Aracılığıyla paylaş

Azure Data Lake Storage ile Azure için yönetilen kimlikler kullanın

  • Makale

Azure Data Lake Storage katmanlı bir güvenlik modeli sağlar. Bu model, kullanılan ağ veya kaynakların türüne ve alt kümesine dayalı olarak, uygulamalarınızın ve kuruluş ortamlarınızdaki depolama hesaplarınıza erişim düzeyini güvence altına almanıza ve denetlemenize olanak tanır. Ağ kuralları yapılandırıldığında, yalnızca belirtilen ağ kümesi veya belirtilen Azure kaynakları kümesi üzerinden veri isteyen uygulamalar depolama hesabına erişebilirler. Depolama hesabınıza erişimi, belirtilen IP adreslerinden, IP aralıklarından, bir Azure sanal ağındaki (VNet) alt ağlardan veya bazı Azure hizmetlerinin kaynak olgularından kaynaklanan isteklerle sınırlandırabilirsiniz.

Azure için yönetilen kimlikler, eskiden daha önce yönetilen servis kimliği (MSI) olarak bilinerek, parolaların yönetimine yardımcı olur. Azure yeteneklerini kullanan Microsoft Dataverse müşterileri, bir veya daha fazla Dataverse ortamı için kullanılabilecek yönetilen bir kimlik (kurumsal politika oluşturmanın parçası) oluşturur. Kiracınızda hazırlanacak bu yönetilen kimlik, Azure Data Lake uygulamanıza erişmek için Dataverse tarafından kullanılır.

Yönetilen kimliklerle, depolama hesabınıza erişim, kiracınız ile ilişkilendirilen Dataverse ortamından kaynaklanan istekleriyle kısıtlıdır. Dataverse sizin adına depolama alanına bağlandığında, isteğin güvenli, güvenilir bir ortamdan kaynaklandığını kanıtlamak için ek bağlam bilgileri içerir. Bu, depolama alanının Dataverse'e depolama hesabınıza erişim vermesine olanak tanır. Yönetilen kimlikler güven kurabilmek için bağlam bilgilerini imzalamaya kullanılır. Bu, Azure hizmetleri arasındaki bağlantılar için Azure tarafından sağlanan ağ ve altyapı güvenliğinin yanı sıra uygulama düzeyinde güvenlik de sağlar.

Başlamadan önce

  • Yerel makinenizde Azure CLI gereklidir. İndirme ve kurma
  • Bu iki PowerShell modülü gerekir. Bunları kullanmıyorsanız PowerShell'i açın ve şu komutları çalıştırın:
    • Azure Az PowerShell modülü: Install-Module -Name Az
    • Azure Az.Resources PowerShell modülü: Install-Module -Name Az.Resources
    • Power Platform yönetici PowerShell modülü: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • GitHub'da bu sıkıştırılmış klasör dosyasına gidin. Sonra indirmek için İndir'i seçin. Sıkıştırılmış klasör dosyasını PowerShell komutlarını çalıştırabileceğiniz bir konumdaki bilgisayara ayıklayın. Sıkıştırılmış klasörden ayıklanan tüm dosya ve klasörler özgün konumlarına göre korunmalıdır.
  • Bu özelliği eklemek için aynı Azure Kaynak grubu altında yeni bir depolama kapsayıcısı oluşturmanız önerilir.

Seçilen Azure aboneliği için kurumsal ilkeyi etkinleştirme

Önemli

Bu görevi tamamlamak için Azure aboneliği Sahibi rolü erişiminizin olması gerekir. Azure kaynak grubunun genel bakış sayfasından Azure Abonelik Kimliğinizi edinin.

  1. Azure CLI'yı açın yönetici olarak çalıştır ve az login komutunu kullanarak Azure aboneliğinize oturum açın: Daha fazla bilgi: Azure CLI ile oturum açın
  2. (İsteğe bağlı) birden çok Azure aboneliğiniz varsa, varsayılan aboneliğinizi güncelleştirmek için Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } uygulamasını çalıştırmayı unutmayın.
  3. Bu özellik için Başlamadan önce bölümünün parçası olarak indirdiğiniz sıkıştırılmış klasörü PowerShell'i çalıştırabileceğiniz bir konuma genişletin.
  4. Seçili Azure aboneliği için kuruluş ilkesini etkinleştirmek üzere PowerShell komut dosyası ./SetupSubscriptionForPowerPlatform.ps1 çalıştırın.
    • Azure aboneliği kimliğini sağlayın.

Kurumsal ilke oluşturma

Önemli

Bu görevi tamamlamak için Azure kaynak grubu Sahibi rolü erişiminizin olması gerekir. Azure kaynak grubu genel bakış sayfasından Azure Abonelik Kimliği, Konum ve Kaynak grubu adınızı edinin.

  1. Kurumsal ilkeyi oluşturun. ./CreateIdentityEnterprisePolicy.ps1 PowerShell betiğini çalıştırma

    • Azure aboneliği kimliğini sağlayın.
    • Azure kaynak grup adını sağlayın.
    • Tercih edilen kurumsal ilke adı belirtin.
    • Azure kaynak grup konumunu sağlayın.

