Ansluta till ett säkert Azure Storage-konto från Din Synapse-arbetsyta

  • Artikel

I den här artikeln får du lära dig hur du ansluter till ett säkert Azure Storage-konto från din Azure Synapse arbetsyta. Du kan länka ett Azure Storage-konto till din Synapse-arbetsyta när du skapar din arbetsyta. Du kan länka fler lagringskonton när du har skapat din arbetsyta.

Skyddade Azure Storage-konton

Azure Storage tillhandahåller en säkerhetsmodell i flera lager som gör att du kan skydda och kontrollera åtkomsten till dina lagringskonton. Du kan konfigurera IP-brandväggsregler för att bevilja trafik från valda offentliga IP-adressintervall åtkomst till ditt lagringskonto. Du kan också konfigurera nätverksregler för att bevilja trafik från valda virtuella nätverk åtkomst till ditt lagringskonto. Du kan kombinera IP-brandväggsregler som tillåter åtkomst från valda IP-adressintervall och nätverksregler som ger åtkomst från valda virtuella nätverk på samma lagringskonto. Dessa regler gäller för den offentliga slutpunkten för ett lagringskonto. Du behöver inga åtkomstregler för att tillåta trafik från hanterade privata slutpunkter som skapats på din arbetsyta till ett lagringskonto. Brandväggsregler för lagring kan tillämpas på befintliga lagringskonton eller på nya lagringskonton när du skapar dem. Du kan lära dig mer om att skydda ditt lagringskonto här.

Synapse-arbetsytor och virtuella nätverk

När du skapar en Synapse-arbetsyta kan du välja att aktivera ett hanterat virtuellt nätverk som ska associeras med det. Om du inte aktiverar hanterat virtuellt nätverk för din arbetsyta när du skapar det finns arbetsytan i ett delat virtuellt nätverk tillsammans med andra Synapse-arbetsytor som inte har något associerat hanterat virtuellt nätverk. Om du aktiverade hanterat virtuellt nätverk när du skapade arbetsytan associeras din arbetsyta med ett dedikerat virtuellt nätverk som hanteras av Azure Synapse. Dessa virtuella nätverk skapas inte i din kundprenumeration. Därför kommer du inte att kunna bevilja trafik från dessa virtuella nätverk åtkomst till ditt skyddade lagringskonto med hjälp av nätverksregler som beskrivs ovan.

Få åtkomst till ett skyddat lagringskonto

Synapse fungerar från nätverk som inte kan ingå i dina nätverksregler. Följande måste göras för att aktivera åtkomst från din arbetsyta till ditt säkra lagringskonto.

  • Skapa en Azure Synapse arbetsyta med ett hanterat virtuellt nätverk som är associerat med den och skapa hanterade privata slutpunkter från den till det säkra lagringskontot.

    Om du använder Azure-portalen för att skapa din arbetsyta kan du aktivera hanterat virtuellt nätverk under fliken Nätverk enligt nedan. Om du aktiverar hanterat virtuellt nätverk eller Synapse avgör att det primära lagringskontot är ett säkert lagringskonto kan du välja att skapa en hanterad privat slutpunktsanslutningsbegäran till det säkra lagringskontot enligt nedan. Lagringskontoägaren måste godkänna anslutningsbegäran för att upprätta den privata länken. Synapse godkänner också den här anslutningsbegäran om användaren som skapar en Apache Spark-pool på arbetsytan har tillräckliga behörigheter för att godkänna anslutningsbegäran. Aktivera hanterat virtuellt nätverk och hanterad privat slutpunkt

  • Ge Azure Synapse arbetsytan åtkomst till ditt säkra lagringskonto som en betrodd Azure-tjänst. Som en betrodd tjänst använder Azure Synapse sedan stark autentisering för att på ett säkert sätt ansluta till ditt lagringskonto.

Skapa en Synapse-arbetsyta med ett hanterat virtuellt nätverk och skapa hanterade privata slutpunkter till ditt lagringskonto

Du kan följa de här stegen för att skapa en Synapse-arbetsyta som har ett hanterat virtuellt nätverk kopplat till sig. När arbetsytan med ett associerat hanterat virtuellt nätverk har skapats kan du skapa en hanterad privat slutpunkt till ditt säkra lagringskonto genom att följa stegen här.

Ge din Azure Synapse arbetsyta åtkomst till ditt säkra lagringskonto som en betrodd Azure-tjänst

Analysfunktioner som dedikerad SQL-pool och serverlös SQL-pool använder infrastruktur för flera klientorganisationer som inte distribueras till det hanterade virtuella nätverket. För att trafik från dessa funktioner ska komma åt det skyddade lagringskontot måste du konfigurera åtkomsten till ditt lagringskonto baserat på arbetsytans systemtilldelade hanterade identitet genom att följa stegen nedan.

I Azure Portal går du till ditt skyddade lagringskonto. Välj Nätverk i det vänstra navigeringsfönstret. I avsnittet Resursinstanser väljer du Microsoft.Synapse/workspaces som Resurstyp och anger arbetsytans namn som Instansnamn. Välj Spara.

Nätverkskonfiguration för lagringskonto.

Nu bör du kunna komma åt ditt skyddade lagringskonto från arbetsytan.

Nästa steg

Läs mer om virtuellt nätverk för hanterad arbetsyta.

Läs mer om hanterade privata slutpunkter.