Güvenilen çalışma alanı erişimi
Doku, güvenlik duvarı etkinleştirilmiş Azure Data Lake Storage (ADLS) 2. Nesil hesaplarına güvenli bir şekilde erişmenizi sağlar. Çalışma alanı kimliğine sahip doku çalışma alanları, seçilen sanal ağlardan ve IP adreslerinden genel ağ erişimi etkinleştirilen ADLS 2. Nesil hesaplarına güvenli bir şekilde erişebilir. ADLS 2. Nesil erişimini belirli Doku çalışma alanlarıyla sınırlayabilirsiniz.
Güvenilen çalışma alanı erişimine sahip bir depolama hesabına erişen doku çalışma alanlarının istek için uygun yetkilendirmeye sahip olması gerekir. Yetkilendirme, kuruluş hesapları veya hizmet sorumluları için Microsoft Entra kimlik bilgileriyle desteklenir. Kaynak örneği kuralları hakkında daha fazla bilgi edinmek için bkz . Azure kaynak örneklerinden erişim verme.
Belirli Doku çalışma alanlarından güvenlik duvarı etkinleştirilmiş depolama hesaplarına erişimi sınırlamak ve korumak için, belirli Doku çalışma alanlarından erişime izin vermek için kaynak örneği kuralı ayarlayabilirsiniz.
Not
Güvenilen çalışma alanı erişimi genel olarak kullanılabilir. Doku çalışma alanı kimliği yalnızca doku kapasitesiyle (F64 veya üzeri) ilişkili çalışma alanlarında oluşturulabilir. Doku aboneliği satın alma hakkında bilgi için bkz . Microsoft Fabric aboneliği satın alma.
Bu makalede aşağıdaki işlemler hakkında bilgi edinirsiniz:
ADLS 2. Nesil depolama hesabında güvenilen çalışma alanı erişimini yapılandırın.
Güvenilir çalışma alanı erişiminin etkinleştirildiği güvenlik duvarı etkinleştirilmiş ADLS 2. Nesil hesabından Verileri Ambarınıza almak için T-SQL COPY deyimini kullanın.
ADLS 2. Nesil'de güvenilen çalışma alanı erişimini yapılandırma
Kaynak örneği kuralı
Belirli Doku çalışma alanlarını, çalışma alanı kimliklerine göre depolama hesabınıza erişecek şekilde yapılandırabilirsiniz. Kaynak örneği kuralıyla ARM şablonu dağıtarak kaynak örneği kuralı oluşturabilirsiniz. Kaynak örneği kuralı oluşturmak için:
Azure portalında oturum açın ve Özel dağıtım'a gidin.
Düzenleyicide Kendi şablonunuzu oluşturun'u seçin. Kaynak örneği kuralı oluşturan örnek arm şablonu için bkz . ARM şablonu örneği.
Düzenleyicide kaynak örneği kuralını oluşturun. İşiniz bittiğinde Gözden Geçir + Oluştur'u seçin.
Görüntülenen Temel Bilgiler sekmesinde, gerekli proje ve örnek ayrıntılarını belirtin. İşiniz bittiğinde Gözden Geçir + Oluştur'u seçin.
Görüntülenen Gözden Geçir + Oluştur sekmesinde özeti gözden geçirin ve Oluştur'u seçin. Kural dağıtım için gönderilir.
Dağıtım tamamlandığında kaynağa gidebilirsiniz.
Not
- Doku çalışma alanları için kaynak örneği kuralları yalnızca ARM şablonları aracılığıyla oluşturulabilir. Azure portalı üzerinden oluşturma desteklenmez.
- Doku çalışma alanı resourceId değeri için "000000000-0000-0000-0000-000000000000" subscriptionId kullanılmalıdır.
- Doku çalışma alanının çalışma alanı kimliğini adres çubuğu URL'si aracılığıyla alabilirsiniz.
Arm şablonu aracılığıyla oluşturulabilecek bir kaynak örneği kuralı örneği aşağıda verilmişti. Tam bir örnek için bkz . ARM şablonu örneği.
"resourceAccessRules": [
{ "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
}
]
Güvenilen hizmet özel durumu
Seçili sanal ağlardan ve IP adreslerinden genel ağ erişimi etkinleştirilmiş bir ADLS 2. Nesil hesabı için güvenilen hizmet özel durumunu seçerseniz, çalışma alanı kimliğine sahip Doku çalışma alanları depolama hesabına erişebilir. Güvenilen hizmet özel durumu onay kutusu seçildiğinde, kiracınızın Doku kapasitelerinde çalışma alanı kimliğine sahip tüm çalışma alanları depolama hesabında depolanan verilere erişebilir.
