Disponibilità generale dell’accesso all'area di lavoro attendibile

  • Articolo

Fabric consente di accedere agli account Azure Data Lake Storage (ADLS) Gen2 abilitati per il firewall in modo sicuro. Le aree di lavoro Fabric con un'identità dell'area di lavoro possono accedere in modo sicuro agli account ADLS Gen2 con l'accesso alla rete pubblica abilitato da reti virtuali e indirizzi IP selezionati. È possibile limitare l'accesso ad ADLS Gen2 a aree di lavoro Fabric specifiche.

Le aree di lavoro Fabric che accedono a un account di archiviazione con accesso all'area di lavoro attendibile richiedono un'autorizzazione appropriata per la richiesta. L'autorizzazione è supportata con le credenziali di Microsoft Entra per gli account aziendali o le entità servizio. Per altre informazioni sulle regole dell'istanza delle risorse, vedere Concedere l'accesso dalle istanze delle risorse di Azure.

Per limitare e proteggere l'accesso agli account di archiviazione abilitati per il firewall da determinate aree di lavoro Fabric, è possibile configurare la regola dell'istanza delle risorse per consentire l'accesso da aree di lavoro Fabric specifiche.

Nota

L'accesso all'area di lavoro attendibile è generalmente disponibile, ma può essere usato solo nelle capacità dello SKU F. Per informazioni sull'acquisto di una sottoscrizione a Fabric, vedere Acquistare una sottoscrizione a Microsoft Fabric. L'accesso all'area di lavoro attendibile non è supportato nelle capacità di valutazione.

Questo articolo illustra come:

  • Configurare l'accesso all'area di lavoro attendibile in un account di archiviazione di ADLS Gen2.

  • Creare un collegamento OneLake in una Fabric Lakehouse che si connette a un account di archiviazione ADLS Gen2 abilitato per l'accesso all'area di lavoro attendibile.

  • Creare una pipeline di dati per connettersi direttamente a un account ADLS Gen2 abilitato per il firewall con accesso all'area di lavoro attendibile abilitato.

  • Usare l'istruzione T-SQL COPY per inserire i dati nel warehouse da un account ADLS Gen2 abilitato per il firewall con accesso all'area di lavoro attendibile abilitato.

Configurare l'accesso all'area di lavoro attendibile in ADLS Gen2

Regola delle istanze di risorse

È possibile configurare aree di lavoro Fabric specifiche per accedere all'account di archiviazione in base all'identità dell'area di lavoro. È possibile creare una regola di istanza di risorsa distribuendo un modello ARM con una regola di istanza di risorsa. Per creare una regola di istanza della risorsa:

  1. Accedere al portale di Azure e passare a Distribuzione personalizzata.

  2. Scegliere Creare un modello personalizzato nell'editor. Per un modello di ARM di esempio che crea una regola dell'istanza di risorsa, vedere l'esempio di modello di ARM.

  3. Creare la regola dell'istanza della risorsa nell'editor. Al termine dell'operazione, scegliere Rivedi + Crea.

  4. Nella scheda Dati principali visualizzata specificare i dettagli del progetto e dell'istanza necessari. Al termine dell'operazione, scegliere Rivedi + Crea.

  5. Selezionare Rivedi + Crea, esaminare il riepilogo e quindi selezionare Crea. La regola verrà inviata per la distribuzione.

  6. Una volta completata la distribuzione, è possibile accedere alla risorsa.

Nota

  • Le regole dell'istanza delle risorse per le aree di lavoro Fabric possono essere create solo tramite modelli di ARM. La creazione tramite il portale di Azure non è supportata.
  • Il valore subscriptionId "00000000-0000-0000-0000-000000000000" deve essere usato per resourceId dell'area di lavoro Fabric.
  • È possibile ottenere l'ID area di lavoro per un'area di lavoro Fabric tramite il relativo URL della barra degli indirizzi.

Screenshot che mostra la regola dell'istanza della risorsa configurata.

Ecco un esempio di regola dell'istanza della risorsa che può essere creata tramite il modello di ARM. Per un esempio completo, vedere Esempio di modello di ARM.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

Eccezione del servizio attendibile

Se si seleziona l'eccezione del servizio attendibile per un account ADLS Gen2 con accesso alla rete pubblica abilitato da reti virtuali e indirizzi IP selezionati, le aree di lavoro Fabric con un'identità dell'area di lavoro potranno accedere all'account di archiviazione. Quando viene selezionata la casella di controllo per l'eccezione del servizio attendibile, tutte le aree di lavoro nelle capacità Fabric del tenant con un'identità dell'area di lavoro possono accedere ai dati archiviati nell'account di archiviazione.

