Доступ к доверенной рабочей области

Fabric позволяет получить доступ к учетным записям Azure Data Lake Storage (ADLS) 2-го поколения с поддержкой брандмауэра. Рабочие области Fabric с удостоверением рабочей области могут безопасно получать доступ к учетным записям ADLS 2-го поколения с включенным доступом к общедоступной сети из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric.

Рабочие области Fabric, которые обращаются к учетной записи хранения с доверенным доступом к рабочей области, требуют надлежащей авторизации для запроса. Авторизация поддерживается с учетными данными Microsoft Entra для учетных записей организации или субъектов-служб. Дополнительные сведения о правилах экземпляра ресурсов см. в статье "Предоставление доступа из экземпляров ресурсов Azure".

Чтобы ограничить и защитить доступ к учетным записям хранения с поддержкой брандмауэра из определенных рабочих областей Fabric, можно настроить правило экземпляра ресурса, чтобы разрешить доступ из определенных рабочих областей Fabric.

Примечание.

Доступ к доверенной рабочей области общедоступен, но может использоваться только в емкостях SKU F. Сведения о покупке подписки Fabric см. в статье "Приобретение подписки Microsoft Fabric". Доступ к доверенной рабочей области не поддерживается в емкостях пробной версии.

Из этой статьи вы узнаете, как выполнять следующие задачи:

  • Настройте доверенный доступ к рабочей области в учетной записи хранения ADLS 2-го поколения.

  • Создайте ярлык OneLake в Fabric Lakehouse, который подключается к учетной записи хранения ADLS 2-го поколения с поддержкой доверенной рабочей области.

  • Создайте конвейер данных для подключения непосредственно к учетной записи ADLS с поддержкой брандмауэра 2-го поколения, в которой включен доступ к доверенной рабочей области.

  • Используйте инструкцию T-SQL COPY для приема данных в хранилище из учетной записи ADLS с поддержкой брандмауэра 2-го поколения, в которой включен доступ к доверенной рабочей области.

Настройка доступа к доверенной рабочей области в ADLS 2-го поколения

Правило экземпляра ресурса

Вы можете настроить определенные рабочие области Fabric для доступа к учетной записи хранения на основе удостоверения рабочей области. Правило экземпляра ресурса можно создать, развернув шаблон ARM с помощью правила экземпляра ресурса. Чтобы создать правило экземпляра ресурса, выполните приведенные действия.

  1. Войдите в портал Azure и перейдите к пользовательскому развертыванию.

  2. Выберите Создать собственный шаблон в редакторе. Пример шаблона ARM, создающего правило экземпляра ресурса, см . в примере шаблона ARM.

  3. Создайте правило экземпляра ресурса в редакторе. По завершении нажмите кнопку "Рецензирование и создание".

  4. На появившемся вкладке "Основные сведения" укажите необходимые сведения о проекте и экземпляре. По завершении нажмите кнопку "Рецензирование и создание".

  5. На появившемся вкладке "Просмотр и создание " просмотрите сводку и нажмите кнопку "Создать". Правило будет отправлено для развертывания.

  6. После завершения развертывания вы сможете перейти к ресурсу.

Примечание.

  • Правила экземпляра ресурсов для рабочих областей Fabric можно создавать только с помощью шаблонов ARM. Создание с помощью портал Azure не поддерживается.
  • Идентификатор подписки "0000000000-0000-0000-0000-000000000000" должен использоваться для ресурса рабочей области Fabric.
  • Идентификатор рабочей области Для рабочей области Fabric можно получить по URL-адресу адресной строки.

Снимок экрана: настроено правило экземпляра ресурса.

Ниже приведен пример правила экземпляра ресурса, которое можно создать с помощью шаблона ARM. Полный пример см . в примере шаблона ARM.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

Исключение доверенной службы

Если выбрать исключение доверенной службы для учетной записи ADLS 2-го поколения с включенным доступом к общедоступной сети из выбранных виртуальных сетей и IP-адресов, рабочие области Fabric с удостоверением рабочей области смогут получить доступ к учетной записи хранения. Если установлен флажок исключения доверенной службы, все рабочие области в емкостях Fabric клиента с удостоверением рабочей области могут получить доступ к данным, хранящимся в учетной записи хранения.

