Udělení oprávnění spravované identitě pracovního prostoru

Tento článek vás naučí, jak udělit oprávnění spravované identitě v pracovním prostoru Azure Synapse. Oprávnění zase umožňují přístup k vyhrazeným fondům SQL v pracovním prostoru a účtu Azure Data Lake Storage Gen2 prostřednictvím webu Azure Portal.

Poznámka:

Tato spravovaná identita pracovního prostoru se prostřednictvím zbytku tohoto dokumentu označuje jako spravovaná identita.

Udělení oprávnění spravované identity k účtu Data Lake Storage

K vytvoření pracovního prostoru Azure Synapse se vyžaduje účet Data Lake Storage Gen2. K úspěšnému spuštění fondů Sparku v pracovním prostoru Azure Synapse potřebuje spravovaná identita Azure Synapse roli Přispěvatel dat objektů blob úložiště v tomto účtu úložiště. Orchestrace kanálů v Azure Synapse také přináší výhody této role.

Udělení oprávnění spravované identitě během vytváření pracovního prostoru

Po vytvoření pracovního prostoru Azure Synapse pomocí webu Azure Portal se Azure Synapse pokusí udělit roli Přispěvatel dat objektů blob úložiště spravované identitě. Podrobnosti účtu Data Lake Storage zadáte na kartě Základy .

Zvolte účet Data Lake Storage Gen2 a systém souborů v názvu účtu a názvu systému souborů.

Pokud je tvůrce pracovního prostoru také vlastníkem účtu Data Lake Storage, Azure Synapse přiřadí spravované identitě roli Přispěvatel dat objektů blob služby Storage. Zobrazí se následující zpráva.

Pokud tvůrce pracovního prostoru není vlastníkem účtu Data Lake Storage, azure Synapse nepřiřazuje roli Přispěvatel dat objektů blob služby Storage spravované identitě. Následující zpráva upozorní tvůrce pracovního prostoru, že nemá dostatečná oprávnění k udělení role Přispěvatel dat objektů blob služby Storage spravované identitě.

Fondy Sparku nemůžete vytvářet, pokud není přispěvatel dat objektů blob služby Storage přiřazený ke spravované identitě.

Udělení oprávnění spravované identitě po vytvoření pracovního prostoru

Pokud při vytváření pracovního prostoru nepřiřadíte přispěvatele dat objektů blob služby Storage spravované identitě, pak vlastník účtu Data Lake Storage Gen2 tuto roli přiřadí identitě ručně. Následující kroky vám pomůžou provést ruční přiřazení.

Krok 1: Přechod na účet Data Lake Storage Gen2

Na webu Azure Portal otevřete účet úložiště Data Lake Storage Gen2 a v levém navigačním panelu vyberte Kontejnery . Roli Přispěvatel dat objektů blob služby Storage potřebujete přiřadit jenom na úrovni kontejneru nebo systému souborů.

Krok 2: Výběr kontejneru

Spravovaná identita by měla mít přístup k datům kontejneru (systému souborů), který byl poskytnut při vytváření pracovního prostoru. Tento kontejner nebo systém souborů najdete na webu Azure Portal. Otevřete pracovní prostor Azure Synapse na webu Azure Portal a v levém navigačním panelu vyberte kartu Přehled .

Výběrem stejného kontejneru nebo systému souborů udělte spravované identitě roli Přispěvatel dat objektů blob služby Storage.

Krok 3: Otevření řízení přístupu a přidání přiřazení role

1. V nabídce prostředků vyberte Řízení přístupu (IAM ).

2. Výběrem možnosti Přidat>přiřazení role otevřete stránku Přidat přiřazení role.

3. Přiřaďte následující roli. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

   Nastavení	Hodnota
   Role	Přispěvatel dat objektů blob úložiště
   Přiřadit přístup k	MANAGEDIDENTITY
   Členové	název spravované identity

   Poznámka:

   Název spravované identity je také název pracovního prostoru.

   

4. Výběrem možnosti Uložit přidejte přiřazení role.

Krok 4: Ověření přiřazení role Přispěvatel dat objektů blob úložiště ke spravované identitě

Vyberte Řízení přístupu (IAM) a pak vyberte Přiřazení rolí.

Spravovaná identita by se měla zobrazit v části Přispěvatel dat objektů blob úložiště s přiřazenou rolí Přispěvatel dat v objektech blob služby Storage.

Alternativa k roli Přispěvatel dat v objektech blob služby Storage

Místo udělení role Přispěvatel dat objektů blob služby Storage můžete také udělit podrobnější oprávnění k podmnožině souborů.

Všichni uživatelé, kteří potřebují přístup k některým datům v tomto kontejneru, musí mít také oprávnění EXECUTE pro všechny nadřazené složky až do kořenového adresáře (kontejneru).

Další informace najdete v tématu Použití Průzkumník služby Azure Storage ke správě seznamů ACL ve službě Azure Data Lake Storage.

Poznámka:

Oprávnění ke spuštění na úrovni kontejneru musí být nastaveno v rámci Data Lake Storage Gen2. Oprávnění ke složce je možné nastavit v rámci Azure Synapse.

Pokud chcete dotazovat data2.csv v tomto příkladu, potřebujete následující oprávnění:

• Oprávnění ke spuštění v kontejneru
• Oprávnění ke spuštění složky 1
• Oprávnění ke čtení u data2.csv

1. Přihlaste se k Azure Synapse pomocí uživatele správce, který má úplná oprávnění k datům, ke kterým chcete získat přístup.

2. V podokně dat klikněte pravým tlačítkem myši na soubor a vyberte Spravovat přístup.

   

3. Vyberte alespoň oprávnění ke čtení . Zadejte hlavní název uživatele (UPN) nebo ID objektu, user@contoso.comnapříklad . Vyberte Přidat.

4. Udělte tomuto uživateli oprávnění ke čtení.

   

Poznámka:

Pro uživatele typu host je potřeba tento krok provést přímo se službou Azure Data Lake, protože ho nejde provést přímo přes Azure Synapse.

Související obsah

• Spravovaná identita pro Azure Data Factory
• Osvědčené postupy pro vyhrazené fondy SQL
• Řešení potíží s bezserverovým fondem SQL ve službě Azure Synapse Analytics
• Nejčastější dotazy ke službě Azure Synapse Analytics