Udělení oprávnění spravované identitě pracovního prostoru
V tomto článku se dozvíte, jak udělit oprávnění spravované identitě v pracovním prostoru Azure Synapse. Oprávnění zase umožňují přístup k vyhrazeným fondům SQL v pracovním prostoru a účtu úložiště ADLS Gen2 prostřednictvím webu Azure Portal.
Poznámka:
Tato spravovaná identita pracovního prostoru se bude přes zbytek tohoto dokumentu označovat jako spravovaná identita.
Udělení oprávnění spravované identity účtu úložiště ADLS Gen2
K vytvoření pracovního prostoru Azure Synapse se vyžaduje účet úložiště ADLS Gen2. K úspěšnému spuštění fondů Sparku v pracovním prostoru Azure Synapse potřebuje spravovaná identita Azure Synapse roli Přispěvatel dat objektů blob úložiště v tomto účtu úložiště. Orchestrace kanálů v Azure Synapse také přináší výhody této role.
Udělení oprávnění spravované identitě během vytváření pracovního prostoru
Po vytvoření pracovního prostoru Azure Synapse pomocí webu Azure Portal se Azure Synapse pokusí udělit roli Přispěvatel dat objektů blob úložiště spravované identitě. Podrobnosti o účtu úložiště ADLS Gen2 zadáte na kartě Základy .
Zvolte účet úložiště ADLS Gen2 a systém souborů v části Název účtu a Název systému souborů.
Pokud je tvůrcem pracovního prostoru také vlastník účtu úložiště ADLS Gen2, Azure Synapse přiřadí spravované identitě roli Přispěvatel dat objektů blob služby Storage. Pod zadanými podrobnostmi účtu úložiště se zobrazí následující zpráva.
Pokud tvůrce pracovního prostoru není vlastníkem účtu úložiště ADLS Gen2, Azure Synapse nepřiřazuje roli Přispěvatel dat objektů blob služby Storage spravované identitě. Zpráva zobrazená pod podrobnostmi účtu úložiště upozorní tvůrce pracovního prostoru, že nemá dostatečná oprávnění k udělení role Přispěvatel dat objektů blob služby Storage spravované identitě.
Jak uvádí zpráva, nemůžete vytvářet fondy Sparku, pokud není přispěvatel dat objektů blob služby Storage přiřazený ke spravované identitě.
Udělení oprávnění spravované identitě po vytvoření pracovního prostoru
Pokud při vytváření pracovního prostoru nepřiřadíte přispěvatele dat objektů blob služby Storage spravované identitě, pak vlastník účtu úložiště ADLS Gen2 tuto roli přiřadí identitě ručně. Následující kroky vám pomůžou provést ruční přiřazení.
Krok 1: Přechod na účet úložiště ADLS Gen2 na webu Azure Portal
Na webu Azure Portal otevřete účet úložiště ADLS Gen2 a v levém navigačním panelu vyberte Přehled . Roli Přispěvatel dat objektů blob služby Storage budete muset přiřadit jenom na úrovni kontejneru nebo systému souborů. Vyberte kontejnery.
Krok 2: Výběr kontejneru
Spravovaná identita by měla mít přístup k datům kontejneru (systému souborů), který byl poskytnut při vytváření pracovního prostoru. Tento kontejner nebo systém souborů najdete na webu Azure Portal. Otevřete pracovní prostor Azure Synapse na webu Azure Portal a v levém navigačním panelu vyberte kartu Přehled .
Výběrem stejného kontejneru nebo systému souborů udělte spravované identitě roli Přispěvatel dat objektů blob služby Storage.
Krok 3: Otevření řízení přístupu a přidání přiřazení role
Vyberte Řízení přístupu (IAM) .
Kliknutím na Přidat>Přidat přiřazení role otevřete stránku Přidat přiřazení role.
Přiřaďte následující roli. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.
Nastavení Hodnota Role Přispěvatel dat objektů blob úložiště Přiřadit přístup k MANAGEDIDENTITY Členové název spravované identity Poznámka:
Název spravované identity je také název pracovního prostoru.
Výběrem možnosti Uložit přidejte přiřazení role.
Krok 4: Ověření přiřazení role Přispěvatel dat objektů blob úložiště ke spravované identitě
Vyberte Řízení přístupu (IAM) a pak vyberte Přiřazení rolí.
Spravovaná identita by se měla zobrazit v části Přispěvatel dat objektů blob úložiště s přiřazenou rolí Přispěvatel dat v objektech blob služby Storage.
Alternativa k roli Přispěvatel dat v objektech blob služby Storage
Místo udělení role Přispěvatel dat objektů blob služby Storage můžete také udělit podrobnější oprávnění k podmnožině souborů.
Všichni uživatelé, kteří potřebují přístup k některým datům v tomto kontejneru, musí mít také oprávnění EXECUTE pro všechny nadřazené složky až do kořenového adresáře (kontejneru).
Přečtěte si další informace o nastavení seznamů ACL v Azure Data Lake Storage Gen2.
Poznámka:
Oprávnění ke spuštění na úrovni kontejneru musí být nastaveno v rámci Data Lake Storage Gen2. Oprávnění ke složce je možné nastavit v rámci Azure Synapse.
Pokud chcete dotazovat data2.csv v tomto příkladu, potřebujete následující oprávnění:
- Oprávnění ke spuštění v kontejneru
- Oprávnění ke spuštění složky 1
- Oprávnění ke čtení u data2.csv
Přihlaste se k Azure Synapse pomocí uživatele správce, který má úplná oprávnění k datům, ke kterým chcete získat přístup.
V podokně dat klikněte pravým tlačítkem myši na soubor a vyberte Spravovat přístup.
Vyberte alespoň oprávnění ke čtení . Zadejte hlavní název uživatele (UPN) nebo ID objektu, user@contoso.comnapříklad . Vyberte Přidat.
Udělte tomuto uživateli oprávnění ke čtení.
Poznámka:
Pro uživatele typu host je potřeba tento krok provést přímo se službou Azure Data Lake, protože ho nejde provést přímo přes Azure Synapse.
Další kroky
Další informace o spravované identitě pracovního prostoru