Эта конфигурация не рекомендуется, а поддержка может быть прекращена в будущем. Рекомендуется использовать правила экземпляра ресурсов для предоставления доступа к определенным ресурсам.

Кто может настроить учетные записи хранения для доступа к доверенным службам?

Участник учетной записи хранения (роль Azure RBAC) может настроить правила экземпляра ресурсов или исключение доверенной службы.

Использование доступа к доверенной рабочей области в Fabric

В настоящее время существует три способа безопасного доступа к данным из Fabric с помощью доверенной рабочей области:

  • Вы можете создать ярлык ADLS в Fabric Lakehouse, чтобы начать анализ данных с помощью Spark, SQL и Power BI.

  • Вы можете создать конвейер данных, который использует доверенный доступ к рабочей области для прямого доступа к учетной записи ADLS с поддержкой брандмауэра 2-го поколения.

  • Вы можете использовать инструкцию копирования T-SQL, которая использует доверенный доступ к рабочей области для приема данных в хранилище Fabric.

В следующих разделах показано, как использовать эти методы.

Создание ярлыка OneLake для учетной записи хранения с доступом к доверенной рабочей области

Используя удостоверение рабочей области, настроенное в Fabric, и доступ к доверенной рабочей области, включенный в учетной записи хранения ADLS 2-го поколения, можно создать ярлыки OneLake для доступа к данным из Fabric. Вы только что создадите ярлык ADLS в Fabric Lakehouse, и вы можете начать анализ данных с помощью Spark, SQL и Power BI.

Необходимые компоненты

  • Рабочая область Fabric, связанная с емкостью Fabric. См . удостоверение рабочей области.
  • Создайте удостоверение рабочей области, связанное с рабочей областью Fabric.
  • Учетная запись пользователя или субъект-служба, используемые в качестве типа проверки подлинности в ярлыке, должна иметь роли Azure RBAC в учетной записи хранения. Субъект должен иметь роль "Участник данных BLOB-объектов хранилища", владелец данных BLOB-объектов хранилища или средство чтения данных BLOB-объектов хранилища в области учетной записи хранения или роль "Хранилище BLOB-объектов Delegator" в области учетной записи хранения в дополнение к роли чтения данных BLOB-объектов хранилища в области контейнера.
  • Настройте правило экземпляра ресурса для учетной записи хранения.

Примечание.

  • Предварительные сочетания клавиш в рабочей области, которая соответствует предварительным требованиям, автоматически начнет поддерживать доверенный доступ к службе.
  • Необходимо использовать идентификатор URL-адреса DFS для учетной записи хранения. Приведем пример: https://StorageAccountName.dfs.core.windows.net

Шаги

  1. Начните с создания нового ярлыка в Lakehouse.

    Sceenshot создания нового контекстного меню.

    Откроется мастер создания ярлыков .

  2. В разделе "Внешние источники" выберите Azure Data Lake Storage 2-го поколения.

    Снимок экрана: выбор Azure Data Lake Storage 2-го поколения в качестве внешнего источника.

  3. Укажите URL-адрес учетной записи хранения, настроенной с доступом к доверенной рабочей области, и выберите имя подключения. Для проверки подлинности выберите учетную запись организации или субъект-службу.

    Снимок экрана: спецификация URL-адреса в мастере сочетаний клавиш.

    По завершении нажмите Далее.

  4. Укажите имя ярлыка и вложенный путь.

    Снимок экрана: определение под пути в мастере ярлыков.

    Затем выберите Создать.

  5. Создается ярлык Lakehouse, и вы сможете просмотреть данные хранилища в ярлыке.

    Снимок экрана: просмотр данных хранилища с помощью ярлыка Lakehouse.

Использование ярлыка OneLake для учетной записи хранения с доступом к доверенной рабочей области в элементах Fabric

С помощью OneCopy в Fabric вы можете получить доступ к ярлыкам OneLake с доверенным доступом из всех рабочих нагрузок Fabric.

