Luotetun työtilan käyttöoikeus

Fabricin avulla voit käyttää palomuuria käyttäviä Azure Data Lake Storage (ADLS) Gen2 -tilejä turvallisesti. Fabric-työtilat, joilla on työtilan käyttäjätiedot, voivat turvallisesti käyttää ADLS Gen2 -tilejä, joiden julkisen verkon käyttö on otettu käyttöön valituista näennäisverkoista ja IP-osoitteista. Voit rajoittaa ADLS Gen2-käyttöoikeuden tiettyihin Fabric-työtiloihin.

Fabric-työtilat, jotka käyttävät tallennustiliä, jolla on luotetun työtilan käyttöoikeus, tarvitsevat asianmukaisen valtuutuksen pyynnölle. Valtuutusta tuetaan Microsoft Entra -tunnistetiedoilla organisaation tilejä tai palvelun päänimiä varten. Lisätietoja resurssiesiintymäsäännöistä on artikkelissa Käyttöoikeuden myöntäminen Azure-resurssiesiintymistä.

Jos haluat rajoittaa ja suojata palomuurilla käyttävien tallennustilien käyttöä tietyistä Fabric-työtiloista, voit määrittää resurssiesiintymäsäännön, joka sallii käytön tietyistä Fabric-työtiloista.

Huomautus

Luotetun työtilan käyttöoikeus on yleisesti saatavilla, mutta sitä voi käyttää vain F-varastointiyksikkö-kapasiteeteissa. Lisätietoja Fabric-tilauksen ostamisesta on artikkelissa Microsoft Fabric -tilauksen ostaminen. Luotetun työtilan käyttöä ei tueta kokeiluversion kapasiteeteissa.

Tässä artikkelissa opit:

  • Määritä luotetun työtilan käyttöoikeus ADLS Gen2 -tallennustilillä.

  • Luo Fabric Lakehousessa OneLake-pikakuvake , joka muodostaa yhteyden luotetun työtilan käyttöoikeudella käytössä olevaan ADLS Gen2 -tallennustiliin.

  • Luo tietoputki , jotta voit muodostaa yhteyden suoraan palomuuria käyttävään ADLS Gen2 -tiliin, jonka luotetun työtilan käyttö on otettu käyttöön.

  • Käytä T-SQL COPY -lauseketta tietojen sisäänottoon varastoon palomuuria käyttävän ADLS Gen2 -tilin kautta, jolla on käytössä luotetun työtilan käyttöoikeus.

Luotetun työtilan käyttöoikeuksien määrittäminen ADLS Gen2:ssa

Resurssiesiintymäsääntö

Voit määrittää tietyt Fabric-työtilat käyttämään tallennustiliäsi työtilan käyttäjätietojen perusteella. Voit luoda resurssiesiintymäsäännön ottamalla käyttöön ARM-mallin resurssiesiintymäsäännön avulla. Resurssiesiintymäsäännön luominen:

  1. Kirjaudu sisään Azure-portaali ja valitse Mukautettu käyttöönotto.

  2. Valitse Muodosta oma malli editorissa. Arm-mallimalli, joka luo resurssiesiintymäsäännön, on artikkelissa ARM-mallimalli.

  3. Luo resurssiesiintymäsääntö editorissa. Kun olet valmis, valitse Tarkista + Luo.

  4. Määritä avautuvassa Perustiedot-välilehdessä vaaditut projektin ja esiintymän tiedot. Kun olet valmis, valitse Tarkista + Luo.

  5. Tarkista yhteenveto näkyviin tulevasta Tarkista + luo -välilehdestä ja valitse sitten Luo. Sääntö lähetetään käyttöönottoa varten.

  6. Kun käyttöönotto on valmis, voit siirtyä resurssiin.

Huomautus

  • Fabric-työtilojen resurssiesiintymäsäännöt voidaan luoda vain ARM-mallien kautta. Luontia Azure-portaali kautta ei tueta.
  • SubscriptionId "00000000-0000-0000-0000-00000000000" on käytettävä Fabric-työtilan resourceId-tunnuksen kanssa.
  • Saat Fabric-työtilan työtilan tunnuksen sen URL-osoitteen kautta.

Näyttökuva, joka näyttää määritetyn resurssiesiintymän säännön.

Tässä on esimerkki resurssiesiintymäsäännöstä, joka voidaan luoda ARM-mallin avulla. Täydellinen esimerkki on artikkelissa ARM-mallimalli.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Luotetun palvelun poikkeus

Jos valitset luotetun palvelun poikkeuksen ADLS Gen2 -tilille, jonka julkinen verkkoyhteys on otettu käyttöön valituista näennäisverkoista ja IP-osoitteista, Fabric-työtilat, joilla on työtilan käyttäjätiedot, voivat käyttää tallennustiliä. Kun luotetun palvelun poikkeus -valintaruutu on valittuna, vuokraajan Fabric-kapasiteettien kaikki työtilat, joilla on työtilan käyttäjätiedot, voivat käyttää tallennustilillesi tallennettuja tietoja.

