Доступ к доверенной рабочей области
Fabric позволяет получить доступ к учетным записям Azure Data Lake Storage (ADLS) 2-го поколения с поддержкой брандмауэра. Рабочие области Fabric с удостоверением рабочей области могут безопасно получать доступ к учетным записям ADLS 2-го поколения с включенным доступом к общедоступной сети из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric.
Рабочие области Fabric, которые обращаются к учетной записи хранения с доверенным доступом к рабочей области, требуют надлежащей авторизации для запроса. Авторизация поддерживается с учетными данными Microsoft Entra для учетных записей организации или субъектов-служб. Дополнительные сведения о правилах экземпляра ресурсов см. в статье "Предоставление доступа из экземпляров ресурсов Azure".
Чтобы ограничить и защитить доступ к учетным записям хранения с поддержкой брандмауэра из определенных рабочих областей Fabric, можно настроить правило экземпляра ресурса, чтобы разрешить доступ из определенных рабочих областей Fabric.
Примечание
Доступ к доверенной рабочей области общедоступен, но может использоваться только в емкостях SKU F. Сведения о покупке подписки Fabric см. в статье "Приобретение подписки Microsoft Fabric". Доступ к доверенной рабочей области не поддерживается в емкостях пробной версии.
Из этой статьи вы узнаете, как выполнять следующие задачи:
Настройте доверенный доступ к рабочей области в учетной записи хранения ADLS 2-го поколения.
Создайте ярлык OneLake в Fabric Lakehouse, который подключается к учетной записи хранения ADLS 2-го поколения с поддержкой доверенной рабочей области.
Создайте конвейер данных для подключения непосредственно к учетной записи ADLS с поддержкой брандмауэра 2-го поколения, в которой включен доступ к доверенной рабочей области.
Используйте инструкцию T-SQL COPY для приема данных в хранилище из учетной записи ADLS с поддержкой брандмауэра 2-го поколения, в которой включен доступ к доверенной рабочей области.
Вы можете настроить определенные рабочие области Fabric для доступа к учетной записи хранения на основе удостоверения рабочей области. Правило экземпляра ресурса можно создать, развернув шаблон ARM с помощью правила экземпляра ресурса. Чтобы создать правило экземпляра ресурса, выполните приведенные действия.
Войдите в портал Azure и перейдите к пользовательскому развертыванию.
Выберите Создать собственный шаблон в редакторе. Пример шаблона ARM, создающего правило экземпляра ресурса, см . в примере шаблона ARM.
Создайте правило экземпляра ресурса в редакторе. По завершении нажмите кнопку "Рецензирование и создание".
На появившемся вкладке "Основные сведения" укажите необходимые сведения о проекте и экземпляре. По завершении нажмите кнопку "Рецензирование и создание".
На появившемся вкладке "Просмотр и создание " просмотрите сводку и нажмите кнопку "Создать". Правило будет отправлено для развертывания.
После завершения развертывания вы сможете перейти к ресурсу.
Примечание
- Правила экземпляра ресурсов для рабочих областей Fabric можно создавать только с помощью шаблонов ARM. Создание с помощью портал Azure не поддерживается.
- Идентификатор подписки "0000000000-0000-0000-0000-000000000000" должен использоваться для ресурса рабочей области Fabric.
- Идентификатор рабочей области Для рабочей области Fabric можно получить по URL-адресу адресной строки.
Ниже приведен пример правила экземпляра ресурса, которое можно создать с помощью шаблона ARM. Полный пример см . в примере шаблона ARM.
"resourceAccessRules": [
{ "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}
]
Если выбрать исключение доверенной службы для учетной записи ADLS 2-го поколения с включенным доступом к общедоступной сети из выбранных виртуальных сетей и IP-адресов, рабочие области Fabric с удостоверением рабочей области смогут получить доступ к учетной записи хранения. Если установлен флажок исключения доверенной службы, все рабочие области в емкостях Fabric клиента с удостоверением рабочей области могут получить доступ к данным, хранящимся в учетной записи хранения.
Эта конфигурация не рекомендуется, а поддержка может быть прекращена в будущем. Рекомендуется использовать правила экземпляра ресурсов для предоставления доступа к определенным ресурсам.
Участник учетной записи хранения (роль Azure RBAC) может настроить правила экземпляра ресурсов или исключение доверенной службы.
В настоящее время существует три способа безопасного доступа к данным из Fabric с помощью доверенной рабочей области:
Вы можете создать ярлык ADLS в Fabric Lakehouse, чтобы начать анализ данных с помощью Spark, SQL и Power BI.
Вы можете создать конвейер данных, который использует доверенный доступ к рабочей области для прямого доступа к учетной записи ADLS с поддержкой брандмауэра 2-го поколения.
Вы можете использовать инструкцию копирования T-SQL, которая использует доверенный доступ к рабочей области для приема данных в хранилище Fabric.