  • Spark: Вы можете использовать Spark для доступа к данным из сочетаний клавиш OneLake. Если сочетания клавиш используются в Spark, они отображаются как папки в OneLake. Чтобы получить доступ к данным, вам просто нужно ссылаться на имя папки. Ярлык OneLake можно использовать для учетных записей хранения с доверенным доступом к рабочей области в записных книжках Spark.

  • Конечная точка аналитики SQL: ярлыки, созданные в разделе "Таблицы" озера, также доступны в конечной точке аналитики SQL. Вы можете открыть конечную точку аналитики SQL и запросить данные так же, как и любую другую таблицу.

  • Конвейеры. Конвейеры данных могут получить доступ к управляемым сочетаниям клавиш к учетным записям хранения с доступом к доверенной рабочей области. Конвейеры данных можно использовать для чтения или записи в учетные записи хранения с помощью сочетаний клавиш OneLake.

  • Потоки данных версии 2. Потоки данных 2-го поколения можно использовать для доступа к управляемым ярлыкам к учетным записям хранения с доверенным доступом к рабочей области. Потоки данных 2-го поколения могут считывать или записывать данные в учетные записи хранения с помощью сочетаний клавиш OneLake.

  • Семантические модели и отчеты. Семантическая модель по умолчанию, связанная с конечной точкой аналитики SQL в Lakehouse, может читать управляемые ярлыки для учетных записей хранения с доверенным доступом к рабочей области. Чтобы просмотреть управляемые таблицы в семантической модели по умолчанию, перейдите к элементу конечной точки аналитики SQL, выберите "Отчеты" и выберите "Автоматически обновить семантику модели".

    Кроме того, можно создать новые семантические модели, ссылающиеся на сочетания клавиш таблицы с учетными записями хранения с доступом к доверенной рабочей области. Перейдите в конечную точку аналитики SQL, выберите "Отчеты" и выберите "Создать семантику".

    Вы можете создавать отчеты на основе семантических моделей по умолчанию и пользовательских семантических моделей.

  • База данных KQL. Вы также можете создать ярлыки OneLake в ADLS 2-го поколения в базе данных KQL. Действия по созданию управляемого ярлыка с доступом к доверенной рабочей области остаются неизменными.

Создание конвейера данных в учетную запись хранения с доверенным доступом к рабочей области

С помощью удостоверения рабочей области, настроенного в Fabric и доверенном доступе в учетной записи хранения ADLS 2-го поколения, можно создать конвейеры данных для доступа к данным из Fabric. Вы можете создать новый конвейер данных для копирования данных в Lakehouse Fabric, а затем начать анализ данных с помощью Spark, SQL и Power BI.

Необходимые компоненты

  • Рабочая область Fabric, связанная с емкостью Fabric. См . удостоверение рабочей области.
  • Создайте удостоверение рабочей области, связанное с рабочей областью Fabric.
  • Учетная запись пользователя или субъект-служба, используемая для создания подключения, должна иметь роли Azure RBAC в учетной записи хранения. Субъект должен иметь роль участника данных BLOB-объектов хранилища, владельца данных BLOB-объектов хранилища или средства чтения данных BLOB-объектов хранилища в области учетной записи хранения.
  • Настройте правило экземпляра ресурса для учетной записи хранения.

Шаги

  1. Начните с выбора получения данных в озерном доме.

  2. Выберите новый конвейер данных. Укажите имя конвейера и нажмите кнопку "Создать".

    Снимок экрана: диалоговое окно

  3. Выберите Azure Data Lake 2-го поколения в качестве источника данных.

    Снимок экрана: выбор выбора ADLS 2-го поколения.

  4. Укажите URL-адрес учетной записи хранения, настроенной с доступом к доверенной рабочей области, и выберите имя подключения. Для проверки подлинности выберите учетную запись организации или субъект-службу.

    Снимок экрана: параметры подключения для источника данных.

    По завершении нажмите Далее.

