Dôveryhodný prístup k pracovnému priestoru

Fabric vám umožňuje bezpečne pristupovať k kontám Gen2 služby Azure Data Lake Storage (ADLS) s podporou brány firewall. Pracovné priestory služby Fabric, ktoré majú identitu pracovného priestoru, môžu bezpečne získať prístup k kontám ADLS Gen2 s povoleným prístupom k verejnej sieti z vybratých virtuálnych sietí a IP adries. Prístup služby ADLS Gen2 môžete obmedziť ku konkrétnym pracovným priestorom služby Fabric.

Pracovné priestory služby Fabric, ktoré pristupujú k kontu úložiska s prístupom k dôveryhodnému pracovnému priestoru, potrebujú na žiadosť správne oprávnenie. Oprávnenie je podporované prihlasovacími povereniami spoločnosti Microsoft pre kontá organizácie alebo objekty služby. Ďalšie informácie o pravidlách inštancií zdrojov nájdete v téme Udelenie prístupu z inštancií zdrojov Azure.

Ak chcete obmedziť a chrániť prístup ku kontám úložiska s podporou brány firewall z určitých pracovných priestorov služby Fabric, môžete nastaviť pravidlo inštancie zdrojov na povolenie prístupu z konkrétnych pracovných priestorov služby Fabric.

Poznámka

Dôveryhodný prístup k pracovnému priestoru je všeobecne dostupný, ale možno ho použiť len v kapacitách F SKU. Informácie o kúpe predplatného na službu Fabric nájdete v téme Zakúpenie predplatného služby Microsoft Fabric. Dôveryhodný prístup k pracovnému priestoru nie je podporovaný v skúšobných kapacitách.

V tomto článku sa dozviete, ako:

• Konfigurácia prístupu k dôveryhodnému pracovnému priestoru v konte úložiska ADLS Gen2.

• Vytvorte odkaz OneLake v službe Fabric Lakehouse, ktorý sa pripája k kontu úložiska ADLS Gen2 s povoleným prístupom k dôveryhodnému pracovnému priestoru.

• Vytvorte údajový kanál na priame pripojenie ku kontu ADLS Gen2 s podporou brány firewall, ktoré má povolený dôveryhodný prístup k pracovnému priestoru.

• Príkaz T-SQL COPY použite na ingestovanie údajov do skladu z konta ADLS Gen2 s podporou brány firewall, ktoré má povolený dôveryhodný prístup k pracovnému priestoru.

Konfigurácia dôveryhodného prístupu k pracovnému priestoru v službe ADLS Gen2

Pravidlo inštancie zdroja

Môžete nakonfigurovať konkrétne pracovné priestory služby Fabric na prístup ku kontu úložiska na základe ich identity v pracovnom priestore. Pravidlo inštancie zdroja môžete vytvoriť nasadením šablóny ARM s pravidlom inštancie zdroja. Vytvorenie pravidla inštancie zdroja:

1. Prihláste sa na portál Azure a prejdite na položku Vlastné nasadenie.

2. Vyberte položku Vytvoriť vlastnú šablónu v editore. Vzorovú šablónu ARM, ktorá vytvára pravidlo inštancie zdroja, nájdete v téme Ukážka šablóny ARM.

3. Vytvorenie pravidla inštancie zdroja v editore. Po dokončení vyberte položku Skontrolovať a vytvoriť.

4. Na karte Základy , ktorá sa zobrazí, zadajte podrobnosti požadovaného projektu a inštancie. Po dokončení vyberte položku Skontrolovať a vytvoriť.

5. Na zobrazenej karte Skontrolovať a vytvoriť skontrolujte súhrn a potom vyberte položku Vytvoriť. Pravidlo bude odoslané na nasadenie.

6. Po dokončení nasadenia budete môcť prejsť na zdroj.

Poznámka

• Pravidlá inštancie zdrojov pre pracovné priestory služby Fabric možno vytvoriť len prostredníctvom šablón ARM. Vytváranie prostredníctvom portálu Azure nie je podporované.
• Id predplatného "00000000-0000-0000-0000-000000000" sa musí použiť na prostriedok pracovného priestoru služby Fabric.
• ID pracovného priestoru pracovného priestoru služby Fabric môžete získať prostredníctvom URL adresy panela s adresou.