В следующих разделах показано, как использовать эти методы.
Используя удостоверение рабочей области, настроенное в Fabric, и доступ к доверенной рабочей области, включенный в учетной записи хранения ADLS 2-го поколения, можно создать ярлыки OneLake для доступа к данным из Fabric. Вы только что создадите ярлык ADLS в Fabric Lakehouse, и вы можете начать анализ данных с помощью Spark, SQL и Power BI.
- Рабочая область Fabric, связанная с емкостью Fabric. См . удостоверение рабочей области.
- Создайте удостоверение рабочей области, связанное с рабочей областью Fabric.
- Учетная запись пользователя или субъект-служба, используемые в качестве типа проверки подлинности в ярлыке, должна иметь роли Azure RBAC в учетной записи хранения. Субъект должен иметь роль "Участник данных BLOB-объектов хранилища", владелец данных BLOB-объектов хранилища или средство чтения данных BLOB-объектов хранилища в области учетной записи хранения или роль "Хранилище BLOB-объектов Delegator" в области учетной записи хранения в дополнение к роли чтения данных BLOB-объектов хранилища в области контейнера.
- Настройте правило экземпляра ресурса для учетной записи хранения.
Примечание
- Предварительные сочетания клавиш в рабочей области, которая соответствует предварительным требованиям, автоматически начнет поддерживать доверенный доступ к службе.
- Необходимо использовать идентификатор URL-адреса DFS для учетной записи хранения. Приведем пример:
https://StorageAccountName.dfs.core.windows.net
Начните с создания нового ярлыка в Lakehouse.
Откроется мастер создания ярлыков .
В разделе "Внешние источники" выберите Azure Data Lake Storage 2-го поколения.
Укажите URL-адрес учетной записи хранения, настроенной с доступом к доверенной рабочей области, и выберите имя подключения. Для проверки подлинности выберите учетную запись организации или субъект-службу.
По завершении нажмите Далее.
Укажите имя ярлыка и вложенный путь.
Затем выберите Создать.
Создается ярлык Lakehouse, и вы сможете просмотреть данные хранилища в ярлыке.
Использование ярлыка OneLake для учетной записи хранения с доступом к доверенной рабочей области в элементах Fabric
С помощью OneCopy в Fabric вы можете получить доступ к ярлыкам OneLake с доверенным доступом из всех рабочих нагрузок Fabric.
Spark: Вы можете использовать Spark для доступа к данным из сочетаний клавиш OneLake. Если сочетания клавиш используются в Spark, они отображаются как папки в OneLake. Чтобы получить доступ к данным, вам просто нужно ссылаться на имя папки. Ярлык OneLake можно использовать для учетных записей хранения с доверенным доступом к рабочей области в записных книжках Spark.
Конечная точка аналитики SQL: ярлыки, созданные в разделе "Таблицы" озера, также доступны в конечной точке аналитики SQL. Вы можете открыть конечную точку аналитики SQL и запросить данные так же, как и любую другую таблицу.
Конвейеры. Конвейеры данных могут получить доступ к управляемым сочетаниям клавиш к учетным записям хранения с доступом к доверенной рабочей области. Конвейеры данных можно использовать для чтения или записи в учетные записи хранения с помощью сочетаний клавиш OneLake.
Потоки данных версии 2. Потоки данных 2-го поколения можно использовать для доступа к управляемым ярлыкам к учетным записям хранения с доверенным доступом к рабочей области. Потоки данных 2-го поколения могут считывать или записывать данные в учетные записи хранения с помощью сочетаний клавиш OneLake.
Семантические модели и отчеты. Семантическая модель по умолчанию, связанная с конечной точкой аналитики SQL в Lakehouse, может читать управляемые ярлыки для учетных записей хранения с доверенным доступом к рабочей области. Чтобы просмотреть управляемые таблицы в семантической модели по умолчанию, перейдите к элементу конечной точки аналитики SQL, выберите "Отчеты" и выберите "Автоматически обновить семантику модели".
Кроме того, можно создать новые семантические модели, ссылающиеся на сочетания клавиш таблицы с учетными записями хранения с доступом к доверенной рабочей области. Перейдите в конечную точку аналитики SQL, выберите "Отчеты" и выберите "Создать семантику".
Вы можете создавать отчеты на основе семантических моделей по умолчанию и пользовательских семантических моделей.
База данных KQL. Вы также можете создать ярлыки OneLake в ADLS 2-го поколения в базе данных KQL. Действия по созданию управляемого ярлыка с доступом к доверенной рабочей области остаются неизменными.
С помощью удостоверения рабочей области, настроенного в Fabric и доверенном доступе в учетной записи хранения ADLS 2-го поколения, можно создать конвейеры данных для доступа к данным из Fabric. Вы можете создать новый конвейер данных для копирования данных в Lakehouse Fabric, а затем начать анализ данных с помощью Spark, SQL и Power BI.