Questa configurazione non è consigliata e il supporto potrebbe essere sospeso in futuro. È consigliabile usare le regole dell'istanza di risorse per concedere l'accesso a risorse specifiche.

Chi può configurare gli account di archiviazione per l'accesso ai servizi attendibili?

Un collaboratore nell'account di archiviazione (un ruolo Controllo degli accessi in base al ruolo di Azure) può configurare le regole dell'istanza delle risorse o l'eccezione del servizio attendibile.

Come usare l'accesso all'area di lavoro attendibile in Fabric

Esistono attualmente tre modi per usare l'accesso all'area di lavoro attendibile per accedere ai dati da Fabric in modo sicuro:

  • È possibile creare un nuovo collegamento ADLS in un'istanza di Fabric Lakehouse per iniziare ad analizzare i dati con Spark, SQL e Power BI.

  • È possibile creare una pipeline di dati che sfrutta l'accesso all'area di lavoro attendibile per accedere direttamente a un account ADLS Gen2 abilitato per il firewall.

  • È possibile usare un'istruzione T-SQL Copy che sfrutta l'accesso all'area di lavoro attendibile per inserire i dati in un'istanza di Fabric Warehouse.

Le sezioni seguenti illustrano come utilizzare questi metodi.

Creare un collegamento OneLake all'account di archiviazione con accesso all'area di lavoro attendibile

Con l'identità dell'area di lavoro configurata in Fabric e l'accesso all'area di lavoro attendibile abilitato nell'account di archiviazione di ADLS Gen2, è possibile creare collegamenti OneLake per accedere ai dati da Fabric. È sufficiente creare un nuovo collegamento ADLS in una Fabric Lakehouse ed è possibile iniziare ad analizzare i dati con Spark, SQL e Power BI.

Prerequisiti

  • Un'area di lavoro Fabric associata a una capacità Fabric. Vedere Identità dell'area di lavoro.
  • Creare un'identità dell'area di lavoro associata all'area di lavoro Fabric.
  • L'account utente o l'entità servizio usata come tipo di autenticazione nel collegamento devono avere ruoli controllo degli accessi in base al ruolo di Azure nell'account di archiviazione. L'entità deve avere un ruolo Storage Blob Data Contributor, Storage Blob Data Owner o Storage Blob Data Reader nell'ambito dell'account di archiviazione oppure un ruolo Storage Blob Delegator nell'ambito dell'account di archiviazione oltre a un ruolo Storage Blob Data Reader nell'ambito del contenitore.
  • Configurare una regola di istanza della risorsa per l'account di archiviazione.

Nota

  • I collegamenti preesistenti in un'area di lavoro che soddisfa i prerequisiti inizieranno automaticamente a supportare l'accesso al servizio attendibile.
  • È necessario usare l'ID URL DFS per l'account di archiviazione. Di seguito è riportato un esempio: https://StorageAccountName.dfs.core.windows.net

Passaggi

  1. Per iniziare, creare un nuovo collegamento in una Lakehouse.

    Sceenshot della creazione di una nuova voce di menu di scelta rapida.

    Verrà visualizzata la procedura guidata Nuovo collegamento.

  2. In Origini esterne selezionare Azure Data Lake Storage Gen2.

    Screenshot che mostra la scelta di Azure Data Lake Storage Gen2 come origine esterna.

  3. Specificare l'URL dell'account di archiviazione configurato con accesso all'area di lavoro attendibile e scegliere un nome per la connessione. Per Tipo di autenticazione scegliere Account aziendale o Entità servizio.

    Screenshot che mostra la specifica dell'URL nella procedura guidata per i collegamenti.

    Al termine scegliere Avanti.

  4. Specificare il nome del collegamento e il percorso secondario.

    Screenshot che mostra la definizione del percorso secondario nella procedura guidata di scelta rapida.

    Al termine, scegliere Crea.

  5. Il collegamento lakehouse viene creato e dovrebbe essere possibile visualizzare in anteprima i dati di archiviazione nel collegamento.

    Screenshot che mostra l'anteprima dei dati di archiviazione tramite il collegamento lakehouse.