Bu yapılandırma önerilmez ve destek gelecekte sonlandırılabilir. Belirli kaynaklara erişim vermek için kaynak örneği kurallarını kullanmanızı öneririz.
Depolama hesaplarını güvenilen hizmet erişimi için kimler yapılandırabilir?
Depolama hesabındaki katkıda bulunan (Azure RBAC rolü), kaynak örneği kurallarını veya güvenilen hizmet özel durumunu yapılandırabilir.
Doku'da güvenilen çalışma alanı erişimini kullanma
Şu anda Güvenilir çalışma alanı erişimini kullanarak Verilerinize Dokudan güvenli bir şekilde erişmenin üç yolu vardır:
Spark, SQL ve Power BI ile verilerinizi analiz etmeye başlamak için Fabric Lakehouse'da yeni bir ADLS kısayolu oluşturabilirsiniz.
Güvenlik duvarı etkinleştirilmiş ADLS 2. Nesil hesabına doğrudan erişmek için güvenilen çalışma alanı erişiminden yararlanan bir veri işlem hattı oluşturabilirsiniz.
Bir Yapı ambarı içine veri almak için güvenilen çalışma alanı erişiminden yararlanan bir T-SQL Copy deyimi kullanabilirsiniz.
Aşağıdaki bölümlerde bu yöntemlerin nasıl kullanılacağı gösterilmektedir.
Güvenilen çalışma alanı erişimine sahip depolama hesabı için OneLake kısayolu oluşturma
Çalışma alanı kimliği Doku'da yapılandırıldığında ve ADLS 2. Nesil depolama hesabınızda güvenilen çalışma alanı erişimi etkinleştirildiğinde, Doku'dan verilerinize erişmek için OneLake kısayolları oluşturabilirsiniz. Fabric Lakehouse'da yeni bir ADLS kısayolu oluşturursunuz ve Spark, SQL ve Power BI ile verilerinizi analiz etmeye başlayabilirsiniz.
Önkoşullar
- Doku kapasitesiyle ilişkilendirilmiş bir Doku çalışma alanı. Bkz. Çalışma alanı kimliği.
- Doku çalışma alanıyla ilişkilendirilmiş bir çalışma alanı kimliği oluşturun.
- Kısayolu oluşturmak için kullanılan kullanıcı hesabı veya hizmet sorumlusunun depolama hesabında Azure RBAC rolleri olmalıdır. Sorumlunun depolama hesabı kapsamında bir Depolama Blobu Veri Katkıda Bulunanı, Depolama Blob Veri sahibi veya Depolama Blob Veri Okuyucusu rolüne veya kapsayıcı kapsamında depolama blobu Veri Okuyucusu rolüne ek olarak depolama hesabı kapsamında bir Depolama Blobu Temsilci rolü olmalıdır.
- Depolama hesabı için bir kaynak örneği kuralı yapılandırın.
Not
- Önkoşulları karşılayan bir çalışma alanında önceden var olan kısayollar otomatik olarak güvenilir hizmet erişimini desteklemeye başlar.
- Depolama hesabı için DFS URL Kimliğini kullanmanız gerekir. Örnek:
https://StorageAccountName.dfs.core.windows.net
Adımlar
Lakehouse'da yeni bir kısayol oluşturarak başlayın.
Yeni kısayol sihirbazı açılır.
Dış kaynaklar'ın altında Azure Data Lake Storage 2. Nesil'ı seçin.
Güvenilen çalışma alanı erişimiyle yapılandırılmış depolama hesabının URL'sini sağlayın ve bağlantı için bir ad seçin. Kimlik doğrulama türü için Kuruluş hesabı'nı veya Hizmet Sorumlusu'nı seçin.
İşiniz bittiğinde İleri'yi seçin.
Kısayol adını ve alt yolunu belirtin.
İşiniz bittiğinde Oluştur’u seçin.
Lakehouse kısayolu oluşturulur ve kısayolda depolama verilerinin önizlemesini görebilmeniz gerekir.
Doku öğelerinde güvenilir çalışma alanı erişimine sahip bir depolama hesabının OneLake kısayolunu kullanma
Dokuda OneCopy ile OneLake kısayollarınıza tüm Doku iş yüklerinden güvenilir erişimle erişebilirsiniz.
