Sdílet prostřednictvím

Připojení k zabezpečenému účtu úložiště Azure z pracovního prostoru Synapse

  • Článek

Tento článek vysvětluje, jak se připojit k zabezpečenému účtu úložiště Azure z pracovního prostoru Azure Synapse. Účet úložiště Azure můžete propojit s pracovním prostorem Synapse při vytváření pracovního prostoru. Po vytvoření pracovního prostoru můžete propojit další účty úložiště.

Zabezpečené účty úložiště Azure

Azure Storage poskytuje vrstvený model zabezpečení, který umožňuje zabezpečit a řídit přístup k účtům úložiště. Můžete nakonfigurovat pravidla brány firewall protokolu IP tak, aby udělovali provoz z vybraných rozsahů veřejných IP adres přístup k vašemu účtu úložiště. Můžete také nakonfigurovat pravidla sítě, která udělují provoz z vybraných virtuálních sítí přístup k vašemu účtu úložiště. Můžete kombinovat pravidla brány firewall protokolu IP, která umožňují přístup z vybraných rozsahů IP adres a pravidel sítě, která udělují přístup z vybraných virtuálních sítí ve stejném účtu úložiště.

Tato pravidla platí pro veřejný koncový bod účtu úložiště. K povolení provozu ze spravovaných privátních koncových bodů vytvořených ve vašem pracovním prostoru do účtu úložiště nepotřebujete žádná pravidla přístupu. Pravidla brány firewall úložiště se dají použít pro existující účty úložiště nebo pro nové účty úložiště při jejich vytváření. Další informace o zabezpečení účtu úložiště najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí.

Pracovní prostory Synapse a virtuální sítě

Když vytvoříte pracovní prostor Synapse, můžete zvolit, že se k němu bude mít přidružená spravovaná virtuální síť.

Pokud při vytváření nepovolíte spravovanou virtuální síť pro váš pracovní prostor, bude váš pracovní prostor ve sdílené virtuální síti spolu s dalšími pracovními prostory Synapse, které k němu nemají přidruženou spravovanou virtuální síť.

Pokud při vytváření pracovního prostoru povolíte spravovanou virtuální síť, bude váš pracovní prostor přidružený k vyhrazené virtuální síti spravované službou Azure Synapse. Tyto virtuální sítě se nevytvořily ve vašem zákaznickém předplatném. Proto nemůžete udělit provoz z těchto virtuálních sítí přístup k vašemu zabezpečenému účtu úložiště pomocí pravidel sítě popsaných výše.

Přístup k zabezpečenému účtu úložiště

Synapse funguje ze sítí, které není možné zahrnout do pravidel sítě. Pomocí následujícího postupu povolte přístup z pracovního prostoru k účtu zabezpečeného úložiště.

  1. Vytvořte pracovní prostor Azure Synapse se spravovanou virtuální sítí přidruženou k němu a vytvořte z něj spravované privátní koncové body do účtu zabezpečeného úložiště. Pokud k vytvoření pracovního prostoru použijete Azure Portal, můžete spravovanou virtuální síť povolit na kartě Sítě.

    Snímek obrazovky znázorňující možnost Spravovat virtuální síť na kartě Sítě

  2. Pokud povolíte spravovanou virtuální síť nebo synapse zjistí, že primární účet úložiště je zabezpečený účet úložiště, máte možnost vytvořit spravovaný privátní koncový bod pro primární účet úložiště, jak je znázorněno. Vlastník účtu úložiště musí schválit žádost o připojení k navázání privátního propojení. Synapse také schválí tuto žádost o připojení, pokud má uživatel, který v pracovním prostoru vytváří fond Apache Sparku, dostatečná oprávnění ke schválení žádosti o připojení.

  3. Udělte pracovnímu prostoru Azure Synapse přístup k účtu zabezpečeného úložiště jako důvěryhodné službě Azure. Jako důvěryhodná služba pak Azure Synapse používá silné ověřování k zabezpečenému připojení k vašemu účtu úložiště.

Vytvoření pracovního prostoru Synapse se spravovanou virtuální sítí a vytvoření spravovaných privátních koncových bodů pro váš účet úložiště

Pokud chcete vytvořit pracovní prostor Synapse, který má přidruženou spravovanou virtuální síť, podívejte se na spravovanou virtuální síť Azure Synapse Analytics.

Po vytvoření pracovního prostoru s přidruženou spravovanou virtuální sítí můžete pro svůj zabezpečený účet úložiště vytvořit spravovaný privátní koncový bod. Postup najdete v tématu Vytvoření spravovaného privátního koncového bodu pro zdroj dat.

Udělení přístupu k účtu zabezpečeného úložiště jako důvěryhodné službě Azure Pracovnímu prostoru Azure Synapse

Analytické funkce, jako je vyhrazený fond SQL a bezserverový fond SQL, využívají víceklientickou infrastrukturu, která není nasazená do spravované virtuální sítě. Aby provoz z těchto funkcí měl přístup k zabezpečenému účtu úložiště, musíte nakonfigurovat přístup k účtu úložiště na základě spravované identity přiřazené systémem pracovního prostoru pomocí následujícího postupu.

  1. Na webu Azure Portal přejděte do zabezpečeného účtu úložiště a v levém navigačním podokně vyberte Sítě .

    Snímek obrazovky s konfigurací sítě účtu úložiště

  2. V části Instance prostředků jako typ prostředku vyberte Microsoft.Synapse/workspacesa jako typ prostředku zadejte název vašeho pracovního prostoru pro název instance. Zvolte Uložit.

    Teď byste měli mít přístup k zabezpečenému účtu úložiště z pracovního prostoru.

Související obsah