- Рабочая область Fabric, связанная с емкостью Fabric. См . удостоверение рабочей области.
- Создайте удостоверение рабочей области, связанное с рабочей областью Fabric.
- Учетная запись пользователя или субъект-служба, используемая для создания подключения, должна иметь роли Azure RBAC в учетной записи хранения. Субъект должен иметь роль участника данных BLOB-объектов хранилища, владельца данных BLOB-объектов хранилища или средства чтения данных BLOB-объектов хранилища в области учетной записи хранения.
- Настройте правило экземпляра ресурса для учетной записи хранения.
Начните с выбора получения данных в озерном доме.
Выберите новый конвейер данных. Укажите имя конвейера и нажмите кнопку "Создать".
Выберите Azure Data Lake 2-го поколения в качестве источника данных.
Укажите URL-адрес учетной записи хранения, настроенной с доступом к доверенной рабочей области, и выберите имя подключения. Для проверки подлинности выберите учетную запись организации или субъект-службу.
По завершении нажмите Далее.
Выберите файл, который необходимо скопировать в lakehouse.
По завершении нажмите Далее.
На экране "Просмотр и сохранение" нажмите кнопку "Начать передачу данных" немедленно. По завершении нажмите кнопку "Сохранить и запустить".
Когда состояние конвейера изменится с queued на Succeeded, перейдите в lakehouse и убедитесь, что таблицы данных были созданы.
С помощью удостоверения рабочей области, настроенного в Fabric и доверенном доступе в учетной записи хранения ADLS 2-го поколения, можно использовать инструкцию COPY T-SQL для приема данных в хранилище Fabric. После приема данных в хранилище можно начать анализ данных с помощью SQL и Power BI.
- Доступ к доверенной рабочей области поддерживается для рабочих областей в любой емкости SKU Fabric F.
- Доступ к доверенной рабочей области можно использовать только в сочетаниях клавиш OneLake, конвейерах данных и инструкции T-SQL COPY. Сведения о безопасном доступе к учетным записям хранения из Fabric Spark см. в статье "Управляемые частные конечные точки для Fabric".
- Если рабочая область с удостоверением рабочей области переносится в емкость, не связанную с Fabric, или в емкость SKU Fabric, доступ к доверенной рабочей области перестанет работать через час.
- Существующие ярлыки, созданные до 10 октября 2023 г., не поддерживают доступ к доверенной рабочей области.
- Подключения для доступа к доверенной рабочей области не могут быть созданы или изменены в разделе "Управление подключениями и шлюзами".
- Подключения к учетным записям хранения с поддержкой брандмауэра будут иметь состояние "Автономный " в разделе "Управление подключениями и шлюзами".
- Если вы повторно используете подключения, поддерживающие доступ к доверенной рабочей области в элементах Fabric, отличных от сочетаний клавиш и конвейеров, или в других рабочих областях, они могут не работать.
- Для проверки подлинности учетных записей хранения для доступа к доверенной рабочей области необходимо использовать только учетную запись организации или субъект-службу .
- Конвейеры не могут записывать ярлыки таблиц OneLake в учетных записях хранения с доверенным доступом к рабочей области. Это временное ограничение.
- Можно настроить не более 200 правил экземпляра ресурсов. Дополнительные сведения см. в разделе об ограничениях и квотах подписки Azure — Azure Resource Manager.
- Доступ к доверенной рабочей области работает только в том случае, если общедоступный доступ включен из выбранных виртуальных сетей и IP-адресов.
- Правила экземпляра ресурсов для рабочих областей Fabric должны создаваться с помощью шаблонов ARM. Правила экземпляра ресурсов, созданные с помощью пользовательского интерфейса портал Azure, не поддерживаются.
- Предварительно существующие сочетания клавиш в рабочей области, которая соответствует предварительным требованиям, автоматически начнет поддерживать доверенный доступ к службе.
- Если в вашей организации есть политика условного доступа Entra для удостоверений рабочей нагрузки, включающая все субъекты-службы, доступ к доверенной рабочей области не будет работать. В таких случаях необходимо исключить определенные удостоверения рабочей области Fabric из политики условного доступа для удостоверений рабочей нагрузки.
- Доступ к доверенной рабочей области не поддерживается, если субъект-служба используется для создания ярлыка.
- Доступ к доверенной рабочей области несовместим с запросами между клиентами.
Если ярлык в lakehouse, предназначенный для учетной записи хранения ADLS 2-го поколения, становится недоступным, это может быть связано с тем, что lakehouse был предоставлен пользователю, у которого нет администратора, члена или участника роли в рабочей области, в которой находится lakehouse. Это известная проблема. Исправление заключается в том, чтобы не предоставлять доступ к lakehouse пользователям, у которых нет роли администратора, члена или участника в рабочей области.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}