Usare il collegamento OneLake a un account di archiviazione con accesso all'area di lavoro attendibile negli elementi di Fabric

Con OneCopy in Fabric è possibile accedere ai collegamenti OneLake con accesso attendibile da tutti i carichi di lavoro Fabric.

  • Spark: è possibile usare Spark per accedere ai dati dai collegamenti a OneLake. Quando i collegamenti vengono usati in Spark, vengono visualizzati come cartelle in OneLake. È sufficiente fare riferimento al nome della cartella per accedere ai dati. È possibile usare il collegamento OneLake agli account di archiviazione con accesso all'area di lavoro attendibile nei notebook Spark.

  • Endpoint di analisi SQL: i collegamenti creati nella sezione "Tabelle" di Lakehouse sono disponibili anche nell'endpoint di analisi SQL. È possibile aprire l'endpoint di analisi SQL ed eseguire query sui dati esattamente come qualsiasi altra tabella.

  • Pipeline: le pipeline di dati possono accedere ai collegamenti gestiti agli account di archiviazione con accesso all'area di lavoro attendibile. Le pipeline di dati possono essere usate per leggere o scrivere in account di archiviazione tramite collegamenti a OneLake.

  • Flussi di dati v2: Dataflows Gen2 può essere utilizzato per accedere ai collegamenti gestiti agli account di archiviazione con accesso allo spazio di lavoro attendibile. I flussi di dati Gen2 possono leggere o scrivere in account di archiviazione tramite collegamenti OneLake.

  • Modelli e report semantici: il modello semantico predefinito associato all'endpoint di analisi SQL di un Lakehouse può leggere i collegamenti gestiti agli account di archiviazione con accesso all'area di lavoro attendibile. Per visualizzare le tabelle gestite nel modello semantico predefinito, passare all'elemento endpoint di analisi SQL, selezionare Reporting e scegliere Aggiorna automaticamente il modello semantico.

    È anche possibile creare nuovi modelli semantici che fanno riferimento a collegamenti di tabella agli account di archiviazione con accesso all'area di lavoro attendibile. Passare all'endpoint di analisi SQL, selezionare Reporting e scegliere Nuovo modello semantico.

    È possibile creare report oltre ai modelli semantici predefiniti e ai modelli semantici personalizzati.

  • Database KQL: è anche possibile creare collegamenti OneLake ad ADLS Gen2 in un database KQL. I passaggi per creare il collegamento gestito con l'accesso all'area di lavoro attendibile rimangono invariati.

Creare una pipeline di dati in un account di archiviazione con accesso all'area di lavoro attendibile

Con l'identità dell'area di lavoro configurata in Fabric e l'accesso attendibile abilitato nell'account di archiviazione di ADLS Gen2, è possibile creare pipeline di dati per accedere ai dati da Fabric. È possibile creare una nuova pipeline di dati per copiare i dati in una Fabric Lakehouse e quindi iniziare ad analizzare i dati con Spark, SQL e Power BI.

Prerequisiti

  • Un'area di lavoro Fabric associata a una capacità Fabric. Vedere Identità dell'area di lavoro.
  • Creare un'identità dell'area di lavoro associata all'area di lavoro Fabric.
  • L'account utente o l'entità servizio usata per la creazione della connessione devono avere ruoli controllo degli accessi in base al ruolo di Azure nell'account di archiviazione. L'entità di sicurezza deve avere il ruolo di Storage Blob Data Contributor, Storage Blob Data Owner o Storage Blob Data Reader nell'ambito dell'account di archiviazione.
  • Configurare una regola di istanza della risorsa per l'account di archiviazione.

Passaggi

  1. Per iniziare, selezionare Recupera dati in un Lakehouse.

  2. Selezionare Nuova pipeline. Specificare un nome per la pipeline e selezionare Crea.

    Screenshot che mostra la finestra di dialogo Nuova pipeline.

  3. Scegliere Azure Data Lake Gen2 come origine dati.

    Screenshot che mostra la scelta della selezione di ADLS Gen2.

  4. Specificare l'URL dell'account di archiviazione configurato con accesso all'area di lavoro attendibile e scegliere un nome per la connessione. Per Tipo di autenticazione scegliere Account aziendale o Entità servizio.

    Screenshot che mostra le impostazioni di connessione per l'origine dati.

    Al termine scegliere Avanti.

