Κοινή χρήση μέσω

Κύρια υπηρεσία στην Αποθήκη δεδομένων Fabric

  • Άρθρο

Ισχύει για:✅ Warehouse στο Microsoft Fabric

Μια κύρια υπηρεσία Azure (SPN) είναι μια ταυτότητα ασφαλείας που χρησιμοποιείται από εφαρμογές ή εργαλεία αυτοματισμού για πρόσβαση σε συγκεκριμένους πόρους του Azure. Σε αντίθεση με τις ταυτότητες χρήστη, οι οντότητες υπηρεσίας είναι μη αλληλεπιδραστικές ταυτότητες που βασίζονται σε εφαρμογές και μπορούν να εκχωρηθούν ακριβή δικαιώματα, καθιστώντας τις ιδανικές για αυτοματοποιημένες διαδικασίες ή υπηρεσίες παρασκηνίου. Χρησιμοποιώντας τις οντότητες υπηρεσίας, μπορείτε να συνδεθείτε με ασφάλεια στις προελεύσεις δεδομένων σας, ελαχιστοποιώντας τους κινδύνους από ανθρώπινα σφάλματα και θέματα ευπάθειας που βασίζονται στην ταυτότητα. Για να μάθετε περισσότερα σχετικά με τις οντότητες υπηρεσίας, ανατρέξτε στο θέμα Αντικείμενα εφαρμογής και κύριας υπηρεσίας στο Αναγνωριστικό Entra της Microsoft.

Προϋποθέσεις

  1. Δημιουργία κύριας υπηρεσίας, ανάθεση ρόλων και δημιουργία μυστικού κωδικού με χρήση του Azure.

  2. Βεβαιωθείτε ότι ο διαχειριστής μισθωτή μπορεί να ενεργοποιήσει Οι οντότητες υπηρεσίας μπορούν να χρησιμοποιούν API Fabric στην πύλη διαχείρισης Fabric.

  3. Βεβαιωθείτε ότι ένας χρήστης με ρόλο διαχειριστή χώρο εργασίας μπορεί να εκχωρήσει πρόσβαση για ένα SPN μέσω διαχείρισης πρόσβασης στον χώρο εργασίας.

    Στιγμιότυπο οθόνης από την πύλη Fabric του αναδυόμενου παραθύρου διαχείρισης πρόσβασης.

Δημιουργία και πρόσβαση σε αποθήκες μέσω API REST με χρήση του SPN

Χρήστες με ρόλο διαχειριστή, μέλους ή συμβάλλοντα χώρου εργασίας μπορούν να χρησιμοποιήσουν οντότητες υπηρεσίας για τον έλεγχο ταυτότητας για να δημιουργήσουν, να ενημερώσουν, να διαβάσουν και να διαγράψουν στοιχεία της Αποθήκης μέσω του Fabric REST API. Αυτό σας επιτρέπει να αυτοματοποιείτε επαναλαμβανόμενες εργασίες όπως η προμήθεια ή η διαχείριση αποθηκών χωρίς να βασίζεστε σε διαπιστευτήρια χρήστη.

Εάν χρησιμοποιείτε έναν πληρεξούσιο λογαριασμό ή μια σταθερή ταυτότητα (ταυτότητα κατόχου) για να δημιουργήσετε την αποθήκη, η αποθήκη θα χρησιμοποιήσει αυτά τα διαπιστευτήρια κατά την πρόσβαση στο OneLake. Αυτό δημιουργεί ένα πρόβλημα όταν ο κάτοχος αποχωρήσει από τον οργανισμό, επειδή η αποθήκη θα σταματήσει να λειτουργεί. Για να το αποφύγετε αυτό, δημιουργήστε αποθήκες χρησιμοποιώντας ένα SPN.

Το Fabric απαιτεί επίσης από τον χρήστη να εισέρχεται κάθε 30 ημέρες για να εξασφαλίσει ότι παρέχεται ένα έγκυρο διακριτικό για λόγους ασφαλείας. Για μια αποθήκη δεδομένων, ο κάτοχος πρέπει να εισέρχεται στο Fabric κάθε 30 ημέρες. Αυτό μπορεί να αυτοματιστεί χρησιμοποιώντας ένα SPN με το API List.

Στιγμιότυπο οθόνης μιας κλήσης POST API Fabric χρησιμοποιώντας ένα SPN.

Οι αποθήκες που δημιουργούνται από ένα SPN με χρήση API REST θα εμφανίζονται στην προβολή Λίστα χώρων εργασίας στην πύλη Fabric, με το όνομα κατόχου ως SPN. Στην παρακάτω εικόνα, ένα στιγμιότυπο οθόνης από τον χώρο εργασίας στην πύλη Fabric, "Fabric Public API test app" είναι το SPN που δημιούργησε την Αποθήκη μάρκετινγκ Contoso.

Στιγμιότυπο οθόνης από την πύλη Fabric της λίστας στοιχείων χώρου εργασίας. Εμφανίζεται μια αποθήκη. Ο κάτοχος δεν είναι ένας προσωπικός λογαριασμός, αλλά ένα SPN.

Σύνδεση σε εφαρμογές-πελάτες με χρήση του SPN

Μπορείτε να συνδεθείτε σε αποθήκες Fabric χρησιμοποιώντας κύριες υπηρεσίες με εργαλεία όπως το SQL Server Management Studio (SSMS) 19 ή νεότερες εκδόσεις.

