Azure Synapse Analytics 工作區的資料外流保護
本文將說明 Azure Synapse Analytics 中的數據外洩保護
保護 Synapse 工作區的數據輸出
Azure Synapse Analytics 工作區支援為工作區啟用資料外流保護。 使用外流保護,您可以防範惡意的測試人員存取您的 Azure 資源,並將敏感性資料外流到組織範圍以外的位置。 在工作區建立時,您可以選擇使用受控虛擬網路來設定工作區,以及針對資料外流設定額外的保護。 使用受控虛擬網路建立工作區時,數據整合和Spark資源會部署在受控虛擬網路中。 工作區的專用 SQL 集區和無伺服器 SQL 集區具有多租使用者功能,因此必須存在於受控虛擬網路外部。 針對具有數據外洩保護的工作區,受控虛擬網路內的資源一律會透過 受控私人端點進行通訊。 啟用數據外泄保護時,Synapse SQL 資源可以使用 OPENROWSETS 或 EXTERNAL TABLE 連線並查詢任何已授權的 Azure 儲存體,因為輸入流量不受數據外泄保護控制。 不過,透過 CREATE EXTERNAL TABLE AS SELECT 的輸出流量將由資料外泄保護控制。
注意
建立工作區之後,您無法變更受控虛擬網路和數據外泄保護的工作區設定。
管理 Synapse 工作區數據輸出至已核准的目標
啟用數據外泄保護建立工作區之後,工作區資源的擁有者可以管理工作區核准的 Microsoft Entra 租使用者清單。 具有 工作區適當許可權 的使用者可以使用 Synapse Studio,對工作區核准的 Microsoft Entra 租使用者中的資源建立受控私人端點連線要求。 如果用戶嘗試建立與未核准租用戶中資源的私人端點連線,將會封鎖受控私人端點建立。
已啟用資料外流保護的範例工作區
讓我們使用範例來說明 Synapse 工作區的數據外洩保護。 Contoso 在租使用者 A 和租使用者 B 中有 Azure 資源,而且需要這些資源安全地連線。 Synapse 工作區已在租使用者 A 中建立,且租使用者 B 已新增為已核准的 Microsoft Entra 租使用者。 此圖顯示租使用者 A 和租使用者 B 中 Azure 儲存體 帳戶的私人端點連線,這些帳戶已由 儲存體 帳戶擁有者核准。 此圖表也會顯示封鎖的私人端點建立。 此私人端點的建立遭到封鎖,因為它以 Fabrikam Microsoft Entra 租使用者中的 Azure 儲存體 帳戶為目標,這不是 Contoso 工作區的已核准 Microsoft Entra 租使用者。
重要
工作區租使用者以外的租使用者中的資源不得有封鎖防火牆規則,SQL 集區才能連線到這些規則。 工作區受控虛擬網路內的資源 (例如 Spark 叢集),可以透過受控私人連結連線到防火牆保護的資源。
後續步驟
瞭解如何 建立已啟用數據外洩保護的工作區
深入瞭解受控工作區 虛擬網絡
深入瞭解 受控私人端點