  1. Entre no portal do Azure e vá para Implantação personalizada.

  2. Escolha Criar seu próprio modelo no editor. Um modelo ARM de exemplo que cria uma regra de instância de recurso é fornecido no final deste documento.

  3. Crie a regra de instância de recurso no editor. Quando terminar, escolha Rever + Criar.

  4. Na guia Noções básicas exibida, especifique os detalhes necessários do projeto e da instância. Quando terminar, escolha Rever + Criar.

  5. No separador Rever + Criar apresentado, reveja o resumo e, em seguida, selecione Criar. A regra será submetida para implantação.

  6. Quando a implantação estiver concluída, você poderá acessar o recurso.

Nota

  • As regras de instância de recurso para espaços de trabalho do Fabric só podem ser criadas por meio de modelos ARM. Não há suporte para a criação por meio do portal do Azure.
  • O subscriptionId "00000000-0000-0000-0000-000000000000" deve ser usado para o resourceId do espaço de trabalho Fabric.
  • Você pode obter a ID do espaço de trabalho para um espaço de trabalho de malha por meio de sua URL da barra de endereço.

Captura de tela mostrando a regra de instância de recurso configurada.

Aqui está um exemplo de uma regra de instância de recurso que pode ser criada por meio do modelo ARM:

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624”
       }
]

Exceção de serviço confiável

Se você selecionar a exceção de serviço confiável para uma conta do Azure Data Lake Gen 2 que tenha acesso à rede pública habilitado a partir de redes virtuais e endereços IP selecionados, os espaços de trabalho de malha com uma identidade de espaço de trabalho poderão acessar a conta de armazenamento. Quando a caixa de seleção exceção de serviço confiável é marcada, todos os espaços de trabalho nas capacidades de malha do locatário que têm uma identidade de espaço de trabalho podem acessar os dados armazenados na conta de armazenamento.

Essa configuração não é recomendada e o suporte pode ser descontinuado no futuro. Recomendamos que você use regras de instância de recurso para conceder acesso a recursos específicos.

Quem pode configurar contas de armazenamento para acesso a serviços confiáveis?

Um Colaborador na conta de armazenamento (uma função RBAC do Azure) pode configurar regras de instância de recurso ou exceção de serviço confiável.

Como usar o acesso a espaços de trabalho confiáveis na malha

Atualmente, há duas maneiras de usar o acesso a espaços de trabalho confiáveis para acessar seus dados do Fabric de maneira segura:

  • Você pode criar um novo atalho ADLS em um Fabric Lakehouse para começar a analisar seus dados com o Spark, SQL e Power BI.

  • Você pode criar um pipeline de dados que aproveite o acesso ao espaço de trabalho confiável para acessar diretamente uma conta do Azure Data Lake Gen 2 habilitada para firewall.

As seções a seguir mostram como usar esses dois métodos.

Criar um atalho do OneLake para uma conta de armazenamento com acesso a espaços de trabalho confiáveis

Com a identidade do espaço de trabalho configurada no Fabric e o acesso ao espaço de trabalho confiável habilitado em sua conta de armazenamento ADLS Gen2, você pode criar atalhos do OneLake para acessar seus dados do Fabric. Basta criar um novo atalho ADLS em um Fabric Lakehouse e começar a analisar seus dados com o Spark, SQL e Power BI.

Pré-requisitos

  • Um espaço de trabalho de malha associado a uma capacidade de malha. Consulte Identidade do espaço de trabalho.
  • Crie uma identidade de espaço de trabalho associada ao espaço de trabalho Malha.
  • A conta de usuário ou entidade de serviço usada para criar o atalho deve ter funções RBAC do Azure na conta de armazenamento. A entidade de segurança deve ter uma função de Colaborador de Dados de Blob de Armazenamento, proprietário de Dados de Blob de Armazenamento ou Leitor de Dados de Blob de Armazenamento no escopo da conta de armazenamento, ou uma função de Delegador de Blob de Armazenamento no escopo da conta de armazenamento, além de uma função de Leitor de Dados de Blob de Armazenamento no escopo do contêiner.
  • Configure uma regra de instância de recurso para a conta de armazenamento.