  • ελέγχου ταυτότητας: κύρια υπηρεσίας Του Microsoft Entra
  • όνομα χρήστη: Αναγνωριστικό προγράμματος-πελάτη του SPN (δημιουργήθηκε μέσω του Azure στην ενότητα Προαπαιτούμενο)
  • κωδικός πρόσβασης: Μυστικός κωδικός (δημιουργήθηκε μέσω του Azure στην προαπαιτούμενη ενότητα)

Στιγμιότυπο οθόνης της εισόδου στο Fabric με ΈΝΑ SPN στο SQL Server Management Studio (SSMS).

Δικαιώματα επιπέδου ελέγχου

Στα SPN μπορεί να εκχωρηθεί πρόσβαση σε αποθήκες χρησιμοποιώντας ρόλους χώρου εργασίας μέσω Διαχείριση πρόσβασης στον χώρο εργασίας. Επιπλέον, οι αποθήκες μπορούν να τεθούν σε κοινή χρήση με ένα SPN μέσω της πύλης Fabric μέσω δικαιωμάτων στοιχείου.

Δικαιώματα επιπέδου δεδομένων

Όταν παρέχονται δικαιώματα επιπέδου ελέγχου στις αποθήκες σε ένα SPN μέσω ρόλων χώρου εργασίας ή δικαιωμάτων Item, οι διαχειριστές μπορούν να χρησιμοποιήσουν εντολές T-SQL όπως GRANT για να εκχωρήσουν συγκεκριμένα δικαιώματα επιπέδου δεδομένων σε κύριες υπηρεσίες, για να ελέγξουν ακριβώς σε ποια μετα-δεδομένα/δεδομένα και λειτουργίες έχει πρόσβαση ένα SPN. Αυτό συνιστάται για να ακολουθείτε την αρχή του ελάχιστου δικαιώματος.

Για παράδειγμα:

GRANT SELECT ON <table name> TO <service principal name>;

Μετά την εκχώρηση των δικαιωμάτων, τα SPN μπορούν να συνδεθούν σε εργαλεία εφαρμογών προγράμματος-πελάτη όπως το SSMS, παρέχοντας έτσι ασφαλή πρόσβαση στους προγραμματιστές για την εκτέλεση της COPY INTO (με και χωρίς ενεργοποιημένο χώρο αποθήκευσης τείχους προστασίας), καθώς και να εκτελέσουν οποιοδήποτε ερώτημα T-SQL μέσω προγραμματισμού βάσει χρονοδιαγράμματος με διοχετεύσεις του Data Factory.

Στιγμιότυπο οθόνης ενός ερωτήματος και αποτελέσματος στο SQL Server Management Studio (SSMS), όπου ο χρήστης έχει αποκτήσει πρόσβαση σε ένα αντικείμενο υπηρεσίας αποθήκευσης Azure χρησιμοποιώντας το SPN.

Οθόνη

Όταν ένα SPN εκτελεί ερωτήματα στην αποθήκη, υπάρχουν διάφορα εργαλεία παρακολούθησης που παρέχουν ορατότητα στον χρήστη ή το SPN που εκτελέστηκε το ερώτημα. Μπορείτε να βρείτε τον χρήστη για δραστηριότητα ερωτημάτων με τους εξής τρόπους:

  • δυναμικών προβολών διαχείρισης (DMV): login_name στήλη στο sys.dm_exec_sessions.
  • Πληροφοριών ερωτήματος: login_name στήλη σε queryinsights.exec_requests_history προβολή.
  • δραστηριότητας ερωτημάτων: submitter στήλη στη δραστηριότητα ερωτήματος Fabric.
  • εφαρμογή μετρικών εκχωρημένων πόρων: Η υπολογιστική χρήση για λειτουργίες αποθήκης που εκτελούνται από το SPN εμφανίζεται ως το Αναγνωριστικό προγράμματος-πελάτη κάτω από τη στήλη Χρήστης στον πίνακα λειτουργίες παρασκηνίου.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Παρακολούθηση αποθήκης δεδομένων Fabric.

API ανάληψης ελέγχου

Η κυριότητα των αποθηκών μπορεί να αλλάξει από SPN σε χρήστη και από χρήστη σε SPN.

  • Ανάληψη ελέγχου από SPN ή χρήστη σε χρήστη: Ανατρέξτε Αλλαγή κυριότητας της Αποθήκης Fabric.

  • Ανάληψη ελέγχου από SPN ή χρήστη σε SPN: Χρησιμοποιήστε μια κλήση POST στο REST API.

    POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover

Περιορισμούς

Περιορισμοί των οντοτήτων υπηρεσίας με την Αποθήκη δεδομένων Microsoft Fabric:

  • Τα προεπιλεγμένα σημασιολογικά μοντέλα δεν υποστηρίζονται για αποθήκες που δημιουργήθηκαν από το SPN και, κατά συνέπεια, δυνατότητες όπως η παράθεση πινάκων σε προβολή συνόλου δεδομένων, η δημιουργία αναφοράς από το προεπιλεγμένο σύνολο δεδομένων δεν θα λειτουργούν.
  • Η κύρια υπηρεσία για τελικά σημεία ανάλυσης SQL δεν υποστηρίζεται προς το παρόν.
  • Τα διαπιστευτήρια κύριας υπηρεσίας ή αναγνωριστικού Entra δεν υποστηρίζονται προς το παρόν για αντιγραφή σε αρχεία σφαλμάτων.
  • Οι οντότητες υπηρεσίας δεν υποστηρίζονται για API GIT. Η υποστήριξη SPN υπάρχει μόνο για API διοχέτευσης ανάπτυξης.

Σχετικό περιεχόμενο