セキュリティで保護された Microsoft Purview アカウントに Azure Synapse Analytics からアクセスする
この記事では、さまざまな統合シナリオ向けに、セキュリティで保護された Microsoft Purview アカウントに Azure Synapse Analytics からアクセスする方法について説明します。
Microsoft Purview プライベート エンドポイントをデプロイするシナリオ
Azure プライベート エンドポイントを使用すれば、Microsoft Purview アカウントで、Private Link を通じて、仮想ネットワーク (VNet) からカタログへの保護されたアクセスを実行できます。 Microsoft Purview には、さまざまなアクセス ニーズに対応した、"アカウント" プライベート エンドポイント、"ポータル" プライベート エンドポイント、"インジェスト" プライベート エンドポイントなどの多様な種類のプライベート エンドポイントが用意されています。 詳細については、Microsoft Purview プライベート エンドポイントの概要をご覧ください。
Microsoft Purview アカウントがファイアウォールで保護されており、一般のアクセスが拒否されている場合は、次のチェックリストを使用してプライベート エンドポイントをセットアップし、Synapse から Microsoft Purview に接続できるようにします。
シナリオ | 必要な Microsoft Purview プライベート エンドポイント |
---|---|
パイプラインを実行して系列を Microsoft Purview に報告する | Synapse パイプラインで Microsoft Purview に系列をプッシュするには、Microsoft Purview "アカウント" と "インジェスト" プライベート エンドポイントが必要です。 - Azure Integration Runtime を使用している場合は、「Microsoft Purview のマネージド プライベート エンドポイント」セクションの手順に従って、Synapse によって管理される仮想ネットワークにマネージド プライベート エンドポイントを作成します。 - セルフホステッド統合ランタイムを使用するときは、このセクションの手順に従って、統合ランタイムの仮想ネットワークにアカウントおよびインジェスト プライベート エンドポイントを作成します。 |
Synapse Studio で Microsoft Purview を使用してデータを検出および探索する | Synapse Studio の上部中央にある検索バーを使用して Microsoft Purview データを検索してアクションを実行するには、Synapse Studio を起動する仮想ネットワーク内に、Microsoft Purview の "アカウント" および "ポータル" プライベート エンドポイントを作成する必要があります。 アカウントとポータル プライベート エンドポイントの有効化に関するセクションの手順に従います。 |
Microsoft Purview のマネージド プライベート エンドポイント
マネージド プライベート エンドポイントは、ご自分の Azure Synapse ワークスペースに関連付けられているマネージド仮想ネットワークに作成されたプライベート エンドポイントです。 パイプラインを実行し、ファイアウォールで保護された Microsoft Purview アカウントに系列をレポートする場合、"マネージド仮想ネットワーク" のオプションを有効にして Synapse ワークスペースが作成されていることを確認してから、次のとおりに Microsoft Purview の "アカウント" および "インジェスト" マネージド プライベート エンドポイントを作成します。
マネージド プライベート エンドポイントを作成する
Synapse Studio で Microsoft Purview 用のマネージド プライベート エンドポイントを作成するには:
[管理] ->[Microsoft Purview] に移動し、[編集] をクリックして既存の接続済み Microsoft Purview アカウントを編集するか、[Connect to a Microsoft Purview account](Microsoft Purview アカウントに接続) をクリックして新しい Microsoft Purview アカウントに接続します。
[Create managed private endpoints](マネージド プライベート エンドポイントを作成する) で [Yes](はい) を選択します。 "workspaces/managedPrivateEndpoint/write" アクセス許可 (Synapse 管理者や Synapse のリンクされた Data Manager のロールなど) が付与されている必要があります。
ヒント
マネージド プライベート エンドポイントを作成するオプションが表示されない場合は、作成時にマネージド仮想ネットワーク オプションが有効になっている Azure Synapse ワークスペースを使用または作成する必要があります。
[+ すべて作成する] ボタンをクリックして、Microsoft Purview の管理対象リソース (BLOB ストレージ、キュー ストレージ、Event Hubs 名前空間) 用に、"アカウント" プライベート エンドポイントや "インジェスト" プライベート エンドポイントなどの必要な Microsoft Purview プライベート エンドポイントをバッチ作成します。 Synapse で Microsoft Purview の管理対象リソースの情報を取得するには、Microsoft Purview アカウントで少なくとも閲覧者ロールが必要です。
次のページで、プライベート エンドポイントの名前を指定します。 インジェスト プライベート エンドポイントの名前も、これとサフィックスを使用して生成されます。
[Create](作成) をクリックしてプライベート エンドポイントを作成します。 作成後 4 つのプライベート エンドポイント要求が生成されるので、Microsoft Purview の所有者がこれらを承認する必要があります。
このようなマネージド プライベート エンドポイントのバッチ作成は、Synapse Studio でのみ実行できます。 プログラムを使用してマネージド プライベート エンドポイントを作成する場合は、これらのプライベート エンドポイントを個別に作成する必要があります。 Microsoft Purview 管理対象リソースの情報は、Azure portal -> 目的の Microsoft Purview アカウント -> [Managed resources](管理対象リソース) で見られます。
プライベート エンドポイントの接続を承認する
Microsoft Purview マネージド プライベート エンドポイントを作成すると、はじめは Pending (保留) の状態になっています。 Microsoft Purview の所有者は、リソースごとにプライベート エンドポイントの接続を承認する必要があります。
Microsoft Purview プライベート エンドポイント接続を承認するアクセス許可を持っている場合は、Synapse Studio で以下の手順を実行します。
- [管理] ->[Microsoft Purview] ->[編集] の順に移動します
- プライベート エンドポイントのリストで、各プライベート エンドポイント名の隣の [Edit](編集) (鉛筆ボタン) をクリックします
- [Manage approvals in Azure portal](Azure portal で承認を管理) をクリックしてリソースに移動します。
- そのリソースで、[ネットワーク] ->[プライベート エンドポイントの接続] に移動して承認を行います。 プライベート エンドポイントは
data_factory_name.your_defined_private_endpoint_name
という名前になっており、“Requested by data_factory_name” (data_factory_name の要求による) という説明が付いています。 - すべてのプライベート エンドポイントに対しこの操作を繰り返します。
Microsoft Purview プライベート エンドポイントの接続を承認する権限がない場合は、次の手順を実行するよう Microsoft Purview アカウントの所有者に依頼します。
- "アカウント" プライベート エンドポイントについては、Azure portal -> 目的の Microsoft Purview アカウント -> [Networking](ネットワーク) -> 承認するプライベート エンドポイントの接続、に移動します。
- "インジェスト" プライベート エンドポイントについては、Azure portal -> 目的の Microsoft Purview アカウント -> [Managed resources](管理対象リソース) に移動し、Storage アカウントと Event Hubs の名前空間をそれぞれクリックし、[Networking](ネットワーク) -> [Private endpoint connection](プライベート エンドポイントの接続) ページでプライベート エンドポイントの接続を承認します。
マネージド プライベート エンドポイントを監視する
Microsoft Purview でマネージド プライベート エンドポイントを作成したら、2 つの場所でそれを監視できます。
- [管理] ->[Microsoft Purview] ->[編集] と移動して、既存の接続済み Microsoft Purview アカウントを開きます。 関連するすべてのプライベート エンドポイントを表示するには、Synapse で Microsoft Purview の管理対象リソースの情報を取得するために、Microsoft Purview アカウントで少なくとも閲覧者ロールが必要です。 そうしないと、警告の付いたアカウント プライベート エンドポイントしか表示されません。
- [管理]>[マネージド プライベート エンドポイント] の順に移動します。そこに、Synapse ワークスペースで作成されたマネージド プライベート エンドポイントがすべて表示されます。 Microsoft Purview アカウントで少なくとも閲覧者ロールを持っていれば、関連するエンドポイント同士をグループ化した形で、Microsoft Purview のプライベート エンドポイントが表示されます。 そうでない場合は、リスト上に個別に表示されます。