Spark: OneLake kısayollarınızdan verilere erişmek için Spark'ı kullanabilirsiniz. Spark'ta kullanılan kısayollar OneLake'te klasör olarak görünür. Verilere erişmek için klasör adına başvurmanız yeterlidir. Spark not defterlerinde güvenilir çalışma alanı erişimine sahip depolama hesapları için OneLake kısayolunu kullanabilirsiniz.
SQL uç noktası: Lakehouse'unuzun "Tablolar" bölümünde oluşturulan kısayollar SQL uç noktasında da kullanılabilir. SQL uç noktasını açabilir ve verilerinizi diğer tablolarda olduğu gibi sorgulayabilirsiniz.
İşlem hatları: Veri işlem hatları, güvenilen çalışma alanı erişimine sahip depolama hesapları için yönetilen kısayollara erişebilir. Veri işlem hatları OneLake kısayolları aracılığıyla depolama hesaplarından okumak veya depolama hesaplarına yazmak için kullanılabilir.
Veri akışları v2: Veri akışları 2. Nesil, güvenilen çalışma alanı erişimine sahip depolama hesapları için yönetilen kısayollara erişmek için kullanılabilir. 2. Nesil veri akışları OneLake kısayolları aracılığıyla depolama hesaplarından okuyabilir veya bu hesaplara yazabilir.
Anlam modelleri ve raporları: Lakehouse SQL uç noktasıyla ilişkili varsayılan anlam modeli, güvenilen çalışma alanı erişimine sahip depolama hesaplarının yönetilen kısayollarını okuyabilir. Yönetilen tabloları varsayılan anlamsal modelde görmek için SQL uç noktasına gidin, Raporlama'yı seçin ve Anlam modelini otomatik olarak güncelleştir'i seçin.
Ayrıca, güvenilir çalışma alanı erişimine sahip depolama hesaplarına tablo kısayollarına başvuran yeni anlamsal modeller de oluşturabilirsiniz. SQL uç noktasına gidin, Raporlama'yı seçin ve Yeni anlam modeli'ni seçin.
Varsayılan anlamsal modellerin ve özel anlamsal modellerin üzerinde raporlar oluşturabilirsiniz.
KQL Veritabanı: KQL veritabanında ADLS 2. Nesil için OneLake kısayolları da oluşturabilirsiniz. Yönetilen kısayolu güvenilen çalışma alanı erişimiyle oluşturma adımları aynı kalır.
Güvenilir çalışma alanı erişimine sahip bir depolama hesabına veri işlem hattı oluşturma
Doku'da yapılandırılan çalışma alanı kimliği ve ADLS 2. Nesil depolama hesabınızda güvenilen erişim etkinleştirildiğinde, Doku'dan verilerinize erişmek için veri işlem hatları oluşturabilirsiniz. Verileri Fabric lakehouse'a kopyalamak için yeni bir veri işlem hattı oluşturabilir ve ardından Spark, SQL ve Power BI ile verilerinizi analiz etmeye başlayabilirsiniz.
Önkoşullar
- Doku kapasitesiyle ilişkilendirilmiş bir Doku çalışma alanı. Bkz. Çalışma alanı kimliği.
- Doku çalışma alanıyla ilişkilendirilmiş bir çalışma alanı kimliği oluşturun.
- Bağlantı oluşturmak için kullanılan kullanıcı hesabı veya hizmet sorumlusunun depolama hesabında Azure RBAC rolleri olmalıdır. Sorumlunun depolama hesabı kapsamında bir Depolama Blob Verileri Katkıda Bulunanı, Depolama Blob Verileri sahibi veya Depolama Blob Veri Okuyucusu rolü olmalıdır.
- Depolama hesabı için bir kaynak örneği kuralı yapılandırın.
Adımlar
Göl evinde Veri Al'ı seçerek başlayın.
Yeni veri işlem hattı'ni seçin. İşlem hattı için bir ad sağlayın ve oluştur'u seçin.
Veri kaynağı olarak Azure Data Lake 2. Nesil'i seçin.
Güvenilen çalışma alanı erişimiyle yapılandırılmış depolama hesabının URL'sini sağlayın ve bağlantı için bir ad seçin. Kimlik doğrulama türü için Kuruluş hesabı veya Hizmet Sorumlusu'nı seçin.
İşiniz bittiğinde İleri'yi seçin.
Göle kopyalamanız gereken dosyayı seçin.
İşiniz bittiğinde İleri'yi seçin.
Gözden geçir ve kaydet ekranında Veri aktarımını hemen başlat'ı seçin. İşiniz bittiğinde Kaydet + Çalıştır'ı seçin.
