Accès à l’espace de travail approuvé

Fabric vous permet d'accéder de manière sécurisée à des comptes Azure Data Lake Storage (ADLS) Gen2 dotés d'un pare-feu. Les espaces de travail Fabric qui ont une identité d’espace de travail peuvent accéder en toute sécurité aux comptes ADLS Gen2 avec un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés. Vous pouvez limiter l’accès ADLS Gen2 à des espaces de travail Fabric spécifiques.

Les espaces de travail Fabric qui accèdent à un compte de stockage disposant d’un accès d’espace de travail approuvé ont besoin d’une autorisation appropriée pour la demande. L’autorisation est prise en charge avec les informations d’identification Microsoft Entra pour les comptes d’organisation ou les principaux de service. Pour en savoir plus sur les règles d’instance de ressource, consultez Accorder l’accès à partir d’instances de ressources Azure.

Pour limiter et protéger l’accès aux comptes de stockage avec pare-feu à partir de certains espaces de travail Fabric, vous pouvez configurer la règle d’instance de ressource pour autoriser l’accès à partir d’espaces de travail Fabric spécifiques.

Remarque

L'accès à l'espace de travail de confiance est généralement disponible, mais il ne peut être utilisé que dans le cadre de l'UGS. Pour plus d’informations sur l’achat d’un abonnement Fabric, consultez Acheter un abonnement Microsoft Fabric. L’accès aux espaces de travail approuvés n’est pas pris en charge dans les capacités d’évaluation gratuite.

Cet article vous montre comment :

  • Configurez l’accès à l’espace de travail approuvé dans un compte de stockage ADLS Gen2.

  • Créez un raccourci OneLake dans un Lakehouse Fabric qui se connecte à un compte de stockage ADLS Gen2 avec accès à l'espace de travail sécurisé.

  • Créez un pipeline de données pour vous connecter directement à un compte ADLS Gen2 doté d'un pare-feu et dont l'accès à l'espace de travail sécurisé est activé.

  • Utilisez l’instruction T-SQL COPY pour ingérer des données dans votre entrepôt à partir d’un compte ADLS Gen2 compatible avec le pare-feu pour lequel l’accès à l’espace de travail approuvé est activé.

Configurer l’accès à l’espace de travail approuvé dans ADLS Gen2

Règle d’instance de ressource

Vous pouvez configurer des espaces de travail Fabric spécifiques pour accéder à votre compte de stockage en fonction de leur identité d’espace de travail. Vous pouvez créer une règle d’instance de ressource en déployant un modèle ARM avec une règle d’instance de ressource. Pour créer une règle d’instance de ressource :

  1. Connectez-vous au Portail Azure et accédez à Déploiement personnalisé.

  2. Choisissez Créer votre propre modèle dans l’éditeur. Pour obtenir un exemple de modèle ARM qui crée une règle d’instance de ressource, consultez l’exemple de modèle ARM.

  3. Créez la règle d’instance de ressource dans l’éditeur. Lorsque vous êtes prêt, choisissez Vérifier + créer.

  4. Sous l’onglet Informations de base qui s’affiche, spécifiez les détails du projet et de l’instance requis. Lorsque vous êtes prêt, choisissez Vérifier + créer.

  5. Sous l’onglet Vérifier + créer, passez en revue le résumé, puis sélectionnez Créer. La règle sera envoyée pour le déploiement.

  6. Une fois le déploiement terminé, vous pourrez accéder à la ressource.

Remarque

  • Les règles d’instance de ressource pour les espaces de travail Fabric peuvent uniquement être créées via des modèles ARM. La création via le Portail Azure n’est pas prise en charge.
  • Le subscriptionId « 00000000-0000-0000-0000-000000000000 » doit être utilisé pour le resourceId de l’espace de travail Fabric.
  • Vous pouvez obtenir l’id d’espace de travail d’un espace de travail Fabric via son URL de barre d'adresse.

Capture d’écran montrant la règle d’instance de ressource configurée.

Voici un exemple de règle d’instance de ressource qui peut être créée via un modèle ARM. Pour obtenir un exemple complet, consultez l’exemple de modèle ARM.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

Exception de service approuvé

Si vous sélectionnez l’exception de service approuvé pour un compte ADLS Gen2 qui dispose d’un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés, les espaces de travail Fabric avec une identité d’espace de travail pourront accéder au compte de stockage. Lorsque la case d’exception de service approuvé est sélectionnée, tous les espaces de travail des capacités Fabric de votre locataire disposant d’une identité d’espace de travail peuvent accéder aux données stockées dans le compte de stockage.

