Güvenilen çalışma alanı erişimi (önizleme)

Doku, güvenlik duvarı etkinleştirilmiş Azure Data Lake 2. Nesil hesaplarına güvenli bir şekilde erişmenizi sağlar. Çalışma alanı kimliğine sahip doku çalışma alanları, seçilen sanal ağlardan ve IP adreslerinden genel ağ erişimi etkinleştirilerek Azure Data Lake 2. Nesil hesaplarına güvenli bir şekilde erişebilir. ADLS 2. Nesil erişimini belirli Doku çalışma alanlarıyla sınırlayabilirsiniz.

Güvenilen çalışma alanı erişimine sahip bir depolama hesabına erişen doku çalışma alanlarının istek için uygun yetkilendirmeye sahip olması gerekir. Yetkilendirme, kuruluş hesapları veya hizmet sorumluları için Microsoft Entra kimlik bilgileriyle desteklenir. Kaynak örneği kuralları hakkında daha fazla bilgi edinmek için bkz . Azure kaynak örneklerinden erişim verme.

Belirli Doku çalışma alanlarından güvenlik duvarı etkinleştirilmiş depolama hesaplarına erişimi sınırlamak ve korumak için, belirli Doku çalışma alanlarından erişime izin vermek için kaynak örneği kuralı ayarlayabilirsiniz.

Not

Güvenilen çalışma alanı erişimi şu anda genel önizleme aşamasındadır. Doku çalışma alanı kimliği yalnızca doku kapasitesiyle (F64 veya üzeri) ilişkili çalışma alanlarında oluşturulabilir. Doku aboneliği satın alma hakkında bilgi için bkz . Microsoft Fabric aboneliği satın alma.

Bu makalede aşağıdaki işlemler hakkında bilgi edinirsiniz:

• Azure Data Lake 2. Nesil depolama hesabında güvenilen çalışma alanı erişimini yapılandırın.

• Bir Fabric Lakehouse'ta güvenilen çalışma alanı erişimi etkinleştirilmiş Azure Data Lake 2. Nesil depolama hesabına bağlanan bir OneLake kısayolu oluşturun.

• Güvenilir çalışma alanı erişiminin etkinleştirildiği güvenlik duvarı etkinleştirilmiş Azure Data Lake 2. Nesil hesabına doğrudan bağlanmak için bir veri işlem hattı oluşturun.

ADLS 2. Nesil'de güvenilen çalışma alanı erişimini yapılandırma

Kaynak örneği kuralı

Belirli Doku çalışma alanlarını, çalışma alanı kimliklerine göre depolama hesabınıza erişecek şekilde yapılandırabilirsiniz. Kaynak örneği kuralıyla ARM şablonu dağıtarak kaynak örneği kuralı oluşturabilirsiniz. Kaynak örneği kuralı oluşturmak için:

1. Azure portalında oturum açın ve Özel dağıtım'a gidin.

2. Düzenleyicide Kendi şablonunuzu oluşturun'u seçin. Bu belgenin sonunda kaynak örneği kuralı oluşturan örnek bir ARM şablonu sağlanır.

3. Düzenleyicide kaynak örneği kuralını oluşturun. İşiniz bittiğinde Gözden Geçir + Oluştur'u seçin.

4. Görüntülenen Temel Bilgiler sekmesinde, gerekli proje ve örnek ayrıntılarını belirtin. İşiniz bittiğinde Gözden Geçir + Oluştur'u seçin.

5. Görüntülenen Gözden Geçir + Oluştur sekmesinde özeti gözden geçirin ve Oluştur'u seçin. Kural dağıtım için gönderilir.

6. Dağıtım tamamlandığında kaynağa gidebilirsiniz.

Not

• Doku çalışma alanları için kaynak örneği kuralları yalnızca ARM şablonları aracılığıyla oluşturulabilir. Azure portalı üzerinden oluşturma desteklenmez.
• Doku çalışma alanı resourceId değeri için "000000000-0000-0000-0000-000000000000" subscriptionId kullanılmalıdır.
• Doku çalışma alanının çalışma alanı kimliğini adres çubuğu URL'si aracılığıyla alabilirsiniz.

