Concesión de permisos a una identidad administrada de área de trabajo (versión preliminar)
En este artículo, se muestra cómo conceder permisos a la identidad administrada en el área de trabajo de Azure Synapse. Los permisos, a su vez, permiten acceder a los grupos de SQL dedicados del área de trabajo y la cuenta de Azure Data Lake Storage Gen2 mediante Azure Portal.
Nota:
En el resto de este documento, se hará referencia a la identidad administrada del área de trabajo como identidad administrada.
Concesión de permisos de la identidad administrada para la cuenta de Data Lake Storage
Se requiere una cuenta de Data Lake Storage Gen2 para crear un área de trabajo de Azure Synapse. Para iniciar correctamente grupos de Spark en el área de trabajo de Azure Synapse, la identidad administrada de Azure Synapse necesita el rol Colaborador de datos de Storage Blob en esta cuenta de almacenamiento. La orquestación de canalizaciones en Azure Synapse también se beneficia de este rol.
Concesión de permisos a una identidad administrada durante la creación del área de trabajo
Azure Synapse intenta conceder el rol Colaborador de datos de Storage Blob a la identidad administrada después de crear el área de trabajo de Azure Synapse mediante Azure Portal. Proporcione los detalles de la cuenta de Data Lake Storage en la pestaña Datos básicos.
Elija la cuenta de Data Lake Storage Gen2 y el sistema de archivos en Nombre de cuenta y Nombre del sistema de archivos.
Si el creador del área de trabajo también es Propietario de la cuenta de Data Lake Storage, Azure Synapse asigna el rol Colaborador de datos de Storage Blob a la identidad administrada. Aparece el mensaje siguiente.
Si el creador del área de trabajo no es propietario de la cuenta de Data Lake Storage, Azure Synapse no asigna el rol Colaborador de datos de Storage Blob a la identidad administrada. El siguiente mensaje notifica al creador del área de trabajo que no tiene permisos suficientes para conceder el rol Colaborador de datos de Storage Blob a la identidad administrada.
No puede crear grupos de Spark a menos que el rol Colaborador de datos de Storage Blob esté asignado a la identidad administrada.
Concesión de permisos a una identidad administrada después de la creación del área de trabajo
Durante la creación del área de trabajo, si no asigna el rol Colaborador de datos de Storage Blob a la identidad administrada, el Propietario de la cuenta de Data Lake Storage Gen2 asigna manualmente dicho rol a la identidad. Los pasos siguientes le ayudan a realizar la asignación manual.
Paso 1: Ir a la cuenta de Data Lake Storage Gen2
En Azure Portal, abra la cuenta de almacenamiento de Data Lake Storage Gen2 y seleccione Contenedores en el panel de navegación izquierdo. Solo es necesario asignar el rol Colaborador de datos de Storage Blob en el nivel de contenedor o sistema de archivos.
Paso 2: Selección del contenedor
La identidad administrada debe tener acceso a los datos del contenedor (sistema de archivos) que se especificó al crear el área de trabajo. Puede encontrar este contenedor o sistema de archivos en Azure Portal. Abra el área de trabajo de Azure Synapse en Azure Portal y seleccione la pestaña Información general en el panel de navegación izquierdo.
Seleccione el mismo contenedor o sistema de archivos para conceder el rol de Colaborador de datos de Storage Blob a la identidad administrada.
Paso 3: Apertura del control de acceso y adición de asignación de roles
Seleccione Control de acceso (IAM) en el menú de recursos.
Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.
Asigne el siguiente rol. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.
Configuración Valor Role Colaborador de datos de blobs de almacenamiento Asignar acceso a MANAGEDIDENTITY Miembros Nombre de la identidad administrada Nota
El nombre de la identidad administrada también es el nombre del área de trabajo.
Seleccione Guardar para agregar la asignación de roles.
Paso 4: Comprobación de que el rol de colaborador de datos de Storage Blob está asignado a la identidad administrada
Seleccione Control de acceso (IAM) y después Asignaciones de roles.
La identidad administrada debería mostrarse en la sección Colaborador de datos de Storage Blob con el rol Colaborador de datos de Storage Blob asignado.
Alternativa al rol Colaborador de datos de Storage Blob
En lugar de concederse el rol de colaborador de datos de blob de almacenamiento, también puede conceder permisos más específicos sobre un subconjunto de archivos.
Todos los usuarios que necesitan acceso a algunos datos de este contenedor también deben tener el permiso EXECUTE sobre todas las carpetas principales hasta la raíz (el contenedor).
Para obtener más información, consulte Uso del Explorador de Azure Storage para administrar listas de control de acceso en Azure Data Lake Storage.
Nota:
El permiso de ejecución sobre el nivel de contenedor debe establecerse en Data Lake Gen2. Los permisos sobre la carpeta se pueden establecer en Azure Synapse.
Si quiere consultar el archivo data2.csv de este ejemplo, se necesitan los siguientes permisos:
- Permiso de ejecución sobre el contenedor
- Permiso de ejecución sobre folder1
- Permiso de lectura sobre data2.csv
Inicie sesión en Azure Synapse con un usuario administrador que tenga permisos completos sobre los datos a los que quiere acceder.
En el panel de datos, haga clic con el botón derecho en el archivo y seleccione Administrar acceso.
Seleccione al menos el permiso Lectura. Escriba el UPN o el identificador de objeto del usuario, por ejemplo,
user@contoso.com. Seleccione Agregar.Conceda a este usuario permiso de lectura.
Nota:
En el caso de los usuarios invitados, este paso debe hacerse directamente con el servicio Azure Data Lake, ya que no se puede hacer directamente mediante Azure Synapse.