Tätä määritystä ei suositella, ja tuki saattaa lakkautua tulevaisuudessa. Suosittelemme, että käytät resurssiesiintymäsääntöjä käyttöoikeuden myöntämiseksi tietyille resursseille.

Kuka voi määrittää tallennustilit luotettua palvelua varten?

Tallennustilin osallistuja (Azure RBAC -rooli) voi määrittää resurssiesiintymäsääntöjä tai luotetun palvelun poikkeuksen.

Luotetun työtilan käyttöoikeuden käyttäminen Fabricissa

Tällä hetkellä on kolme tapaa käyttää luotetun työtilan käyttöoikeutta tietoihisi Fabricista suojatulla tavalla:

Seuraavissa osioissa näytetään, miten näitä menetelmiä käytetään.

OneLake-pikakuvakkeen luominen tallennustiliin luotetun työtilan käyttöoikeudella

Kun työtilan käyttäjätiedot on määritetty Fabricissa ja luotetun työtilan käyttö on otettu käyttöön ADLS Gen2 -tallennustililläsi, voit luoda OneLake-pikakuvakkeita tietoihisi Fabricista. Kun luot uuden ADLS-pikakuvakkeen Fabric Lakehousessa, voit aloittaa tietojesi analysoinnin Sparkillä, SQL:llä ja Power BI:llä.

Edellytykset

  • Fabric-kapasiteettiin liittyvä Fabric-työtila. Katso Työtilan käyttäjätiedot.
  • Luo Fabric-työtilaan liittyvät työtilan käyttäjätiedot.
  • Pikakuvakkeessa todennuslajina käytetyllä käyttäjätilillä tai palvelun päänimellä tulisi olla Azure RBAC -roolit tallennustilillä. Päänimellä on oltava säilön Blob-tietojen osallistujan, blob-tietojen tallennustilan omistajan tai blob-tietojen lukijan rooli tallennustilin vaikutusalueella tai säilön blob-poisto -rooli tallennustilin laajuudessa säilön Blob-tietojen lukija -roolin lisäksi.
  • Määritä tallennustilin resurssiesiintymäsääntö .

Huomautus

  • Edellytykset täyttävän työtilan olemassa olevat pikakuvakkeet alkavat automaattisesti tukea luotettua palvelun käyttöä.
  • Sinun on käytettävä DFS:n URL-tunnusta tallennustilille. Esimerkki: https://StorageAccountName.dfs.core.windows.net

Vaiheet

  1. Aloita luomalla uusi pikakuvake Lakehouseen.

    Näyttökuva Luo uusi pikakuvake -valikkokohteesta.

    Uusi pikakuvake -ohjattu toiminto avautuu.

  2. Valitse Kohdasta Ulkoiset lähteet Azure Data Lake Storage Gen2.

    Näyttökuva, jossa näkyy Azure Data Lake Storage Gen2:n valitseminen ulkoiseksi lähteeksi.

  3. Anna sen tallennustilin URL-osoite, jolle on määritetty luotetun työtilan käyttöoikeus, ja valitse yhteyden nimi. Valitse todennuslajiksi Organisaatiotili tai Palvelun päänimi.

    Näyttökuva, jossa näkyy URL-osoite ohjatussa pikatoiminnossa.

    Kun olet valmis, valitse Seuraava.

  4. Anna pikakuvakkeen nimi ja alipolku.

    Näyttökuva, jossa näkyy alipolun määritys ohjatussa pikatoiminnossa.

    Kun olet valmis, valitse Luo.

  5. Lakehouse-pikakuvake on luotu, ja pikakuvakkeen tallennustietojen esikatselun pitäisi olla mahdollista.

    Näyttökuva, jossa näkyy tallennustietojen esikatselu Lakehouse-pikakuvakkeen kautta.

OneLake-pikakuvakkeen käyttäminen tallennustiliin, jolla on luotetun työtilan käyttöoikeus Fabric-kohteissa

OneCopy in Fabric -toiminnolla voit käyttää OneLake-pikakuvakkeitasi luotetulla käyttöoikeudella kaikista Fabric-kuormituksista.

  • Spark: Sparkin avulla voit käyttää tietoja OneLake-pikakuvakkeista. Kun pikanäppäimiä käytetään Sparkissä, ne näkyvät kansioina OneLakessa. Sinun tarvitsee vain viitata kansion nimeen, jotta voit käyttää tietoja. Voit käyttää OneLake-pikakuvaketta tallennustileihin, joihin on luotetun työtilan käyttöoikeus Spark-muistikirjoissa.