Cette configuration n’est pas recommandée et la prise en charge peut être abandonnée à l’avenir. Nous vous recommandons d’utiliser des règles d’instance de ressources pour accorder l’accès à des ressources spécifiques.

Qui peut configurer des comptes de stockage pour l’accès au service approuvé ?

Un contributeur sur le compte de stockage (un rôle RBAC Azure) peut configurer des règles d’instance de ressource ou une exception de service approuvé.

Comment utiliser l’accès à l’espace de travail approuvé dans Fabric

Il existe actuellement trois façons d’utiliser l’accès à l’espace de travail approuvé pour accéder à vos données à partir de Fabric de manière sécurisée :

  • Vous pouvez créer un raccourci ADLS dans Fabric Lakehouse pour commencer à analyser vos données avec Spark, SQL et Power BI.

  • Vous pouvez créer un pipeline de données qui utilise l’accès à l’espace de travail approuvé pour accéder directement à un compte ADLS Gen2 doté d'un pare-feu.

  • Vous pouvez utiliser une instruction T-SQL Copy qui tire parti de l’accès de l’espace de travail approuvé pour ingérer des données dans un entrepôt Fabric.

Les sections suivantes vous montrent comment utiliser ces méthodes.

Créer un raccourci OneLake vers un compte de stockage avec accès à l’espace de travail approuvé

Avec l’identité de l’espace de travail configurée dans Fabric et l’accès à l’espace approuvé activé dans votre compte de stockage ADLS Gen2, vous pouvez créer des raccourcis OneLake pour accéder à vos données à partir de Fabric. Vous créez simplement un raccourci ADLS dans Fabric Lakehouse et vous pouvez commencer à analyser vos données avec Spark, SQL et Power BI.

Prérequis

  • Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
  • Créez une identité d’espace de travail associée à l’espace de travail Fabric.
  • Le compte d’utilisateur ou le principal de service utilisé comme type d’authentification dans le raccourci doivent avoir des rôles RBAC Azure sur le compte de stockage. Le principal doit avoir un contributeur aux données Blob du stockage, propriétaire des données de l’objet blob de stockage ou rôle Lecteur des données Blob du stockage au niveau de l’étendue du compte de stockage, ou un rôle de Délégation du Stockage Blob au niveau de l’étendue du compte de stockage en plus d’un rôle Lecteur des données Blob du stockage dans l’étendue du conteneur.
  • Configurez une règle d’instance de ressource pour le compte de stockage.

Remarque

  • Les raccourcis préexistants dans un espace de travail qui répondent aux conditions préalables commencent automatiquement à prendre en charge l’accès au service approuvé.
  • Vous devez utiliser l’identifiant d’URL DFS pour le compte de stockage. Prenons un exemple : https://StorageAccountName.dfs.core.windows.net

Étapes

  1. Commencez par créer un nouveau raccourci dans un Lakehouse.

    Capture d'écran de l'élément de menu contextuel Créer un nouveau raccourci.

    L’assistant Nouveau raccourci s’ouvre.

  2. Sous Sources externes, sélectionnez Azure Data Lake Storage Gen2.

    Capture d’écran montrant le choix d’Azure Data Lake Storage Gen2 en tant que source externe.

  3. Indiquez l’URL du compte de stockage configuré avec l’accès à l’espace de travail approuvé, puis choisissez un nom pour la connexion. Pour le type d’authentification, choisissez Compte professionnel ou Principal de service.

    Capture d’écran montrant la spécification de l’URL dans l’Assistant Raccourci.

    Lorsque vous avez terminé, sélectionnez Suivant.

  4. Indiquez le nom de raccourci et le sous-chemin d’accès.

    Capture d’écran montrant la définition de sous-chemin dans l’Assistant Raccourci.

    Quand vous avez terminé, sélectionnez Créer.

  5. Le raccourci lakehouse est créé et vous devez être en mesure d’afficher un aperçu des données de stockage dans le raccourci.

    Capture d’écran montrant l’aperçu des données de stockage via le raccourci lakehouse.

Utiliser le raccourci OneLake vers un compte de stockage avec accès à l’espace de travail approuvé dans les éléments Fabric

Avec OneCopy dans Fabric, vous pouvez accéder à vos raccourcis OneLake avec un accès approuvé à partir de toutes les charges de travail Fabric.