  2. İlke oluşturulduktan sonra ResourceId kopyasını kaydedin.

Not

Aşağıdakiler, ilke oluşturma tarafından desteklenen geçerli konum girişleridir. Size en uygun olan konumu seçin.

Kuruluş ilkesi için kullanılabilir konumlar

Birleşik Devletler EUAP

ABD

Güney Afrika

Birleşik Krallık

Avustralya

Güney Kore

Japonya

Hindistan

Fransa

Avrupa

Asya

Norveç

Almanya

İsviçre

Kanada

Brezilya

BAE

Singapur

Azure ile kuruluş ilkesine okuyucu erişim izni ver

Azure genel yöneticiler, Dynamics 365 yöneticileri ve Power Platform yöneticileri, Power Platform yönetim merkezine erişerek kurumsal ilkeye ortam atayabilir. Kurumsal ilkelere erişmek için genel veya Azure Key Vault yöneticisinin Okuyucu rolünü Dynamics 365 veya Power Platform yöneticisine vermesi gerekir. Yönetici rolü verildikten sonra Dynamics 365 veya Power Platform yöneticileri, Power Platform yönetim merkezinde kuruluş ilkelerini görecektir.

Yalnızca kurumsal ilke için okuyucu rolü verilen Dynamics 365 ve Power Platform yöneticileri ilkeye 'ortam ekleyebilir'. Diğer Dynamics 365 veya PowerPlatfrom yöneticileri kurumsal ilkeyi görüntüleyebilir ancak ilkeye Ortam eklemeye çalıştıklarında hata alırlar.

Önemli

Bu görevi tamamlamak için Kullanıcı Erişimi Yöneticisi veya Sahip gibi Microsoft.Authorization/roleAssignments/write izinlerinizin olması gerekir.

  1. Azure portalında oturum açın.
  2. Dynamics 365 Power Platform yönetici kullanıcısının ObjectID'sini edinin.
    1. Kullanıcılar alanına gidin.
    2. Dynamics 365 veya Power Platform yönetim kullanıcısını açın.
    3. Kullanıcı için genel bakış sayfasının altında, ObjectID'yi kopyalayın.
  3. Kurumsal İlkeler kimliğini alın:
    1. Azure Kaynak Grafiği Gezgini alanına gidin.
    2. Bu sorguyu çalıştırın: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Azure Kaynak Grafı Gezgininden sorguyu çalıştırma
    3. Sonuçlar sayfasının sağına kaydırın ve Ayrıntıları göster bağlantısını seçin.
    4. Ayrıntılar sayfasındaki kimliği kopyalayın.
  4. Azure CLI'yı açın ve aşağıdaki komutu çalıştırarak <objId> nesnesini kullancının ObjectID'si ve <EP Resource Id> öğesini kurumsal ilke kimliği ile değiştirin.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Kuruluş ilkesini Dataverse ortamına bağlama

Önemli

Bu görevi tamamlamak için Power Platform yöneticisi veya Dynamics 365 yöneticisi rolünüzün olması gerekir. Bu görevi tamamlamak üzere kurumsal ilke için Okuyucu rolünüzün olması gerekir.

  1. Dataverse ortam kimliğini edinin.
    1. Power Platform yönetim merkezinde oturum açın.
    2. Ortamlar'ı seçin ve ortamınızı açın.
    3. Ayrıntılar bölümünde Ortam Kimliğini kopyalayın.
    4. Dataverse ortamına bağlantı vermek için bu PowerShell betiğini çalıştırın: ./NewIdentity.ps1
    5. Dataverse ortam kimliğini sağlayın.
    6. ResourceId'yi sağlayın.
      StatusCode = 202 bağlantının başarıyla oluşturulduğunu gösterir.
  2. Power Platform yönetim merkezinde oturum açın.
  3. Ortamları seçin ve daha sonra belirttiğiniz ortamı açın.
  4. Son işlemler alanında, yeni kimliğin bağlantısını doğrulamak için Tam geçmiş'i seçin.

Azure Data Lake Storage 2. Nesil ağ erişimini yapılandırma

Önemli

Bu görevi tamamlamak için Azure Data Lake Storage 2. Nesil Sahip rolünüzün olması gerekir.

  1. Azure portalına gidin.

  2. Azure Synapse Link for Dataverse profilinize bağlı depolama hesabını açın.

  3. Sol gezinti bölmesinde 'ı seçin. Ardından, Güvenlik duvarları ve sanal ağlar sekmesinde, aşağıdaki ayarları seçin:

    1. Seçili sanal ağlar ve IP adreslerinden etkin.
    2. Kaynak örnekleri altında, Bu depolama hesabına erişmek için güvenilen Hizmetler listesinde Azure hizmetlerine izin ver'i seçin

  4. Kaydet'i seçin.

Azure Synapse Workspace ağ erişimini yapılandırma

Önemli

Bu görevi tamamlamak için Azure Synapse yöneticisi rolünüzün olması gerekir.