Tu je príklad pravidla inštancie zdroja, ktoré je možné vytvoriť prostredníctvom šablóny ARM. Úplný príklad nájdete v téme Ukážka šablóny ARM.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

Výnimka dôveryhodnej služby

Ak vyberiete výnimku dôveryhodnej služby pre konto ADLS Gen2, ktoré má povolený prístup k verejnej sieti z vybratých virtuálnych sietí a IP adries, pracovné priestory služby Fabric s identitou pracovného priestoru budú môcť pristupovať ku kontu úložiska. Keď je začiarknuté políčko výnimky dôveryhodnej služby, všetky pracovné priestory v kapacitách služby Fabric vášho nájomníka, ktoré majú identitu pracovného priestoru, môžu získať prístup k údajom uloženým v konte úložiska.

Táto konfigurácia sa neodporúča a podpora môže byť v budúcnosti ukončená. Odporúčame, aby ste na udelenie prístupu ku konkrétnym zdrojom používali pravidlá inštancie zdrojov.

Kto môže nakonfigurovať kontá úložiska na prístup k dôveryhodnej službe?

Prispievateľ do konta úložiska (rola Azure RBAC) môže konfigurovať pravidlá inštancie zdroja alebo výnimku dôveryhodnej služby.

Ako používať prístup k dôveryhodnému pracovnému priestoru v službe Fabric

V súčasnosti existujú tri spôsoby, ako bezpečne využiť dôveryhodný prístup k pracovnému priestoru na prístup k údajom zo služby Fabric:

• V službe Fabric Lakehouse môžete vytvoriť novú skratku ADLS na začatie analýzy údajov pomocou služieb Spark, SQL a Power BI.

• Môžete vytvoriť údajový kanál , ktorý využíva prístup dôveryhodného pracovného priestoru na priamy prístup ku kontu ADLS Gen2 s podporou brány firewall.

• Môžete použiť príkaz T-SQL Copy, ktorý využíva dôveryhodný prístup k pracovnému priestoru na ingestovanie údajov do skladu služby Fabric.

V nasledujúcich častiach sa dozviete, ako používať tieto metódy.

Vytvorenie odkazu OneLake na konto úložiska s dôveryhodným prístupom k pracovnému priestoru

Keď je identita pracovného priestoru nakonfigurovaná v službe Fabric a povolený prístup k dôveryhodnému pracovnému priestoru vo vašom konte úložiska ADLS Gen2, môžete vytvoriť klávesové skratky OneLake na prístup k údajom zo služby Fabric. Jednoducho vytvoríte novú odkaz ADLS v službe Fabric Lakehouse a môžete začať s analýzou údajov pomocou služieb Spark, SQL a Power BI.

Požiadavky

• Pracovný priestor služby Fabric priradený k kapacite služby Fabric. Pozrite si tému Identita pracovného priestoru.
• Vytvorte identitu pracovného priestoru priradenú k pracovnému priestoru služby Fabric.
• Používateľské konto alebo objekt služby používané na vytvorenie odkazu by mali mať v konte úložiska roly Azure RBAC. Objekt musí mať rolu prispievateľa údajov ukladacieho priestoru objektu BLOB, vlastníka údajov ukladacieho priestoru objektu BLOB alebo rolu čitateľa údajov ukladacieho priestoru objektu BLOB v rozsahu ukladacieho priestoru a rolu čitateľa údajov ukladacieho priestoru objektu Blob v rozsahu kontajnera.
• Nakonfigurujte pravidlo inštancie zdroja pre konto úložiska.

Poznámka

• Predchádzajúce odkazy v pracovnom priestore, ktoré spĺňajú predpoklady, sa automaticky začnú podporovať dôveryhodný prístup k službe.
• Musíte použiť ID URL adresy DFS pre konto úložiska. Tu je príklad: https://StorageAccountName.dfs.core.windows.net

Kroky

1. Začnite tým, že vytvoríte novú odkaz v Lakehouse.

   

   Otvorí sa Sprievodca novou skratkou .

2. V časti Externé zdroje vyberte azure Data Lake Storage Gen2.

   

3. Zadajte URL adresu konta úložiska, ktoré bolo nakonfigurované s dôveryhodným prístupom k pracovnému priestoru, a vyberte pre pripojenie názov. V časti Typ overenia vyberte možnosť Konto organizácie alebo Objekt služby.

   

   Po dokončení vyberte položku Ďalej.

4. Zadajte názov odkazu a čiastkovú cestu.

   

   Po dokončení vyberte položku Vytvoriť.

5. Odkaz lakehouse je vytvorený a vy by ste mali mať možnosť zobraziť ukážku údajov úložiska v odkaze.

   

Použite odkaz OneLake na konto úložiska s dôveryhodným prístupom k pracovnému priestoru v položkách služby Fabric

So službou OneCopy v službe Fabric môžete získať prístup k odkazom OneLake s dôveryhodným prístupom zo všetkých vyťažení služby Fabric.