  • Spark : vous pouvez utiliser Spark pour accéder aux données à partir de vos raccourcis OneLake. Lorsque des raccourcis sont utilisés dans Spark, ils apparaissent sous forme de dossiers dans OneLake. Vous devez simplement référencer le nom du dossier pour accéder aux données. Vous pouvez utiliser le raccourci OneLake vers des comptes de stockage avec accès à l’espace de travail approuvé dans les notebooks Spark.

  • point de terminaison d'analytique SQL : les raccourcis créés dans la section « Tables » de votre lakehouse sont également disponibles dans le point de terminaison d'analytique SQL. Vous pouvez ouvrir le point de terminaison d'analytique SQL et interroger vos données comme n’importe quelle autre table.

  • Pipelines : les pipelines de données peuvent accéder aux raccourcis managés vers les comptes de stockage avec un accès à l’espace de travail approuvé. Les pipelines de données peuvent être utilisés pour lire ou écrire dans des comptes de stockage via des raccourcis OneLake.

  • Flux de données v2 : les flux de données Gen2 peuvent être utilisés pour accéder aux raccourcis managés vers les comptes de stockage avec un accès à l’espace de travail approuvé. Les flux de données Gen2 peuvent lire ou écrire dans des comptes de stockage via des raccourcis OneLake.

  • Modèles sémantiques et rapports : le modèle sémantique par défaut associé au point de terminaison d'analytique SQL d’un Lakehouse peut lire des raccourcis managés vers des comptes de stockage disposant d’un accès approuvé à l’espace de travail. Pour afficher les tables managées dans le modèle sémantique par défaut, accédez à l’élément du point de terminaison d'analytique SQL, sélectionnez Création de rapports et choisissez Mettre à jour automatiquement le modèle sémantique.

    Vous pouvez également créer de nouveaux modèles sémantiques qui référencent les raccourcis de table vers les comptes de stockage avec accès à l’espace de travail approuvé. Accédez au point de terminaison d'analytique SQL, sélectionnez Création de rapports et choisissez Nouveau modèle sémantique.

    Vous pouvez créer des rapports en plus des modèles sémantiques par défaut et des modèles sémantiques personnalisés.

  • Base de données KQL : vous pouvez également créer des raccourcis OneLake vers ADLS Gen2 dans une base de données KQL. Les étapes de création du raccourci managé avec l’accès à l’espace de travail approuvé restent les mêmes.

Créer un pipeline de données vers un compte de stockage avec accès à l’espace de travail approuvé

Avec l’identité de l’espace de travail configurée dans Fabric et l’accès approuvé activé dans votre compte de stockage ADLS Gen2, vous pouvez créer des pipelines de données pour accéder à vos données à partir de Fabric. Vous pouvez créer un pipeline de données pour copier les données dans Fabric Lakehouse et commencer à analyser vos données avec Spark, SQL et Power BI.

Prérequis

  • Un espace de travail Fabric associé à une capacité Fabric. Consultez Identité de l’espace de travail.
  • Créez une identité d’espace de travail associée à l’espace de travail Fabric.
  • Le compte d’utilisateur ou le principal de service utilisé pour créer la connexion doit avoir des rôles RBAC Azure sur le compte de stockage. Le principal doit avoir le rôle Contributeur aux données Blob de stockage, Propriétaire des données Blob de stockage ou Lecteur de données Blob de stockage sur le compte de stockage.
  • Configurez une règle d’instance de ressource pour le compte de stockage.

Étapes

  1. Commencez par sélectionner Obtenir des données dans un lakehouse.

  2. Sélectionnez Nouveau pipeline de données. Spécifiez un nom pour le pipeline, puis sélectionnez Créer.

    Capture d’écran montrant la boîte de dialogue du nouveau pipeline.

  3. Choisissez Azure Data Lake Gen2 comme source de données.

    Capture d’écran montrant la sélection d’ADLS Gen2.

  4. Indiquez l’URL du compte de stockage configuré avec l’accès à l’espace de travail approuvé, puis choisissez un nom pour la connexion. Pour le type d’authentification, choisissez Compte professionnel ou Principal de service.

    Capture d’écran montrant les paramètres de connexion pour la source de données.

    Lorsque vous avez terminé, sélectionnez Suivant.

  5. Sélectionnez le fichier que vous devez copier dans le lakehouse.

    Capture d’écran montrant le fichier selection.png

    Lorsque vous avez terminé, sélectionnez Suivant.