  5. Выберите файл, который необходимо скопировать в lakehouse.

    Снимок экрана: selection.png файла

    По завершении нажмите Далее.

  6. На экране "Просмотр и сохранение" нажмите кнопку "Начать передачу данных" немедленно. По завершении нажмите кнопку "Сохранить и запустить".

    Снимок экрана: review-and-save-screen.png

  7. Когда состояние конвейера изменится с queued на Succeeded, перейдите в lakehouse и убедитесь, что таблицы данных были созданы.

Использование инструкции T-SQL COPY для приема данных в хранилище

С помощью удостоверения рабочей области, настроенного в Fabric и доверенном доступе в учетной записи хранения ADLS 2-го поколения, можно использовать инструкцию COPY T-SQL для приема данных в хранилище Fabric. После приема данных в хранилище можно начать анализ данных с помощью SQL и Power BI.

Ограничения и рекомендации

  • Доступ к доверенной рабочей области поддерживается для рабочих областей в любой емкости SKU Fabric F.
  • Доступ к доверенной рабочей области можно использовать только в сочетаниях клавиш OneLake, конвейерах данных и инструкции T-SQL COPY. Сведения о безопасном доступе к учетным записям хранения из Fabric Spark см. в статье "Управляемые частные конечные точки для Fabric".
  • Если рабочая область с удостоверением рабочей области переносится в емкость, не связанную с Fabric, или в емкость SKU Fabric, доступ к доверенной рабочей области перестанет работать через час.
  • Существующие ярлыки, созданные до 10 октября 2023 г., не поддерживают доступ к доверенной рабочей области.
  • Подключения для доступа к доверенной рабочей области не могут быть созданы или изменены в разделе "Управление подключениями и шлюзами".
  • Подключения к учетным записям хранения с поддержкой брандмауэра будут иметь состояние "Автономный " в разделе "Управление подключениями и шлюзами".
  • Если вы повторно используете подключения, поддерживающие доступ к доверенной рабочей области в элементах Fabric, отличных от сочетаний клавиш и конвейеров, или в других рабочих областях, они могут не работать.
  • Для проверки подлинности учетных записей хранения для доступа к доверенной рабочей области необходимо использовать только учетную запись организации или субъект-службу .
  • Конвейеры не могут записывать ярлыки таблиц OneLake в учетных записях хранения с доверенным доступом к рабочей области. Это временное ограничение.
  • Можно настроить не более 200 правил экземпляра ресурсов. Дополнительные сведения см. в разделе об ограничениях и квотах подписки Azure — Azure Resource Manager.
  • Доступ к доверенной рабочей области работает только в том случае, если общедоступный доступ включен из выбранных виртуальных сетей и IP-адресов.
  • Правила экземпляра ресурсов для рабочих областей Fabric должны создаваться с помощью шаблонов ARM. Правила экземпляра ресурсов, созданные с помощью пользовательского интерфейса портал Azure, не поддерживаются.
  • Предварительно существующие сочетания клавиш в рабочей области, которая соответствует предварительным требованиям, автоматически начнет поддерживать доверенный доступ к службе.
  • Если в вашей организации есть политика условного доступа Entra для удостоверений рабочей нагрузки, включающая все субъекты-службы, доступ к доверенной рабочей области не будет работать. В таких случаях необходимо исключить определенные удостоверения рабочей области Fabric из политики условного доступа для удостоверений рабочей нагрузки.
  • Доступ к доверенной рабочей области не поддерживается, если субъект-служба используется для создания ярлыка.

Устранение неполадок с доступом к доверенной рабочей области

Если ярлык в lakehouse, предназначенный для учетной записи хранения ADLS 2-го поколения, становится недоступным, это может быть связано с тем, что lakehouse был предоставлен пользователю, у которого нет администратора, члена или участника роли в рабочей области, в которой находится lakehouse. Это известная проблема. Исправление заключается в том, чтобы не предоставлять доступ к lakehouse пользователям, у которых нет роли администратора, члена или участника в рабочей области.

Пример шаблона ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}