• Spark: Službu Spark môžete použiť na prístup k údajom zo svojich skratiek OneLake. Keď sa skratky používajú v službe Spark, zobrazia sa ako priečinky v službe OneLake. Ak chcete získať prístup k údajom, stačí odkazovať na názov priečinka. Odkaz OneLake na kontá úložiska môžete používať s dôveryhodným prístupom k pracovnému priestoru v poznámkových blokoch Služby Spark.

• Koncový bod analýzy SQL: Skratky vytvorené v časti Tabuľky v objekte lakehouse sú tiež k dispozícii v koncovom bode analýzy SQL. Môžete otvoriť koncový bod analýzy SQL a dotazovať svoje údaje, rovnako ako všetky ostatné tabuľky.

• Kanály: Kanály údajov môžu pristupovať k spravovaných odkazom na kontá úložiska s dôveryhodným prístupom k pracovnému priestoru. Kanály údajov možno použiť na čítanie z kont úložiska alebo ich zapisovať do nich prostredníctvom skratiek OneLake.

• Toky údajov v2: Toky údajov Gen2 možno použiť na prístup k spravovaných odkazom na kontá úložiska s dôveryhodným prístupom k pracovnému priestoru. Toky údajov Gen2 môžu čítať z kont úložiska alebo ich zapisovať do nich prostredníctvom skratiek OneLake.

• Sémantické modely a zostavy: Predvolený sémantický model priradený ku koncovému bodu analýzy SQL služby Lakehouse môže čítať spravované skratky k kontám úložiska s dôveryhodným prístupom k pracovnému priestoru. Ak chcete zobraziť spravované tabuľky v predvolenom sémantickom modeli, prejdite na položku koncového bodu analýzy SQL, vyberte položku Vytváranie zostáv a vyberte položku Automatická aktualizácia sémantického modelu.

  Môžete tiež vytvárať nové sémantické modely, ktoré odkazujú na odkazy tabuľky na kontá úložiska s dôveryhodným prístupom k pracovnému priestoru. Prejdite do koncového bodu analýzy SQL, vyberte položku Vytváranie zostáv a vyberte položku Nový sémantický model.

  Môžete vytvárať zostavy na základe predvolených sémantických modelov a vlastných sémantických modelov.

• Databáza KQL: V databáze KQL môžete tiež vytvoriť skratky OneLake na ADLS Gen2. Kroky na vytvorenie spravovanej skratky s prístupom k dôveryhodnému pracovnému priestoru zostanú rovnaké.

Vytvorenie kanála údajov do konta úložiska s dôveryhodným prístupom k pracovnému priestoru

Keď je identita pracovného priestoru nakonfigurovaná v službe Fabric a povolený dôveryhodný prístup vo vašom konte úložiska ADLS Gen2, môžete vytvárať údajové kanály na prístup k údajom zo služby Fabric. Môžete vytvoriť nový kanál údajov na kopírovanie údajov do jazera služby Fabric. Potom môžete začať s analýzou údajov pomocou služieb Spark, SQL a Power BI.

Požiadavky

• Pracovný priestor služby Fabric priradený k kapacite služby Fabric. Pozrite si tému Identita pracovného priestoru.
• Vytvorte identitu pracovného priestoru priradenú k pracovnému priestoru služby Fabric.
• Používateľské konto alebo objekt služby používané na vytvorenie pripojenia by mali mať v konte úložiska roly Azure RBAC. Objekt musí mať v rozsahu úložiska Prispievateľ údajov ukladacieho priestoru objektu Blob, vlastníka údajov ukladacieho priestoru objektu BLOB alebo rolu čitateľa údajov ukladacieho priestoru objektu BLOB.
• Nakonfigurujte pravidlo inštancie zdroja pre konto úložiska.

Kroky

1. Začnite výberom položky Získať údaje v službe Lakehouse.

2. Vyberte položku Nový kanál údajov. Zadajte názov kanála a potom vyberte položku Vytvoriť.

   

3. Ako zdroj údajov vyberte Azure Data Lake Gen2 .

   

4. Zadajte URL adresu konta úložiska, ktoré bolo nakonfigurované s dôveryhodným prístupom k pracovnému priestoru, a vyberte pre pripojenie názov. V časti Typ overenia vyberte možnosť Konto organizácie alebo Objekt služby.

   

   Po dokončení vyberte položku Ďalej.

5. Vyberte súbor, ktorý potrebujete skopírovať do jazera.

   

   Po dokončení vyberte položku Ďalej.

