信任的工作區存取權（預覽）

發行項
04/12/2024

Fabric 可讓您以安全的方式存取已啟用防火牆的 Azure Data Lake Gen 2 帳戶。具有工作區身分識別的網狀架構工作區可以安全地存取已從選取的虛擬網路和IP位址啟用的公用網路存取權的 Azure Data Lake Gen 2 帳戶。您可以限制 ADLS 第 2 代對特定 Fabric 工作區的存取。

存取具有受信任工作區存取權之記憶體帳戶的網狀架構工作區需要要求的適當授權。組織帳戶或服務主體的 Microsoft Entra 認證支持授權。若要深入瞭解資源實例規則，請參閱授與 Azure 資源實例的存取權。

若要限制和保護從特定 Fabric 工作區存取已啟用防火牆的記憶體帳戶，您可以設定資源實例規則，以允許從特定網狀架構工作區存取。

注意

受信任的工作區存取權目前為公開預覽狀態。網狀架構工作區身分識別只能在與網狀架構容量（F64 或更新版本）相關聯的工作區中建立。如需購買 Fabric 訂閱的相關信息，請參閱購買 Microsoft Fabric 訂閱。

本文章說明如何：

在 Azure Data Lake Gen 2 記憶體帳戶中設定受信任的工作區存取權。
在 Fabric Lakehouse 中建立 OneLake 快捷方式，以連線到已啟用受信任工作區存取的 Azure Data Lake Gen 2 儲存器帳戶。
建立數據管線，以直接連線到已啟用防火牆的 Azure Data Lake Gen 2 帳戶，且已啟用信任工作區存取權。

在ADLS Gen2中設定受信任的工作區存取權

資源實例規則

您可以設定特定的 Fabric 工作區，以根據其工作區身分識別來存取記憶體帳戶。您可以使用資源實例規則來部署 ARM 範本，以建立資源實例規則。若要建立資源實例規則：

登入 Azure 入口網站，然後移至 [自定義部署]。
在 編輯器中選擇 [建置您自己的範本]。本文件結尾會提供建立資源實例規則的範例 ARM 範本。
在編輯器中建立資源實例規則。完成後，選擇 [ 檢閱 + 建立]。
在出現的 [ 基本] 索引 標籤上，指定必要的專案和實例詳細數據。完成後，選擇 [ 檢閱 + 建立]。
在出現的 [ 檢閱 + 建立] 索引標籤上，檢閱摘要，然後選取 [ 建立]。系統會提交規則以進行部署。
部署完成時，您將能夠前往資源。

注意

網狀架構工作區的資源實例規則只能透過ARM範本建立。不支援透過 Azure 入口網站建立。
subscriptionId “00000000-0000-0000-0000-00000000000000” 必須用於 Fabric 工作區 resourceId。
您可以透過其網址列 URL 取得 Fabric 工作區的工作區識別碼。

以下是可透過 ARM 範本建立的資源實例規則範例：

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624”
       }
]

信任的服務例外狀況

如果您針對已從選取的虛擬網路和IP位址啟用公用網路存取的 Azure Data Lake Gen 2 帳戶選取受信任的服務例外狀況，則具有工作區身分識別的網狀架構工作區將能夠存取記憶體帳戶。選取 [受信任的服務例外狀況] 複選框時，租使用者 Fabric 容量中具有工作區身分識別的任何工作區都可以存取記憶體帳戶中儲存的數據。

不建議使用此設定，而且未來可能會停止支援。建議您使用資源執行個體規則來授與特定資源的存取權。

神秘可以設定信任服務存取的儲存體帳戶嗎？

記憶體帳戶上的參與者（Azure RBAC 角色）可以設定資源實例規則或受信任的服務例外狀況。

如何在 Fabric 中使用受信任的工作區存取

目前有兩種方式可以使用受信任的工作區存取權，以安全的方式從 Fabric 存取您的數據：

您可以在 Fabric Lakehouse 中建立新的 ADLS 快捷方式，以開始使用 Spark、SQL 和 Power BI 分析您的數據。
您可以建立數據管線，利用受信任的工作區存取權直接存取已啟用防火牆的 Azure Data Lake Gen 2 帳戶。

下列各節說明如何使用這兩種方法。

建立具有受信任工作區存取權之記憶體帳戶的 OneLake 快捷方式

在 Fabric 中設定工作區身分識別，並在 ADLS Gen2 儲存器帳戶中啟用信任的工作區存取權後，您可以建立 OneLake 快捷方式，以從 Fabric 存取您的數據。您只要在 Fabric Lakehouse 中建立新的 ADLS 快捷方式，即可開始使用 Spark、SQL 和 Power BI 分析數據。

必要條件

與 Fabric 容量相關聯的 Fabric 工作區。請參閱工作區身分識別。
建立與 Fabric 工作區相關聯的工作區身分識別。
用來建立快捷方式的用戶帳戶或服務主體應該在記憶體帳戶上具有 Azure RBAC 角色。主體必須具有儲存體 Blob 數據參與者、儲存體 Blob 數據擁有者，或儲存體記憶體帳戶範圍中的 Blob 數據讀取者角色，或儲存體 Blob 委派器角色，以及容器範圍儲存體 Blob 數據讀取器角色。
設定記憶體帳戶的資源實例規則。

注意

符合必要條件的工作區中預先存在快捷方式會自動開始支援受信任的服務存取。

步驟

首先，在 Lakehouse 中建立新的快捷方式。

[新增快捷方式精靈] 隨即開啟。
在 [外部來源] 下，選取 [Azure Data Lake 儲存體 Gen 2]。
提供已設定受信任工作區存取權之記憶體帳戶的 URL，然後選擇連線的名稱。針對 [驗證種類]，選擇 [ 組織帳戶] 或服務主體。