Nota

Os atalhos preexistentes em um espaço de trabalho que atenda aos pré-requisitos começarão automaticamente a oferecer suporte ao acesso a serviços confiáveis.

Passos

  1. Comece criando um novo atalho em uma Lakehouse.

    Sceenshot de criar novo item de menu de atalho.

    O assistente Novo atalho é aberto.

  2. Em Fontes externas, selecione Azure Data Lake Storage Gen 2.

    Captura de tela mostrando a escolha do Azure Data Lake Storage Gen 2 como uma fonte externa.

  3. Forneça a URL da conta de armazenamento que foi configurada com acesso a espaço de trabalho confiável e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta organizacional ou Entidade de serviço.

    Captura de tela mostrando a especificação de URL no assistente de atalho.

    Quando terminar, selecione Avançar.

  4. Forneça o nome do atalho e o subcaminho.

    Captura de tela mostrando a definição de subcaminho no assistente de atalho.

    Quando terminar, selecione Criar.

  5. O atalho lakehouse é criado e você deve ser capaz de visualizar os dados de armazenamento no atalho.

    Captura de tela mostrando a visualização de dados de armazenamento através do atalho lakehouse.

Usar o atalho do OneLake para uma conta de armazenamento com acesso a espaço de trabalho confiável em itens de malha

Com o OneCopy in Fabric, você pode acessar seus atalhos do OneLake com acesso confiável de todas as cargas de trabalho do Fabric.

  • Spark: Você pode usar o Spark para acessar dados de seus atalhos do OneLake. Quando os atalhos são usados no Spark, eles aparecem como pastas no OneLake. Você só precisa fazer referência ao nome da pasta para acessar os dados. Você pode usar o atalho do OneLake para contas de armazenamento com acesso a espaços de trabalho confiáveis em blocos de anotações do Spark.

  • Ponto de extremidade SQL: Os atalhos criados na seção "Tabelas" do seu lakehouse também estão disponíveis no ponto de extremidade SQL. Você pode abrir o ponto de extremidade SQL e consultar seus dados como qualquer outra tabela.

  • Pipelines: os pipelines de dados podem acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. Os pipelines de dados podem ser usados para ler ou gravar em contas de armazenamento por meio dos atalhos do OneLake.

  • Dataflows v2: O Dataflows Gen2 pode ser usado para acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. O Dataflows Gen2 pode ler ou gravar em contas de armazenamento por meio de atalhos do OneLake.

  • Modelos semânticos e relatórios: o modelo semântico padrão associado a um ponto de extremidade Lakehouse SQL pode ler atalhos gerenciados para contas de armazenamento com acesso a espaços de trabalho confiáveis. Para ver as tabelas gerenciadas no modelo semântico padrão, vá para o ponto de extremidade SQL, selecione Relatórios e escolha Atualizar modelo semântico automaticamente.

    Você também pode criar novos modelos semânticos que fazem referência a atalhos de tabela para contas de armazenamento com acesso a espaços de trabalho confiáveis. Vá para o ponto de extremidade SQL, selecione Relatórios e escolha Novo modelo semântico.

    Você pode criar relatórios sobre os modelos semânticos padrão e modelos semânticos personalizados.

  • Banco de Dados KQL: Você também pode criar atalhos do OneLake para o Azure Data Lake Storage Gen 2 em um banco de dados KQL. As etapas para criar o atalho gerenciado com acesso confiável ao espaço de trabalho permanecem as mesmas.

Criar um pipeline de dados para uma conta de armazenamento com acesso a espaços de trabalho confiáveis

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável habilitado em sua conta de armazenamento ADLS Gen2, você pode criar pipelines de dados para acessar seus dados do Fabric. Você pode criar um novo pipeline de dados para copiar dados em um lakehouse de malha e, em seguida, pode começar a analisar seus dados com o Spark, SQL e Power BI.