ARM şablonu aracılığıyla oluşturulabilecek bir kaynak örneği kuralı örneği aşağıda verilmişti:

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624”
       }
]

Güvenilen hizmet özel durumu

Seçili sanal ağlardan ve IP adreslerinden genel ağ erişimi etkinleştirilmiş bir Azure Data Lake 2. Nesil hesabı için güvenilen hizmet özel durumunu seçerseniz, çalışma alanı kimliğine sahip Doku çalışma alanları depolama hesabına erişebilir. Güvenilen hizmet özel durumu onay kutusu seçildiğinde, kiracınızın Doku kapasitelerinde çalışma alanı kimliğine sahip tüm çalışma alanları depolama hesabında depolanan verilere erişebilir.

Bu yapılandırma önerilmez ve destek gelecekte sonlandırılabilir. Belirli kaynaklara erişim vermek için kaynak örneği kurallarını kullanmanızı öneririz.

Güvenilen hizmet erişimi için Depolama hesaplarını kimler yapılandırabilir?

Depolama hesabındaki katkıda bulunan (Azure RBAC rolü), kaynak örneği kurallarını veya güvenilen hizmet özel durumunu yapılandırabilir.

Doku'da güvenilen çalışma alanı erişimini kullanma

Şu anda Doku'dan verilerinize güvenli bir şekilde erişmek için güvenilen çalışma alanı erişimini kullanmanın iki yolu vardır:

• Spark, SQL ve Power BI ile verilerinizi analiz etmeye başlamak için Fabric Lakehouse'da yeni bir ADLS kısayolu oluşturabilirsiniz.

• Güvenlik duvarı etkinleştirilmiş bir Azure Data Lake 2. Nesil hesabına doğrudan erişmek için güvenilen çalışma alanı erişiminden yararlanan bir veri işlem hattı oluşturabilirsiniz.

Aşağıdaki bölümlerde bu iki yöntemin nasıl kullanılacağı gösterilmektedir.

Güvenilen çalışma alanı erişimine sahip depolama hesabı için OneLake kısayolu oluşturma

Çalışma alanı kimliği Doku'da yapılandırıldığında ve ADLS 2. Nesil depolama hesabınızda güvenilen çalışma alanı erişimi etkinleştirildiğinde, Doku'dan verilerinize erişmek için OneLake kısayolları oluşturabilirsiniz. Fabric Lakehouse'da yeni bir ADLS kısayolu oluşturursunuz ve Spark, SQL ve Power BI ile verilerinizi analiz etmeye başlayabilirsiniz.

Önkoşullar

• Doku kapasitesiyle ilişkilendirilmiş bir Doku çalışma alanı. Bkz. Çalışma alanı kimliği.
• Doku çalışma alanıyla ilişkilendirilmiş bir çalışma alanı kimliği oluşturun.
• Kısayolu oluşturmak için kullanılan kullanıcı hesabı veya hizmet sorumlusunun depolama hesabında Azure RBAC rolleri olmalıdır. Sorumlunun Depolama Blob Veri Katkıda Bulunanı, Depolama Blob Veri sahibi veya depolama hesabı kapsamında Depolama Blob Veri Okuyucusu rolü ya da kapsayıcı kapsamında Depolama Blob Veri Okuyucusu rolüne ek olarak depolama hesabı kapsamında Depolama Blob Veri Okuyucusu rolü olmalıdır.
• Depolama hesabı için bir kaynak örneği kuralı yapılandırın.

Not

Önkoşulları karşılayan bir çalışma alanında önceden var olan kısayollar otomatik olarak güvenilir hizmet erişimini desteklemeye başlar.

Adımlar

1. Lakehouse'da yeni bir kısayol oluşturarak başlayın.

   

   Yeni kısayol sihirbazı açılır.

2. Dış kaynaklar'ın altında Azure Data Lake Depolama 2. Nesil'i seçin.

   

3. Güvenilen çalışma alanı erişimiyle yapılandırılmış depolama hesabının URL'sini sağlayın ve bağlantı için bir ad seçin. Kimlik doğrulama türü için Kuruluş hesabı'nı veya Hizmet Sorumlusu'nı seçin.