完成後，請選取 [ 下一步]。
提供快捷方式名稱和子路徑。

完成後，請選取 [建立]。
Lakehouse 快捷方式已建立，您應該能夠在快捷方式中預覽記憶體數據。

在 Fabric 專案中，使用具有受信任工作區存取權的記憶體帳戶 OneLake 快捷方式

使用 Fabric 中的 OneCopy，您可以從所有網狀架構工作負載存取具有受信任存取權的 OneLake 快捷方式。

Spark：您可以使用 Spark 從 OneLake 快捷方式存取數據。在Spark中使用快捷方式時，它們會顯示為 OneLake 中的資料夾。您只需要參考資料夾名稱即可存取資料。您可以使用 OneLake 快捷方式，在 Spark 筆記本中使用具有受信任工作區存取權的記憶體帳戶。
SQL 端點：您也可以在 SQL 端點中使用在 Lakehouse 的 [數據表] 區段中建立的快捷方式。您可以開啟 SQL 端點並查詢數據，就像任何其他數據表一樣。
管線：數據管線可以存取具有受信任工作區存取權之記憶體帳戶的受控快捷方式。數據管線可用來透過 OneLake 快捷方式讀取或寫入記憶體帳戶。
數據流 v2：數據流 Gen2 可用來存取具有受信任工作區存取權之記憶體帳戶的受控快捷方式。數據流 Gen2 可以透過 OneLake 快捷方式讀取或寫入記憶體帳戶。
語意模型和報表：與 Lakehouse SQL 端點相關聯的預設語意模型可以讀取具有受信任工作區存取權之記憶體帳戶的受控快捷方式。若要查看預設語意模型中的受控數據表，請移至 SQL 端點，選取 [報告]，然後選擇 [ 自動更新語意模型]。

您也可以建立新的語意模型，以參考具有受信任工作區存取權之記憶體帳戶的數據表快捷方式。移至 SQL 端點，選取 [報告 ]，然後選擇 [ 新增語意模型]。

您可以在預設語意模型和自定義語意模型之上建立報表。
KQL 資料庫：您也可以在 KQL 資料庫中建立 Azure Data Lake 儲存體 Gen 2 的 OneLake 快捷方式。建立具有受信任工作區存取權的受控快捷方式的步驟保持不變。

使用受信任的工作區存取權，建立記憶體帳戶的數據管線

在 Fabric 中設定工作區身分識別，並在 ADLS Gen2 記憶體帳戶中啟用受信任的存取權後，您可以建立資料管線以從 Fabric 存取您的數據。您可以建立新的數據管線，將數據複製到 Fabric Lakehouse，然後您就可以開始使用 Spark、SQL 和 Power BI 分析數據。

必要條件

與 Fabric 容量相關聯的 Fabric 工作區。請參閱工作區身分識別。
建立與 Fabric 工作區相關聯的工作區身分識別。
用來建立連線的用戶帳戶或服務主體應該在記憶體帳戶上具有 Azure RBAC 角色。主體必須在記憶體帳戶範圍中具有儲存體 Blob 數據參與者、儲存體 Blob 數據擁有者，或儲存體 Blob 數據讀取者角色。
設定記憶體帳戶的資源實例規則。

步驟

從選取 Lakehouse 中的 [取得數據 ] 開始。
選取 [ 新增數據管線]。提供管線的名稱，然後選取 [ 建立]。
選擇 [Azure Data Lake Gen 2 ] 作為數據源。
提供已設定受信任工作區存取權之記憶體帳戶的 URL，然後選擇連線的名稱。針對 [ 驗證種類]，選擇 [ 組織帳戶 ] 或服務主體。

完成後，請選取 [ 下一步]。
選取您需要複製到 Lakehouse 的檔案。

完成後，請選取 [ 下一步]。
在 [ 檢閱 + 儲存 ] 畫面上，選取 [立即啟動數據傳輸]。完成後，請選取 [ 儲存 + 執行]。
當管線狀態從 [已排入佇列 ] 變更為 [成功] 時，請移至 Lakehouse，並確認已建立數據表。

限制和考慮

只有網狀架構容量（F64 或更新版本）中的工作區才支援受信任的工作區存取權。
您只能在 OneLake 快捷方式和資料管線中使用受信任的工作區存取權。若要從 Fabric Spark 安全地存取記憶體帳戶，請參閱 Fabric 的受控私人端點。
如果具有工作區身分識別的工作區已移轉至低於 F64 的非 Fabric 容量或 Fabric 容量，信任的工作區存取將會在一小時後停止運作。
在 2023 年 10 月 10 日之前建立的預先存在快捷方式不支援受信任的工作區存取。
無法建立或修改受信任工作區存取的連線管理連線和閘道。
如果您重複使用支援信任工作區存取的連線，這些連接在快捷方式和管線以外的網狀架構專案，或在其他工作區中，它們可能無法運作。
只有 組織帳戶 或服務主體才能用於對記憶體帳戶進行驗證，才能存取受信任的工作區。
管線無法寫入具有受信任工作區存取權之記憶體帳戶上的 OneLake 數據表快捷方式。這是暫時性限制。
最多可以設定 200 個資源實例規則。如需詳細資訊，請參閱 Azure 訂用帳戶限制和配額 - Azure Resource Manager。
受信任的工作區存取僅適用於從選取的虛擬網路和IP位址啟用公用存取時。
網狀架構工作區的資源實例規則必須透過ARM範本建立。不支援透過 Azure 入口網站 UI 建立的資源實例規則。
符合必要條件的工作區中預先存在的快捷方式會自動開始支援受信任的服務存取。

ARM 範例

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

信任的工作區存取權（預覽）