6. Na obrazovke Skontrolovať a uložiť vyberte položku Spustiť prenos údajov okamžite. Po dokončení vyberte položku Uložiť + Spustiť.

   

7. Keď sa stav kanála zmení z frontu na Úspešné, prejdite do jazera a overte, či boli vytvorené tabuľky údajov.

Použitie príkazu T-SQL COPY na ingestovanie údajov do skladu

Keď je identita pracovného priestoru nakonfigurovaná v službe Fabric a povolený dôveryhodný prístup vo vašom konte úložiska ADLS Gen2, môžete použiť príkaz COPY T-SQL na uloženie údajov do skladu služby Fabric. Po preložení údajov do skladu môžete začať s analýzou údajov pomocou SQL a Power BI.

Obmedzenia a dôležité informácie

• Dôveryhodný prístup k pracovnému priestoru je podporovaný pre pracovné priestory v ľubovoľnej kapacite skladovej jednotky SKU služby Fabric F.
• Dôveryhodný prístup k pracovnému priestoru môžete používať iba v skratkách OneLake, údajových kanáloch a v príkaze T-SQL COPY. Ak chcete bezpečne získať prístup k kontám úložiska zo služby Fabric Spark, pozrite si tému Spravované súkromné koncové body pre službu Fabric.
• Ak sa pracovný priestor s identitou pracovného priestoru migruje do kapacity, ktorá nie je typu Fabric, alebo do kapacity služby SKU Fabric bez F, dôveryhodný prístup k pracovnému priestoru prestane fungovať po hodine.
• Už existujúce skratky vytvorené pred 10. októbrom 2023 nepodporujú dôveryhodný prístup k pracovnému priestoru.
• Pripojenia pre dôveryhodný prístup k pracovnému priestoru nie je možné vytvoriť ani upraviť v časti Správa pripojení a brán.
• Pripojenia ku kontám úložiska s podporou brány firewall budú mať stav Offline v časti Správa pripojení a brán.
• Ak opätovne používate pripojenia, ktoré podporujú prístup k dôveryhodnému pracovnému priestoru v položkách služby Fabric iných ako skratky a kanály alebo v iných pracovných priestoroch, nemusia fungovať.
• Na overenie pre kontá úložiska pre dôveryhodný prístup k pracovnému priestoru sa musí používať iba konto organizácie alebo objekt služby.
• Kanály nemôžu písať do skratiek tabuľky OneLake na kontách úložiska s dôveryhodným prístupom k pracovnému priestoru. Ide o dočasné obmedzenie.
• Je možné nakonfigurovať maximálne 200 pravidiel inštancie zdroja. Ďalšie informácie nájdete v téme Limity a kvóty predplatného služby Azure – Azure Resource Manager.
• Dôveryhodný prístup k pracovnému priestoru funguje len v prípadoch, keď je povolený verejný prístup z vybratých virtuálnych sietí a IP adries.
• Pravidlá inštancie zdrojov pre pracovné priestory služby Fabric je potrebné vytvoriť prostredníctvom šablón ARM. Pravidlá inštancie zdrojov vytvorené prostredníctvom používateľského rozhrania portálu Azure nie sú podporované.
• V pracovnom priestore, ktorý spĺňa predpoklady, sa automaticky začnú podporovať dôveryhodný prístup k službe.
• Ak má vaša organizácia politiku podmieneného prístupu k službe Entra pre identity vyťaženia vrátane všetkých objektov služby, dôveryhodný prístup k pracovnému priestoru nebude fungovať. V takýchto prípadoch musíte z politiky podmieneného prístupu pre identity vyťaženia vylúčiť konkrétne identity pracovného priestoru služby Fabric.

Riešenie problémov s dôveryhodným prístupom k pracovnému priestoru

Ak sa odkaz v službe lakehouse, ktorý sa zameriava na konto úložiska ADLS Gen2 chránené bránou firewall, sa stane nedostupným, môže to byť z dôvodu, že úložisko lakehouse bolo zdieľané s používateľom, ktorý nemá rolu správcu, člena alebo prispievateľa v pracovnom priestore, kde sa lakehouse nachádza. Ide o známy problém. Riešením je nezdieľať lakehouse s používateľmi, ktorí nemajú rolu správcu, člena alebo prispievateľa v pracovnom priestore.

Ukážka šablóny ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Súvisiaci obsah

• Identita pracovného priestoru
• Udelenie prístupu z inštancií zdrojov Azure
• Dôveryhodný prístup založený na spravovanej identite