Çalışma alanı yönetilen kimliğine izin verme
Bu makalede, Azure synapse çalışma alanında yönetilen kimliğe nasıl izin verildiğini öğreneceksiniz. İzinler de azure portalı üzerinden çalışma alanında ve ADLS 2. Nesil depolama hesabında ayrılmış SQL havuzlarına erişime izin verir.
Not
Bu çalışma alanı yönetilen kimliği, bu belgenin geri kalanında yönetilen kimlik olarak adlandırılır.
ADLS 2. Nesil depolama hesabına yönetilen kimlik izinleri verme
Azure Synapse çalışma alanı oluşturmak için ADLS 2. Nesil depolama hesabı gerekir. Azure Synapse çalışma alanında Spark havuzlarını başarıyla başlatmak için Azure Synapse yönetilen kimliğinin bu depolama hesabında Depolama Blob Verileri Katkıda Bulunanı rolüne sahip olması gerekir. Azure Synapse'te işlem hattı düzenlemesi de bu rolden yararlanır.
Çalışma alanı oluşturma sırasında yönetilen kimliğe izin verme
Azure Synapse, Azure portalını kullanarak Azure Synapse çalışma alanını oluşturduktan sonra yönetilen kimliğe Depolama Blobu Veri Katkıda Bulunanı rolü verme girişiminde bulunur. AdLS 2. Nesil depolama hesabı ayrıntılarını Temel Bilgiler sekmesinde sağlarsınız.
Hesap adı ve Dosya sistemi adı bölümünde ADLS 2. Nesil depolama hesabını ve dosya sistemini seçin.
Çalışma alanı oluşturucusu da ADLS 2. Nesil depolama hesabının Sahibi ise Azure Synapse yönetilen kimliğe Depolama Blob Verileri Katkıda Bulunanı rolünü atar. Girdiğiniz depolama hesabı ayrıntılarının altında aşağıdaki iletiyi görürsünüz.
AdLS 2. Nesil depolama hesabının sahibi çalışma alanı oluşturucusu değilse, Azure Synapse yönetilen kimliğe Depolama Blob Verileri Katkıda Bulunanı rolünü atamaz. Depolama hesabı ayrıntılarının altında görüntülenen ileti, çalışma alanı oluşturucusunun yönetilen kimliğe Depolama Blob Verileri Katkıda Bulunanı rolü vermek için yeterli izinlere sahip olmadığını bildirir.
İletide belirtildiği gibi, yönetilen kimliğe Depolama Blobu Veri Katkıda Bulunanı atanmadığı sürece Spark havuzları oluşturamazsınız.
Çalışma alanı oluşturulduktan sonra yönetilen kimliğe izin verme
Çalışma alanı oluşturma sırasında yönetilen kimliğe Depolama Blob Verileri katkıda bulunanını atamıyorsanız ADLS 2. Nesil depolama hesabının sahibi bu rolü kimliğe el ile atar. Aşağıdaki adımlar, el ile atama gerçekleştirmenize yardımcı olur.
1. Adım: Azure portalında ADLS 2. Nesil depolama hesabına gidin
Azure portalında ADLS 2. Nesil depolama hesabını açın ve sol gezinti bölmesinden Genel Bakış'ı seçin. Yalnızca kapsayıcı veya dosya sistemi düzeyinde Depolama Blobu Veri Katkıda Bulunanı rolünü atamanız gerekir. Kapsayıcılar'ı seçin.
2. Adım: Kapsayıcıyı seçin
Yönetilen kimlik, çalışma alanı oluşturulduğunda sağlanan kapsayıcıya (dosya sistemi) veri erişimine sahip olmalıdır. Bu kapsayıcıyı veya dosya sistemini Azure portalında bulabilirsiniz. Azure portalında Azure Synapse çalışma alanını açın ve sol gezinti bölmesinden Genel Bakış sekmesini seçin.
Yönetilen kimliğe Depolama Blob Verileri Katkıda Bulunanı rolü vermek için aynı kapsayıcıyı veya dosya sistemini seçin.
3. Adım: Erişim denetimini açma ve rol ataması ekleme
Erişim denetimi (IAM) öğesini seçin.
Ekle>Rol ataması ekle seçeneğini belirleyerek Rol ataması ekle sayfasını açın.
Aşağıdaki rolü atayın. Ayrıntılı adımlar için bkz. Azure portalı kullanarak Azure rolleri atama.
Ayar Value Role Depolama Blobu Veri Katılımcısı Şu kişiye erişim ata: MANAGEDIDENTITY Üyeler yönetilen kimlik adı Not
Yönetilen kimlik adı aynı zamanda çalışma alanı adıdır.
Rol atamasını eklemek için Kaydet'i seçin.
4. Adım: Depolama Blobu Veri Katkıda Bulunanı rolünün yönetilen kimliğe atandığını doğrulayın
Erişim Denetimi(IAM) öğesini ve ardından Rol atamaları'ı seçin.
Yönetilen kimliğinizin Depolama Blob Verileri Katkıda Bulunanı bölümünde depolama blobu veri katkıda bulunanı rolü atanmış olarak listelendiğini görmeniz gerekir.
Depolama Blobu Veri Katkıda Bulunanı rolüne alternatif
Kendinize Bir Depolama Blobu Veri Katkıda Bulunanı rolü vermek yerine, dosyaların bir alt kümesi üzerinde daha ayrıntılı izinler de vekleyebilirsiniz.
Bu kapsayıcıdaki bazı verilere erişmesi gereken tüm kullanıcıların da köke (kapsayıcı) kadar olan tüm üst klasörlerde EXECUTE iznine sahip olması gerekir.
Azure Data Lake Storage 2. Nesil'da ACL'leri ayarlama hakkında daha fazla bilgi edinin.
Not
Kapsayıcı düzeyinde yürütme izni Data Lake Storage 2. Nesil içinde ayarlanmalıdır. Klasördeki izinler Azure Synapse içinde ayarlanabilir.
Bu örnekteki data2.csv sorgulamak istiyorsanız aşağıdaki izinler gereklidir:
- Kapsayıcıda yürütme izni
- Klasör1 üzerinde yürütme izni
- data2.csv okuma izni
Erişmek istediğiniz veriler üzerinde tam izinlere sahip bir yönetici kullanıcıyla Azure Synapse'te oturum açın.
Veri bölmesinde dosyaya sağ tıklayın ve Erişimi yönet'i seçin.
En azından Okuma izni'ne tıklayın. Kullanıcının UPN'sini veya nesne kimliğini girin; örneğin, user@contoso.com. Ekle'yi seçin.
Bu kullanıcı için okuma izni verin.
Not
Konuk kullanıcılar için bu adımın doğrudan Azure Synapse üzerinden yapılamadığı için Azure Data Lake ile yapılması gerekir.
Sonraki adımlar
Çalışma alanı yönetilen kimliği hakkında daha fazla bilgi edinin