  6. Dans l’écran Vérifier + enregistrer, sélectionnez Démarrer le transfert de données immédiatement. Lorsque vous avez terminé, sélectionnez Enregistrer + exécuter.

    Capture d’écran montrant le review-and-save-screen.png

  7. Lorsque l’état du pipeline passe de Mis en file d’attente à Réussi, accédez au lakehouse et vérifiez que les tables de données ont été créées.

Utiliser l’instruction T-SQL COPY pour ingérer les données dans votre entrepôt de données

Avec l'identité de l'espace de travail configurée dans Fabric et l'accès de confiance activé dans votre compte de stockage ADLS Gen2, vous pouvez utiliser l'instruction T-SQL COPY pour ingérer des données dans votre entrepôt Fabric. Une fois les données ingérées dans l’entrepôt, vous pouvez commencer à analyser vos données avec SQL et Power BI.

Restrictions et considérations

  • L'accès sécurisé à l'espace de travail est pris en charge pour les espaces de travail dans n'importe quelle capacité SKU Fabric F.
  • Vous ne pouvez utiliser l’accès à l’espace de travail approuvé que dans les raccourcis OneLake, les pipelines de données et l’instruction T-SQL COPY. Pour accéder en toute sécurité aux comptes de stockage à partir de Fabric Spark, consultez Points de terminaison privés gérés pour Fabric.
  • Si un espace de travail avec une identité d'espace de travail est migré vers une capacité non-Fabric, ou vers une capacité non-F SKU Fabric, l'accès de confiance à l'espace de travail cessera de fonctionner au bout d'une heure.
  • Les raccourcis préexistants créés avant le 10 octobre 2023 ne prennent pas en charge l’accès à l’espace de travail approuvé.
  • Les connexions pour l’accès à l’espace de travail approuvé ne peuvent pas être créées ou modifiées dans Gérer les connexions et les passerelles.
  • Les connexions aux comptes de stockage avec pare-feu activé auront l’état Hors connexion dans Gérer les connexions et les passerelles.
  • Si vous réutilisez les connexions qui prennent en charge l’accès à un espace de travail approuvé dans des éléments Fabric autres que des raccourcis et des pipelines ou dans d’autres espaces de travail, elles peuvent ne pas fonctionner.
  • Seul un compte professionnel ou un principal de service doit être utilisé pour l’authentification auprès des comptes de stockage pour l’accès à l’espace de travail approuvé.
  • Les pipelines ne peuvent pas écrire dans les raccourcis de table OneLake sur les comptes de stockage avec accès à l’espace de travail approuvé. Il s’agit d’une limite temporaire.
  • Vous pouvez configurer au maximum 200 règles d’instance de ressource. Pour plus d’informations, consultez Limites et quotas de l’abonnement Azure - Azure Resource Manager.
  • L’accès à l’espace de travail approuvé fonctionne uniquement lorsque l’accès public est activé à partir de réseaux virtuels et d’adresses IP sélectionnés.
  • Les règles d’instance de ressource pour les espaces de travail Fabric doivent être créées via des modèles ARM. Les règles d’instance de ressource créées via l’interface utilisateur du portail Azure ne sont pas prises en charge.
  • Les raccourcis préexistants dans un espace de travail qui répondent aux conditions préalables commencent automatiquement à prendre en charge l’accès au service approuvé.
  • Si votre organisation dispose d’une stratégie d’accès conditionnel Entra comprenant tous les principaux de service pour les identités de charge de travail, l’accès à l’espace de travail approuvé ne fonctionnera pas. Si cela se produit, vous devez exclure des identités d’espace de travail Fabric spécifiques de la stratégie d’accès conditionnel pour les identités de charge de travail.
  • L’accès à l’espace de travail approuvé n’est pas pris en charge si un principal de service est utilisé pour créer un raccourci.

Résolution des problèmes liés à l’accès à l’espace de travail approuvé

Si un raccourci dans un lakehouse qui cible un compte de stockage ADLS Gen2 protégé par le pare-feu devient inaccessible, cela peut être dû au fait que le lakehouse a été partagé avec un utilisateur qui n’a pas de rôle d’administrateur, de membre ou de contributeur dans l’espace de travail où réside le lakehouse. Il s’agit d’un problème connu. La solution n’est pas de partager le lakehouse avec les utilisateurs qui n’ont pas de rôle administrateur, membre ou contributeur dans l’espace de travail.

Exemple de modèles ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}