   

   İşiniz bittiğinde İleri'yi seçin.

4. Kısayol adını ve alt yolunu belirtin.

   

   İşiniz bittiğinde Oluştur’u seçin.

5. Lakehouse kısayolu oluşturulur ve kısayolda depolama verilerinin önizlemesini görebilmeniz gerekir.

   

Doku öğelerinde güvenilir çalışma alanı erişimine sahip bir depolama hesabının OneLake kısayolunu kullanma

Dokuda OneCopy ile OneLake kısayollarınıza tüm Doku iş yüklerinden güvenilir erişimle erişebilirsiniz.

• Spark: OneLake kısayollarınızdan verilere erişmek için Spark'ı kullanabilirsiniz. Spark'ta kullanılan kısayollar OneLake'te klasör olarak görünür. Verilere erişmek için klasör adına başvurmanız yeterlidir. Spark not defterlerinde güvenilir çalışma alanı erişimine sahip depolama hesapları için OneLake kısayolunu kullanabilirsiniz.

• SQL uç noktası: Lakehouse'unuzun "Tablolar" bölümünde oluşturulan kısayollar SQL uç noktasında da kullanılabilir. SQL uç noktasını açabilir ve verilerinizi diğer tablolarda olduğu gibi sorgulayabilirsiniz.

• İşlem hatları: Veri işlem hatları, güvenilen çalışma alanı erişimine sahip depolama hesapları için yönetilen kısayollara erişebilir. Veri işlem hatları OneLake kısayolları aracılığıyla depolama hesaplarından okumak veya depolama hesaplarına yazmak için kullanılabilir.

• Veri akışları v2: Veri akışları 2. Nesil, güvenilen çalışma alanı erişimine sahip depolama hesapları için yönetilen kısayollara erişmek için kullanılabilir. 2. Nesil veri akışları OneLake kısayolları aracılığıyla depolama hesaplarından okuyabilir veya bu hesaplara yazabilir.

• Anlam modelleri ve raporları: Lakehouse SQL uç noktasıyla ilişkili varsayılan anlam modeli, güvenilen çalışma alanı erişimine sahip depolama hesaplarının yönetilen kısayollarını okuyabilir. Yönetilen tabloları varsayılan anlamsal modelde görmek için SQL uç noktasına gidin, Raporlama'yı seçin ve Anlam modelini otomatik olarak güncelleştir'i seçin.

  Ayrıca, güvenilir çalışma alanı erişimine sahip depolama hesaplarına tablo kısayollarına başvuran yeni anlamsal modeller de oluşturabilirsiniz. SQL uç noktasına gidin, Raporlama'yı seçin ve Yeni anlam modeli'ni seçin.

  Varsayılan anlamsal modellerin ve özel anlamsal modellerin üzerinde raporlar oluşturabilirsiniz.

• KQL Veritabanı: KQL veritabanında Azure Data Lake Depolama 2. Nesil için OneLake kısayolları da oluşturabilirsiniz. Yönetilen kısayolu güvenilen çalışma alanı erişimiyle oluşturma adımları aynı kalır.

Güvenilir çalışma alanı erişimine sahip bir depolama hesabına veri işlem hattı oluşturma

Doku'da yapılandırılan çalışma alanı kimliği ve ADLS 2. Nesil depolama hesabınızda güvenilen erişim etkinleştirildiğinde, Doku'dan verilerinize erişmek için veri işlem hatları oluşturabilirsiniz. Verileri Fabric lakehouse'a kopyalamak için yeni bir veri işlem hattı oluşturabilir ve ardından Spark, SQL ve Power BI ile verilerinizi analiz etmeye başlayabilirsiniz.

Önkoşullar

• Doku kapasitesiyle ilişkilendirilmiş bir Doku çalışma alanı. Bkz. Çalışma alanı kimliği.
• Doku çalışma alanıyla ilişkilendirilmiş bir çalışma alanı kimliği oluşturun.
• Bağlantı oluşturmak için kullanılan kullanıcı hesabı veya hizmet sorumlusunun depolama hesabında Azure RBAC rolleri olmalıdır. Sorumlunun depolama hesabı kapsamında Depolama Blob Veri Katkıda Bulunanı, Depolama Blob Veri sahibi veya Depolama Blob Veri Okuyucusu rolü olmalıdır.
• Depolama hesabı için bir kaynak örneği kuralı yapılandırın.