  • SQL Analytics -päätepiste: Lakehousen "Taulukot"-osiossa luodut pikakuvakkeet ovat myös käytettävissä SQL-analytiikan päätepisteessä. Voit avata SQL-analytiikan päätepisteen ja tehdä tietokyselyjä samalla tavalla kuin missä tahansa taulukossa.

  • Putket: Tietoputkilla voidaan käyttää hallittuja pikanäppäimiä tallennustileihin, joihin on luotettu työtilan käyttöoikeus. Tietoputkien avulla voidaan lukea tallennustilejä tai kirjoittaa niitä OneLake-pikakuvakkeiden kautta.

  • Tietovuot v2: Tietovoiden Gen2:n avulla voidaan käyttää hallittuja pikanäppäimiä tallennustileihin, joihin pääsee luotetulla työtilalla. Tietovuot Gen2 voivat lukea tallennustilejä tai kirjoittaa tallennustileille OneLake-pikakuvakkeiden kautta.

  • Semanttiset mallit ja raportit: Lakehousen SQL-analytiikan päätepisteeseen liittyvä oletussmanttinen malli voi lukea hallittuja pikanäppäimiä tallennustileihin, joihin on luotetun työtilan käyttöoikeus. Jos haluat tarkastella semanttisen oletusmallin hallittuja taulukoita, siirry SQL-analytiikan päätepistekohteeseen, valitse Raportointi ja valitse Päivitä semanttinen malli automaattisesti.

    Voit myös luoda uusia semanttisia malleja, jotka viittaavat taulukon pikakuvakkeisiin tallennustileihin, joihin työtilalla on luotettu käyttöoikeus. Siirry SQL-analytiikan päätepisteeseen, valitse Raportointi ja valitse Uusi semanttinen malli.

    Voit luoda raportteja semanttisten oletusmallien ja mukautettujen semanttisten mallien lisäksi.

  • KQL-tietokanta: Voit myös luoda OneLake-pikakuvakkeita ADLS Gen2:een KQL-tietokannassa. Vaiheet hallitun pikakuvakkeen luomiseksi luotetun työtilan käyttöoikeudella pysyvät samoina.

Luo tietoputki tallennustilille luotetun työtilan käyttöoikeudella

Kun työtilan käyttäjätiedot on määritetty Fabricissa ja luotettu käyttöoikeus on käytössä ADLS Gen2 -tallennustililläsi, voit luoda tietoputkia, joiden avulla voit käyttää tietojasi Fabricista. Voit luoda uuden tietoputken tietojen kopioimiseksi Fabric Lakehouseen ja aloittaa sitten tietojesi analysoinnin Sparkillä, SQL:llä ja Power BI:llä.

Edellytykset

  • Fabric-kapasiteettiin liittyvä Fabric-työtila. Katso Työtilan käyttäjätiedot.
  • Luo Fabric-työtilaan liittyvät työtilan käyttäjätiedot.
  • Käyttäjätilillä tai palvelun päänimellä, jota käytetään yhteyden luomiseen, on oltava Azure RBAC -rooleja tallennustilillä. Päänimellä on oltava blob-tietojen tallennustilan osallistujan, blob-tietojen tallennustilan omistajan tai blob-tietojen lukijan rooli tallennustilin vaikutusalueella.
  • Määritä tallennustilin resurssiesiintymäsääntö .

Vaiheet

  1. Aloita valitsemalla Nouda tiedot lakehousessa.

  2. Valitse Uusi tietoputki. Anna putkelle nimi ja valitse sitten Luo.

    Näyttökuva, jossa näkyy Uusi putki -valintaikkuna.

  3. Valitse tietolähteeksi Azure Data Lake Gen2 .

    Näyttökuva, jossa näkyy ADLS Gen2 -valinnan valitseminen.

  4. Anna sen tallennustilin URL-osoite, jolle on määritetty luotetun työtilan käyttöoikeus, ja valitse yhteyden nimi. Valitse todennuslajiksi Organisaatiotili tai Palvelun päänimi.

    Näyttökuva, joka näyttää tietolähteen yhteysasetukset.

    Kun olet valmis, valitse Seuraava.

  5. Valitse lakehouse-järjestelmään kopioitava tiedosto.

    Näyttökuva, jossa näkyy tiedoston valinta.

    Kun olet valmis, valitse Seuraava.

  6. Valitse Tarkista + tallenna -näytössä Aloita tiedonsiirto heti. Kun olet valmis, valitse Tallenna + Suorita.

    Näyttökuva, joka näyttää tarkistuksen ja tallennusnäytön.