Pré-requisitos

  • Um espaço de trabalho de malha associado a uma capacidade de malha. Consulte Identidade do espaço de trabalho.
  • Crie uma identidade de espaço de trabalho associada ao espaço de trabalho Malha.
  • A conta de usuário ou a entidade de serviço usada para criar a conexão deve ter funções RBAC do Azure na conta de armazenamento. A entidade de segurança deve ter uma função de Colaborador de Dados de Blob de Armazenamento, proprietário de Dados de Blob de Armazenamento ou Leitor de Dados de Blob de Armazenamento no escopo da conta de armazenamento.
  • Configure uma regra de instância de recurso para a conta de armazenamento.

Passos

  1. Comece selecionando Obter dados em uma casa do lago.

  2. Selecione Novo pipeline de dados. Forneça um nome para o pipeline e selecione Criar.

    Captura de tela mostrando a caixa de diálogo Novo pipeline.

  3. Escolha Azure Data Lake Gen 2 como a fonte de dados.

    Captura de ecrã a mostrar a escolha da seleção do Azure Data Lake Gen 2.

  4. Forneça a URL da conta de armazenamento que foi configurada com acesso a espaço de trabalho confiável e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta organizacional ou Entidade de serviço.

    Captura de tela mostrando as configurações de conexão para a fonte de dados.

    Quando terminar, selecione Avançar.

  5. Selecione o arquivo que você precisa copiar para a casa do lago.

    Captura de ecrã a mostrar o selection.png do ficheiro

    Quando terminar, selecione Avançar.

  6. Na tela Revisar + salvar, selecione Iniciar transferência de dados imediatamente. Quando terminar, selecione Salvar + Executar.

    Captura de ecrã a mostrar o review-and-save-screen.png

  7. Quando o status do pipeline mudar de Enfileirado para Aprovado, vá para a casa do lago e verifique se as tabelas de dados foram criadas.

Restrições e considerações

  • O acesso a espaços de trabalho confiáveis só é suportado para espaços de trabalho em capacidades de malha (F64 ou superior).
  • Você só pode usar o acesso a espaços de trabalho confiáveis em atalhos e pipelines de dados do OneLake. Para acessar com segurança as contas de armazenamento do Fabric Spark, consulte Pontos de extremidade privados gerenciados para o Fabric.
  • Se um espaço de trabalho com uma identidade de espaço de trabalho for migrado para uma capacidade que não seja de malha ou capacidade de malha inferior a F64, o acesso ao espaço de trabalho confiável deixará de funcionar após uma hora.
  • Os atalhos pré-existentes criados antes de 10 de outubro de 2023 não suportam acesso a espaços de trabalho fidedignos.
  • As conexões para acesso a espaços de trabalho confiáveis não podem ser criadas ou modificadas em Gerenciar conexões e gateways.
  • Se você reutilizar conexões que oferecem suporte ao acesso a espaços de trabalho confiáveis em itens de malha diferentes de atalhos e pipelines, ou em outros espaços de trabalho, eles podem não funcionar.
  • Somente a conta organizacional ou a entidade de serviço deve ser usada para autenticação em contas de armazenamento para acesso a espaços de trabalho confiáveis.
  • Os pipelines não podem gravar em atalhos de tabela do OneLake em contas de armazenamento com acesso a espaço de trabalho confiável. Esta é uma limitação temporária.
  • Um máximo de 200 regras de instância de recurso pode ser configurado. Para obter mais informações, consulte Limites e cotas de assinatura do Azure - Azure Resource Manager.
  • O acesso a espaços de trabalho fidedignos só funciona quando o acesso público está ativado a partir de redes virtuais e endereços IP selecionados.
  • As regras de instância de recurso para espaços de trabalho de malha devem ser criadas por meio de modelos ARM. Não há suporte para regras de instância de recurso criadas por meio da interface do usuário do portal do Azure.
  • Os atalhos pré-existentes em um espaço de trabalho que atenda aos pré-requisitos começarão automaticamente a oferecer suporte ao acesso a serviços confiáveis.

Exemplo de modelo ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Conteúdos relacionados