  5. Selezionare il file che è necessario copiare nella lakehouse.

    Screenshot che mostra il file selection.png

    Al termine scegliere Avanti.

  6. Nella schermata Rivedi + Salva selezionare Avvia trasferimento dati immediatamente. Al termine selezionare Salva + Esegui.

    Screenshot che mostra review-and-save-screen.png

  7. Quando lo stato della pipeline passa da In coda a Riuscito, passare a Lakehouse e verificare che le tabelle di dati siano state create.

Usare l'istruzione T-SQL COPY per caricare i dati ingest in un warehouse

Con l'identità dell'area di lavoro configurata in Fabric e l'accesso attendibile abilitato nell'account di archiviazione di ADLS Gen2, è possibile usare l'istruzione COPY T-SQL per inserire i dati nel warehouse di Fabric. Dopo aver inserito i dati nel warehouse, è possibile iniziare ad analizzare i dati con SQL e Power BI.

Restrizioni e considerazioni

  • L'accesso all'area di lavoro attendibile è supportato per le aree di lavoro in qualsiasi capacità Fabric F SKU.
  • È possibile usare l'accesso all'area di lavoro attendibile solo in collegamenti OneLake, pipeline di dati e istruzione T-SQL COPY. Per accedere in modo sicuro agli account di archiviazione da Fabric Spark, vedere Endpoint privati gestiti per Fabric.
  • Se un'area di lavoro con un'identità di area di lavoro viene migrata a una capacità non Fabric o a una capacità Fabric non F SKU, l'accesso affidabile all'area di lavoro smetterà di funzionare dopo un'ora.
  • I collegamenti preesistenti creati prima del 10 ottobre 2023 non supportano l'accesso all'area di lavoro attendibile.
  • Le connessioni per l'accesso all'area di lavoro attendibile non possono essere create o modificate in Gestire connessioni e gateway.
  • Le connessioni agli account di archiviazione abilitati per il firewall avranno lo stato Offline in Gestire connessioni e gateway.
  • Se si riutilizzano le connessioni che supportano l'accesso all'area di lavoro attendibile negli elementi Fabric diversi da collegamenti e pipeline o in altre aree di lavoro, potrebbero non funzionare.
  • Solo l'account aziendale o l'entità servizio devono essere usati per l'autenticazione agli account di archiviazione per l'accesso all'area di lavoro attendibile.
  • Le pipeline non possono scrivere collegamenti a tabelle OneLake sugli account di archiviazione con accesso all'area di lavoro attendibile. Si tratta di una limitazione temporanea.
  • È possibile configurare un massimo di 200 regole dell'istanza di risorsa. Per altre informazioni, vedere Limiti e quote delle sottoscrizioni di Azure - Azure Resource Manager.
  • L'accesso all'area di lavoro attendibile funziona solo quando l'accesso pubblico è abilitato da reti virtuali e indirizzi IP selezionati.
  • Le regole dell'istanza di risorsa per le aree di lavoro di Fabric devono essere create tramite i modelli di Resource Manager. Le regole dell'istanza di risorsa create tramite l'interfaccia utente di portale di Azure non sono supportate.
  • I collegamenti preesistenti in un'area di lavoro che soddisfa i prerequisiti inizieranno automaticamente a supportare l'accesso al servizio attendibile.
  • Se l'organizzazione ha criteri di accesso condizionale Entra per le identità del carico di lavoro che includono tutte le entità servizio, l'accesso all'area di lavoro attendibile non funzionerà. In questi casi, è necessario escludere identità specifiche dell'area di lavoro Fabric dai criteri di accesso condizionale per le identità dei carichi di lavoro.
  • L'accesso all'area di lavoro attendibile non è supportato se viene usata un'entità servizio per creare un collegamento.

Risoluzione dei problemi relativi all'accesso all'area di lavoro attendibile

Se un collegamento in una Lakehouse destinato a un account di archiviazione di ADLS Gen2 protetto da firewall diventa inaccessibile, potrebbe essere dovuto al fatto che la Lakehouse è stata condivisa con un utente che non ha un ruolo di amministratore, membro o collaboratore nell'area di lavoro in cui risiede la Lakehouse. Questo è un problema noto. Il rimedio non consiste nel condividere la Lakehouse con utenti che non hanno un ruolo di amministratore, membro o collaboratore nell'area di lavoro.

Esempi di modelli di ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Contenuto correlato