  7. Kun putken tilaksi muuttuu Jonotettu onnistui, siirry Lakehouse-tallennustilaan ja tarkista, että tietotaulukot on luotu.

T-SQL COPY -lausekkeen avulla voit käyttää tietoja varastoon

Kun työtilan käyttäjätiedot on määritetty Fabricissa ja luotettu käyttöoikeus on käytössä ADLS Gen2 -tallennustilissäsi, voit käyttää COPY T-SQL -lauseketta tietojen sisäänottoon Fabric-varastoon. Kun tiedot on tuotu varastoon, voit aloittaa tietojesi analysoinnin SQL:llä ja Power BI:llä.

Rajoitukset ja huomioitavat seikat

  • Luotetun työtilan käyttö on tuettua minkä tahansa Fabric F -varastointiyksikön kapasiteetin työtiloissa.
  • Voit käyttää luotetun työtilan käyttöoikeutta vain OneLake-pikakuvakkeissa, tietoputkissa ja T-SQL COPY -lausekkeessa. Jos haluat käyttää Fabric Sparkin tallennustilejä turvallisesti, katso Fabricin hallitut yksityiset päätepisteet.
  • Jos työtila, jolla on työtilan käyttäjätiedot, siirretään muuhun kuin Fabric-kapasiteettiin tai muuhun kuin F SKU Fabric -kapasiteettiin, luotetun työtilan käyttö lakkaa toimimasta tunnin kuluttua.
  • Ennen 10.10.2023 luodut aiemmin luodut pikanäppäimet eivät tue luotetun työtilan käyttöoikeutta.
  • Yhteyksiä luotetun työtilan käyttöön ei voi luoda eikä muokata yhteyksien ja yhdyskäytäviä -kohdassa.
  • Palomuuria käyttäviin tallennustileihin yhteyksien tila on Offline Yhteyksien ja yhdyskäytäviä hallinnassa.
  • Jos käytät uudelleen yhteyksiä, jotka tukevat luotetun työtilan käyttöä muissa Kuin pikakuvakkeissa ja jaksoissa tai muissa työtiloissa, ne eivät ehkä toimi.
  • Vain organisaation tiliä tai palvelun päänimeä on käytettävä todentamiseen tallennustileille luotetun työtilan käyttöä varten.
  • Putket eivät voi kirjoittaa OneLake-taulukon pikakuvakkeisiin tallennustileillä, joihin on luotetun työtilan käyttöoikeus. Tämä on tilapäinen rajoitus.
  • Voit määrittää enintään 200 resurssiesiintymäsääntöä. Lisätietoja on artikkelissa Azure-tilauksen rajoitukset ja kiintiöt – Azure Resource Manager.
  • Luotetun työtilan käyttö toimii vain, kun julkinen käyttöoikeus on käytössä valituista näennäisverkoista ja IP-osoitteista.
  • Fabric-työtilojen resurssiesiintymäsäännöt on luotava ARM-mallien kautta. Azure-portaali käyttöliittymän kautta luotuja resurssiesiintymäsääntöjä ei tueta.
  • Edellytykset täyttävässä työtilassa olevat olemassa olevat pikakuvakkeet alkavat automaattisesti tukea luotettua palvelun käyttöä.
  • Jos organisaatiollasi on Entran ehdollinen käyttöoikeuskäytäntö kuormituksen käyttäjätiteeteille, jotka sisältävät kaikki palvelun päänimet, luotetun työtilan käyttö ei toimi. Tällaisissa esiintymissä sinun on suljettava tietyt Fabric-työtilan käyttäjätiedot pois kuormitusidentiteettien ehdollisten käyttöoikeuksien käytännöstä.
  • Luotetun työtilan käyttöä ei tueta, jos pikakuvakkeen luomiseen käytetään palvelun päänimeä.
  • Luotetun työtilan käyttö ei ole yhteensopiva vuokraajienvälisten pyyntöjen kanssa.

Luotetun työtilan käyttöongelmien vianmääritys

Jos lakehouse-järjestelmän pikakuvake, joka kohdistuu palomuurilla suojattuun ADLS Gen2 -tallennustiliin, ei ole mahdollista, se voi johtua siitä, että Lakehouse on jaettu käyttäjälle, jolla ei ole järjestelmänvalvojan, jäsenen tai osallistujan roolia työtilassa, jossa Lakehouse sijaitsee. Tämä on tunnettu ongelma. Korjauskeino on olla jakamatta Lakehousea käyttäjille, joilla ei ole järjestelmänvalvojan, jäsenen tai osallistujan roolia työtilassa.

ARM-mallimalli

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}