  1. Azure portalına gidin.
  2. Azure Synapse Link for Dataverse profilinize bağlı Azure Synapse Workspace açın.
  3. Sol gezinti bölmesinde 'ı seçin.
  4. Bu çalışma alanına erişmek için Azure hizmetleri ve kaynaklarına izin ver'i seçin.
  5. Tüm IP aralığı için oluşturulan IP güvenlik duvarı kuralları varsa genel ağ erişimini kısıtlamak için bunları silin. Azure Synapse workspace ağ ayarları
  6. İstemci IP adresine bağlı olarak yeni bir IP güvenlik duvarı kuralı ekleyin.
  7. Bittiğinde Kaydet'i seçin. Daha fazla bilgi: Azure Synapse Analytics IP güvenlik duvarı kuralları

Önemli

Dataverse: Dataverse Sistem Yöneticisi güvenlik rolüne sahip olmanız gerekir. Ayrıca, Azure Synapse Link ile dışarı aktarmak istediğiniz tablolarda Değişiklikleri izle özelliği etkin olmalıdır. Daha fazla bilgi: Gelişmiş seçenekler

Azure Data Lake Storage 2. Nesil: Azure Data Lake Storage 2. Nesil hesabı ile Sahip ve Depolama Blobu Veri Katılımcısı rolü erişimine sahip olmanız gerekir. Depolama hesabınız, ilk kurulum ve delta eşitleme için Hiyerarşik ad alanı'nı etkinleştirmelidir. Depolama hesabı anahtar erişimine izin ver ayarı yalnızca ilk kurulum için gereklidir

Synapse çalışma alanı: Synapse çalışma alanına ve Synapse Stüdyosu'nda Synapse Yöneticisi rolüne sahip olmanız gerekir. Synapse çalışma alanı, Azure Data Lake Storage 2. Nesil hesabınızla aynı bölgede olmalıdır. Depolama hesabının Synapse Studio'da bağlantılı hizmet olarak eklenmesi gerekir. Synapse çalışma alanı oluşturmak için Synapse çalışma alanı oluşturma makalesine gidin.

Bağlantı oluşturduğunuzda Azure Synapse Link for Dataverse, Dataverse ortamı altında mevcut bağlantılı kurumsal ilke ile ilgili ayrıntıları alır ve ardından Azure'a bağlanmak için kimlik gizli anahtarı URL'sini önbelleğe alır.

  1. Power Apps'te oturum açıp ortamınızı seçin.
  2. Sol gezinti bölmesinde Azure Synapse Link seçin ve sonra + Yeni bağlantı'yı seçin. Öğe yan panel bölmesinde yoksa ...Diğer'i ve ardından istediğiniz öğeyi seçin.
  3. Yönetilen Hizmet Kimliği ile Kurumsal İlkeyi Seç'i ve sonra İleri'yi seçin.
  4. Dışarı aktarmak istediğiniz tabloları ekledikten sonra Kaydet'i seçin.

Not

Yönetilen kimliği kullan komutunu Power Apps'te kullanılabilir hale getirmek için kurumsal ilkeyi Dataverse ortamınıza bağlamak üzere yukarıdaki kurulumu tamamlamanız gerekir. Daha fazla bilgi: Kurumsal ilkeyi Dataverse ortamına bağlama

  1. Power Apps'ten (make.powerapps.com) mevcut bir Synapse Link profiline gidin.
  2. Yönetilen kimliği kullan'ı seçin ve ardından onaylayın. Power Apps'te yönetilen kimliği kullan komutu

Sorun giderme

Bağlantı oluşturma sırasında 403 hataları alırsanız:

  • Yönetilen kimlikler, ilk eşitleme sırasında geçici izin vermek için fazladan zaman alır. Biraz bekleyin ve işlemi daha sonra yeniden deneyin.
  • Bağlı depolama alanının aynı ortamdan varolan Dataverse kapsayıcısına (dataverse-environmentName-organizationUniqueName) sahip olmadığından emin olun.
  • Azure Abonelik Kimliği ve Kaynak gurubu adı ile ./GetIdentityEnterprisePolicyforEnvironment.ps1 PowerShell betiğini çalıştırarak bağlantılı kurumsal ilke ve policyArmId öğesini belirleyebilirsiniz.
  • Dataverse ortam kimliği ve policyArmId ile ./RevertIdentity.ps1 PowerShell betiğini çalıştırarak kurumsal ilke bağlantısını kaldırabilirsiniz.
  • Şu PowerShell betiğini çalıştırarak kurumsal ilkeyi kaldırabilirsiniz .\RemoveIdentityEnterprisePolicy.ps1 with policyArmId.

Bilinen sınırlama

Dataverse ortamına aynı anda yalnızca bir kurumsal ilke bağlanabilir. Yönetilen kimliği etkinleştirilmiş birden çok Azure Synapse Link bağlantısı oluşturmanız gerekiyorsa tüm bağlantılı Azure kaynaklarının aynı kaynak grubu altında olduğundan emin olun.

Ayrıca bkz.

Azure Synapse Link for Dataverse nedir?