Adımlar

1. Göl evinde Veri Al'ı seçerek başlayın.

2. Yeni veri işlem hattı'ni seçin. İşlem hattı için bir ad sağlayın ve oluştur'u seçin.

   

3. Veri kaynağı olarak Azure Data Lake 2. Nesil'i seçin.

   

4. Güvenilen çalışma alanı erişimiyle yapılandırılmış depolama hesabının URL'sini sağlayın ve bağlantı için bir ad seçin. Kimlik doğrulama türü için Kuruluş hesabı veya Hizmet Sorumlusu'nı seçin.

   

   İşiniz bittiğinde İleri'yi seçin.

5. Göle kopyalamanız gereken dosyayı seçin.

   

   İşiniz bittiğinde İleri'yi seçin.

6. Gözden geçir ve kaydet ekranında Veri aktarımını hemen başlat'ı seçin. İşiniz bittiğinde Kaydet + Çalıştır'ı seçin.

   

7. İşlem hattı durumu Kuyruğa alındı durumundan Başarılı olarak değiştiğinde, lakehouse'a gidin ve veri tablolarının oluşturulduğunu doğrulayın.

Kısıtlamalar ve Dikkat Edilmesi Gerekenler

• Güvenilen çalışma alanı erişimi yalnızca Doku kapasitelerindeki (F64 veya üzeri) çalışma alanları için desteklenir.
• Güvenilir çalışma alanı erişimini yalnızca OneLake kısayolları ve veri işlem hatlarında kullanabilirsiniz. Doku Spark'tan depolama hesaplarına güvenli bir şekilde erişmek için bkz . Doku için yönetilen özel uç noktalar.
• Çalışma alanı kimliğine sahip bir çalışma alanı Doku olmayan bir kapasiteye veya F64'ten düşük Doku kapasitesine geçirilirse, güvenilen çalışma alanı erişimi bir saat sonra çalışmayı durdurur.
• 10 Ekim 2023'e kadar oluşturulan önceden var olan kısayollar güvenilir çalışma alanı erişimini desteklemez.
• güvenilen çalışma alanı erişimi için Bağlan ions oluşturulamaz veya değiştirilemiyor Bağlantıları ve ağ geçitlerini yönetme.
• Kısayollar ve işlem hatları dışındaki Doku öğelerinde veya diğer çalışma alanlarında güvenilen çalışma alanı erişimini destekleyen bağlantıları yeniden kullandığınızda, bunlar çalışmayabilir.
• Güvenilen çalışma alanı erişimi için depolama hesaplarında kimlik doğrulaması için yalnızca kuruluş hesabı veya hizmet sorumlusu kullanılmalıdır.
• İşlem hatları, güvenilir çalışma alanı erişimine sahip depolama hesaplarında OneLake tablo kısayollarına yazamaz. Bu geçici bir sınırlamadır.
• En fazla 200 kaynak örneği kuralı yapılandırılabilir. Daha fazla bilgi için bkz . Azure abonelik sınırları ve kotaları - Azure Resource Manager.
• Güvenilen çalışma alanı erişimi yalnızca seçili sanal ağlardan ve IP adreslerinden genel erişim etkinleştirildiğinde çalışır.
• Doku çalışma alanları için kaynak örneği kuralları ARM şablonları aracılığıyla oluşturulmalıdır. Azure portalı kullanıcı arabirimi aracılığıyla oluşturulan kaynak örneği kuralları desteklenmez.
• Önkoşulları karşılayan bir çalışma alanında önceden var olan kısayollar, güvenilir hizmet erişimini desteklemeye otomatik olarak başlar.

ARM şablonu örneği

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

İlgili içerik

• Çalışma alanı kimliği
• Azure kaynak örneklerinden erişim verme
• Yönetilen kimliğe dayalı güvenilir erişim