Erteilen von Berechtigungen für die verwaltete Identität eines Arbeitsbereichs (Vorschau)
In diesem Artikel erfahren Sie, wie Sie der verwalteten Identität in einem Azure Synapse-Arbeitsbereich Berechtigungen gewähren. Berechtigungen ermöglichen wiederum den Zugriff auf dedizierte SQL-Pools im Arbeitsbereich und im Azure Data Lake Storage Gen2-Konto über das Azure-Portal.
Hinweis
Die vom Arbeitsbereich verwaltete Identität wird im weiteren Verlauf dieses Dokuments als „verwaltete Identität“ bezeichnet.
Gewähren von Berechtigungen für die verwaltete Identität für das Data Lake Storage-Speicherkonto
Ein Data Lake Storage Gen2-Konto ist erforderlich, um einen Azure Synapse-Arbeitsbereich zu erstellen. Um Spark-Pools erfolgreich im Azure Synapse-Arbeitsbereich zu starten, benötigt die verwaltete Azure Synapse-Identität für dieses Speicherkonto die Rolle Mitwirkender an Storage-Blobdaten. Die Pipelineorchestrierung in Azure Synapse profitiert ebenfalls von dieser Rolle.
Gewähren von Berechtigungen für die verwaltete Identität während der Erstellung eines Arbeitsbereichs
Azure Synapse versucht, der verwalteten Identität die Rolle Mitwirkender an Storage-Blobdaten zu gewähren, nachdem Sie den Azure Synapse-Arbeitsbereich über das Azure-Portal erstellt haben. Stellen Sie auf der Registerkarte Grundlagen die Details zum Data Lake Storage-Konto bereit.
Wählen Sie unter Kontoname und File system name (Dateisystemname) das Data Lake Storage Gen2-Konto und das Dateisystem aus.
Wenn der Ersteller des Arbeitsbereichs auch Besitzer des Data Lake Storage-Kontos ist, weist Azure Synapse der verwalteten Identität die Rolle Mitwirkender an Storage-Blobdaten zu. Die folgende Meldung wird angezeigt.
Wenn der Ersteller des Arbeitsbereichs nicht der Besitzer des Data Lake Storage-Kontos ist, weist Azure Synapse der verwalteten Identität nicht die Rolle Mitwirkender an Storage-Blobdaten zu. Die folgende Meldung informiert den Ersteller des Arbeitsbereichs, dass er keine ausreichenden Berechtigungen besitzt, um der verwalteten Identität die Rolle Mitwirkender an Storage-Blobdaten zu gewähren.
Sie können Spark-Pools nur erstellen, wenn der verwalteten Identität die Rolle Mitwirkender an Storage-Blobdaten zugewiesen wurde.
Gewähren von Berechtigungen für die verwaltete Identität nach der Erstellung eines Arbeitsbereichs
Wenn Sie bei der Erstellung eines Arbeitsbereichs der verwalteten Identität nicht die Rolle Mitwirkender an Storage-Blobdaten zuweisen, weist der Besitzer des Data Lake Storage Gen2-Kontos der Identität diese Rolle manuell zu. Die folgenden Schritten unterstützen Sie bei der manuellen Zuweisung.
Schritt 1: Navigieren Sie zum Data Lake Storage Gen2-Konto
Öffnen Sie im Azure-Portal das Data Lake Storage Gen2-Konto und klicken Sie im linken Navigationsbereich auf Container. Sie müssen die Rolle Mitwirkender an Storage-Blobdaten nur auf Container- oder Dateisystemebene zuweisen.
Schritt 2: Auswählen des Containers
Die verwaltete Identität sollte über Datenzugriff auf den Container (das Dateisystem) verfügen, der (das) beim Erstellen des Arbeitsbereichs bereitgestellt wurde. Sie finden diesen Container oder das Dateisystem in Azure-Portal. Öffnen Sie den Azure Synapse-Arbeitsbereich im Azure-Portal, und wählen Sie im linken Navigationsbereich die Registerkarte Übersicht aus.
Wählen Sie denselben Container oder dasselbe Dateisystem aus, um der verwalteten Identität die Rolle Mitwirkender an Storage-Blobdaten zu gewähren.
Schritt 3: Öffnen der Zugriffssteuerung und Hinzufügen der Rollenzuweisung
Klicken Sie im Menü „Ressource“ auf Zugriffssteuerung (IAM).
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um die Seite Rollenzuweisung hinzufügen zu öffnen.
Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Einstellung Wert Role Mitwirkender an Storage-Blobdaten Zugriff zuweisen zu MANAGEDIDENTITY Member Name der verwalteten Identität Hinweis
Der Name der verwalteten Identität ist auch der Name des Arbeitsbereichs.
Klicken Sie auf Speichern, um die Rollenzuweisung hinzuzufügen.
Schritt 4: Überprüfen, ob die Rolle „Mitwirkender an Storage-Blobdaten“ der verwalteten Identität für das Speicherkonto zugewiesen ist
Klicken Sie auf Zugriffssteuerung (IAM) und anschließend auf Rollenzuweisungen.
Ihre verwaltete Identität sollte im Abschnitt Mitwirkender an Storage-Blobdaten mit der zugewiesenen Rolle Mitwirkender an Storage-Blobdaten angezeigt werden.
Alternative zur Rolle „Mitwirkender an Storage-Blobdaten“
Anstatt sich selbst die Rolle „Mitwirkender an Storage-Blobdaten“ zu gewähren, können Sie auch für eine Teilmenge der Dateien präzisere Berechtigungen erteilen.
Alle Benutzer, die Zugriff auf einige Daten in diesem Container benötigen, müssen auch über die EXECUTE-Berechtigung für alle übergeordneten Ordner bis hinauf zum Stammordner (Container) verfügen.
Weitere Informationen finden Sie unter Verwenden von Azure Storage-Explorer zum Verwalten von Zugriffssteuerungslisten in Azure Data Lake Storage.
Hinweis
Die Ausführungsberechtigung auf der Containerebene muss innerhalb von Data Lake Gen2 festgelegt werden. Die Berechtigungen für den Ordner können in Azure Synapse festgelegt werden.
Wenn Sie in diesem Beispiel data2.csv abfragen möchten, sind die folgenden Berechtigungen erforderlich:
- Ausführungsberechtigung für Container
- Ausführungsberechtigung für „folder1“
- Leseberechtigung für „data2.csv“
Melden Sie sich bei Azure Synapse mit einem Admin-Benutzer an, der volle Berechtigungen für die Daten hat, auf die Sie zugreifen möchten.
Klicken Sie im Datenbereich mit der rechten Maustaste auf die Datei, und wählen Sie Zugriff verwalten aus.
Wählen Sie mindestens die Berechtigung Lesen aus. Geben Sie den UPN oder die Objekt-ID des Benutzers ein, z. B.
user@contoso.com. Wählen Sie Hinzufügen.Erteilen Sie diesem Benutzer die Leseberechtigung.
Hinweis
Bei Gastbenutzern muss dieser Schritt direkt mit Azure Data Lake erfolgen, da er nicht direkt über Azure Synapse möglich ist.