İşlem hattı durumu Kuyruğa alındı durumundan Başarılı olarak değiştiğinde, lakehouse'a gidin ve veri tablolarının oluşturulduğunu doğrulayın.
Bir ambara veri almak için T-SQL COPY deyimini kullanma
Doku'da yapılandırılan çalışma alanı kimliği ve ADLS 2. Nesil depolama hesabınızda güvenilen erişim etkinleştirildiğinde, verileri Doku ambarınıza almak için COPY T-SQL deyimini kullanabilirsiniz. Veriler ambara alındıktan sonra SQL ve Power BI ile verilerinizi analiz etmeye başlayabilirsiniz.
Kısıtlamalar ve Dikkat Edilmesi Gerekenler
- Güvenilen çalışma alanı erişimi yalnızca Doku kapasitelerindeki (F64 veya üzeri) çalışma alanları için desteklenir.
- Güvenilir çalışma alanı erişimini yalnızca OneLake kısayolları, veri işlem hatları ve T-SQL COPY deyiminde kullanabilirsiniz. Doku Spark'tan depolama hesaplarına güvenli bir şekilde erişmek için bkz . Doku için yönetilen özel uç noktalar.
- Çalışma alanı kimliğine sahip bir çalışma alanı Doku olmayan bir kapasiteye veya F64'ten düşük Doku kapasitesine geçirilirse, güvenilen çalışma alanı erişimi bir saat sonra çalışmayı durdurur.
- 10 Ekim 2023'e kadar oluşturulan önceden var olan kısayollar güvenilir çalışma alanı erişimini desteklemez.
- Güvenilen çalışma alanı erişimine yönelik bağlantılar, Bağlantıları ve ağ geçitlerini yönetme bölümünde oluşturulamaz veya değiştirilemez.
- Güvenlik duvarı etkinleştirilmiş Depolama hesaplarına yönelik bağlantılar, Bağlantıları ve ağ geçitlerini yönetme bölümünde Çevrimdışı durumuna sahip olur.
- Kısayollar ve işlem hatları dışındaki Doku öğelerinde veya diğer çalışma alanlarında güvenilen çalışma alanı erişimini destekleyen bağlantıları yeniden kullandığınızda, bunlar çalışmayabilir.
- Güvenilen çalışma alanı erişimi için depolama hesaplarında kimlik doğrulaması için yalnızca kuruluş hesabı veya hizmet sorumlusu kullanılmalıdır.
- İşlem hatları, güvenilir çalışma alanı erişimine sahip depolama hesaplarında OneLake tablo kısayollarına yazamaz. Bu geçici bir sınırlamadır.
- En fazla 200 kaynak örneği kuralı yapılandırılabilir. Daha fazla bilgi için bkz . Azure abonelik sınırları ve kotaları - Azure Resource Manager.
- Güvenilen çalışma alanı erişimi yalnızca seçili sanal ağlardan ve IP adreslerinden genel erişim etkinleştirildiğinde çalışır.
- Doku çalışma alanları için kaynak örneği kuralları ARM şablonları aracılığıyla oluşturulmalıdır. Azure portalı kullanıcı arabirimi aracılığıyla oluşturulan kaynak örneği kuralları desteklenmez.
- Önkoşulları karşılayan bir çalışma alanında önceden var olan kısayollar, güvenilir hizmet erişimini desteklemeye otomatik olarak başlar.
- Kuruluşunuzda tüm hizmet sorumlularını içeren iş yükü kimlikleri için Entra Koşullu erişim ilkesi varsa güvenilen çalışma alanı erişimi çalışmaz. Bu gibi durumlarda, belirli Doku çalışma alanı kimliklerini iş yükü kimlikleri için Koşullu erişim ilkesinden dışlamanız gerekir.
Güvenilen çalışma alanı erişimiyle ilgili sorunları giderme
Bir göl evinde güvenlik duvarı korumalı ADLS 2. Nesil depolama hesabını hedefleyen bir kısayol erişilemez hale gelirse, bunun nedeni lakehouse'un lakehouse'un bulunduğu çalışma alanında yönetici, üye veya katkıda bulunan rolü olmayan bir kullanıcıyla paylaşılmış olması olabilir. Bu bilinen bir sorundur. Bunun çözümü, lakehouse'un çalışma alanında yönetici, üye veya katkıda bulunan rolü olmayan kullanıcılarla paylaşılmamasıdır.
ARM şablonu örneği
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}
İlgili içerik
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin