다음을 통해 공유

Fabric Data Warehouse 내의 서비스 주체

  • 아티클

적용 대상: Microsoft Fabric의✅ Warehouse

AZURE SPN(서비스 주체)은 애플리케이션 또는 자동화 도구에서 특정 Azure 리소스에 액세스하는 데 사용하는 보안 ID입니다. 사용자 ID와 달리 서비스 주체는 정확한 권한을 할당할 수 있는 비대화형 애플리케이션 기반 ID이므로 자동화된 프로세스 또는 백그라운드 서비스에 적합합니다. 서비스 주체를 사용하면 사용자 오류 및 ID 기반 취약성의 위험을 최소화하면서 데이터 원본에 안전하게 연결할 수 있습니다. 서비스 주체에 대한 자세한 내용은 Microsoft Entra IDApplication 및 서비스 주체 개체를 참조하세요.

필수 구성 요소

  1. Azure사용하여 서비스 주체를 만들고, 역할을 할당하고, 비밀을 만듭니다.

  2. 테넌트 관리자가 패브릭 관리 포털에서 서비스 주체가 패브릭 API를 사용할 수 있도록 설정할 수 있는지 확인합니다.

  3. 관리자 작업 영역 역할 사용자가 작업 영역에서 액세스 관리 통해 SPN에 대한 액세스 권한을 부여할 수 있는지 확인합니다.

    액세스 관리 팝업 창의 패브릭 포털 스크린샷

SPN을 사용하여 REST API를 통해 웨어하우스 만들기 및 액세스

관리자, 구성원 또는 기여자 작업 영역 역할 사용자는 인증에 서비스 주체를 사용하여 Fabric REST API통해 웨어하우스 항목을 만들고, 업데이트하고, 읽고, 삭제할 수 있습니다. 이렇게 하면 사용자 자격 증명을 사용하지 않고도 웨어하우스 프로비전 또는 관리와 같은 반복적인 작업을 자동화할 수 있습니다.

위임된 계정 또는 고정 ID(소유자의 ID)를 사용하여 웨어하우스를 만드는 경우 웨어하우스는 OneLake에 액세스하는 동안 해당 자격 증명을 사용합니다. 이렇게 하면 웨어하우스의 작동이 중지되므로 소유자가 조직을 떠날 때 문제가 발생합니다. 이를 방지하려면 SPN을 사용하여 웨어하우스를 만듭니다.

또한 패브릭을 사용하려면 보안상의 이유로 유효한 토큰이 제공되도록 30일마다 로그인해야 합니다. 데이터 웨어하우스의 경우 소유자는 30일마다 Fabric에 로그인해야 합니다. 목록 API와 함께 SPN을 사용하여 자동화할 수 있습니다.

SPN을 사용하는 Fabric API POST 호출의 스크린샷

REST API를 사용하여 SPN에서 만든 웨어하우스는 패브릭 포털의 작업 영역 목록 보기에 표시되고 소유자 이름은 SPN으로 표시됩니다. 다음 이미지에서는 Fabric 포털 내 작업 영역의 스크린샷이 포함되어 있으며, "Fabric 공용 API 테스트 앱"은 Contoso Marketing Warehouse를 만든 SPN입니다.

패브릭 포털에서 작업 영역 항목 목록의 스크린샷. 창고가 표시됩니다. 소유자는 개인 계정이 아니라 SPN입니다.

SPN을 사용하여 클라이언트 애플리케이션에 연결

SSMS(SQL Server Management Studio) 19 이상 버전과 같은 도구로 서비스 주체를 사용하여 패브릭 웨어하우스에 연결할 수 있습니다.

  • 인증: Microsoft Entra 서비스 주체
  • 사용자 이름: SPN의 클라이언트 ID(필수 구성 요소 섹션에서 Azure를 통해 생성됨)
  • 암호: 비밀(필수 구성 요소 섹션에서 Azure를 통해 생성됨)

SSMS(SQL Server Management Studio)에서 SPN을 사용하여 Fabric에 로그인하는 스크린샷

컨트롤 플레인 사용 권한

SPN은 작업 영역에서 액세스 관리를 통해 작업 영역 역할을 사용하여 웨어하우스에 대한 액세스 권한을 부여할 수 있습니다. 또한 항목 권한를 통해 패브릭 포털로 SPN과 웨어하우스를 공유할 수 있습니다.

데이터 평면 사용 권한

웨어하우스에 작업 영역 역할 또는 항목 권한을 통해 SPN에 대한 제어 평면 권한이 제공되면 관리자는 같은 T-SQL 명령을 사용하여 서비스 주체에 특정 데이터 평면 권한을 할당하여 SPN이 액세스할 수 있는 메타데이터/데이터 및 작업을 정확하게 제어할 수 있습니다. 최소 권한 원칙을 따르는 것이 좋습니다.

예를 들어:

GRANT SELECT ON <table name> TO <service principal name>;

권한이 부여되면 SPN은 SSMS와 같은 클라이언트 애플리케이션 도구에 연결할 수 있습니다. 이를 통해 개발자는 방화벽 활성화 여부에 관계없이 COPY INTO 명령을 실행하고, Data Factory 파이프라인을 사용하여일정에 따라 프로그램 방식으로 T-SQL 쿼리를 실행할 수 있는 보안 액세스를 얻게 됩니다.

사용자가 SPN을 사용하여 Azure Storage 개체에 액세스한 쿼리 및 SSMS(SQL Server Management Studio) 결과 스크린샷

모니터

SPN이 웨어하우스에서 쿼리를 실행하는 경우 쿼리를 실행한 사용자 또는 SPN에 대한 가시성을 제공하는 다양한 모니터링 도구가 있습니다. 쿼리 작업에 대한 사용자는 다음과 같은 방법으로 찾을 수 있습니다.

  • DMV(동적 관리 뷰): login_namesys.dm_exec_sessions.
  • Query Insights: login_name 보기의 queryinsights.exec_requests_history 열.
  • 쿼리 작업: 패브릭 쿼리 작업의 submitter 열입니다.
  • 용량 메트릭 앱: SPN에서 수행하는 웨어하우스 작업에 대한 컴퓨팅 사용량은 백그라운드 작업 드릴스루 테이블의 사용자 열 아래에 클라이언트 ID로 표시됩니다.

자세한 내용은 Monitor Fabric Data Warehouse참조하세요.

인수 API

웨어하우스의 소유권은 SPN에서 사용자로, 사용자에서 SPN으로 변경할 수 있습니다.

  • SPN 또는 사용자에서 사용자로 인수: Fabric Warehouse소유권 변경 참조.

  • SPN 또는 사용자에서 SPN으로 전환: REST API에서 POST 호출을 사용합니다.

    POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover

제한사항

Microsoft Fabric Data Warehouse를 사용하는 서비스 주체의 제한 사항:

  • 기본 의미 체계 모델은 SPN에서 만든 웨어하우스에 대해 지원되지 않으므로 데이터 세트 뷰에 테이블을 나열하고 기본 데이터 세트에서 보고서를 만드는 것과 같은 기능은 작동하지 않습니다.
  • SQL 분석 엔드포인트에 대한 서비스 주체는 현재 지원되지 않습니다.
  • 서비스 주체 또는 Entra ID 자격 증명은 현재 COPY INTO 오류 파일에 대해 지원되지 않습니다.
  • 서비스 주체가 GIT API를 지원하지 않습니다. SPN 지원은 배포 파이프라인 API경우에만 존재합니다.

관련 콘텐츠