Delen via

Verbinding maken met een beveiligd Azure-opslagaccount vanuit een Synapse-werkruimte

  • Artikel

In dit artikel wordt uitgelegd hoe u vanuit uw Azure Synapse-werkruimte verbinding maakt met een beveiligd Azure-opslagaccount. U kunt een Azure-opslagaccount koppelen aan uw Synapse-werkruimte wanneer u uw werkruimte maakt. U kunt meer opslagaccounts koppelen nadat u uw werkruimte hebt gemaakt.

Beveiligde Azure-opslagaccounts

Azure Storage biedt een gelaagd beveiligingsmodel waarmee u de toegang tot uw opslagaccounts kunt beveiligen en beheren. U kunt IP-firewallregels configureren om verkeer van geselecteerde openbare IP-adresbereiken toegang te verlenen tot uw opslagaccount. U kunt ook netwerkregels configureren om verkeer van geselecteerde virtuele netwerken toegang te verlenen tot uw opslagaccount. U kunt IP-firewallregels combineren die toegang toestaan vanuit geselecteerde IP-adresbereiken en netwerkregels die toegang verlenen vanuit geselecteerde virtuele netwerken in hetzelfde opslagaccount.

Deze regels zijn van toepassing op het openbare eindpunt van een opslagaccount. U hebt geen toegangsregels nodig om verkeer toe te staan van beheerde privé-eindpunten die in uw werkruimte zijn gemaakt naar een opslagaccount. Firewallregels voor opslag kunnen worden toegepast op bestaande opslagaccounts of op nieuwe opslagaccounts wanneer u deze maakt. Zie Azure Storage-firewalls en virtuele netwerken configureren voor meer informatie over het beveiligen van uw opslagaccount.

Synapse-werkruimten en virtuele netwerken

Wanneer u een Synapse-werkruimte maakt, kunt u ervoor kiezen om een beheerd virtueel netwerk eraan te koppelen.

Als u een beheerd virtueel netwerk niet inschakelt voor uw werkruimte wanneer u deze maakt, bevindt uw werkruimte zich in een gedeeld virtueel netwerk, samen met andere Synapse-werkruimten waaraan geen beheerd virtueel netwerk is gekoppeld.

Als u een beheerd virtueel netwerk inschakelt wanneer u de werkruimte maakt, is uw werkruimte gekoppeld aan een toegewezen virtueel netwerk dat wordt beheerd door Azure Synapse. Deze virtuele netwerken worden niet gemaakt in uw klantabonnement. Daarom kunt u geen verkeer van deze virtuele netwerken toegang verlenen tot uw beveiligde opslagaccount met behulp van netwerkregels die hierboven worden beschreven.

Toegang tot een beveiligd opslagaccount

Synapse werkt vanuit netwerken die niet kunnen worden opgenomen in uw netwerkregels. Gebruik de volgende stappen om toegang vanuit uw werkruimte tot uw beveiligde opslagaccount in te schakelen.

  1. Maak een Azure Synapse-werkruimte waaraan een beheerd virtueel netwerk is gekoppeld en maak beheerde privé-eindpunten van deze werkruimte naar het beveiligde opslagaccount. Als u Azure Portal gebruikt om uw werkruimte te maken, kunt u beheerd virtueel netwerk inschakelen op het tabblad Netwerken.

    Schermopname van de optie Virtueel netwerk beheren op het tabblad Netwerken.

  2. Als u beheerd virtueel netwerk inschakelt of als Synapse bepaalt dat het primaire opslagaccount een beveiligd opslagaccount is, hebt u de mogelijkheid om een beheerd privé-eindpunt te maken naar een primair opslagaccount, zoals wordt weergegeven. De eigenaar van het opslagaccount moet de verbindingsaanvraag goedkeuren om de privékoppeling tot stand te brengen. Synapse keurt deze verbindingsaanvraag ook goed als de gebruiker die een Apache Spark-pool in de werkruimte maakt, voldoende bevoegdheden heeft om de verbindingsaanvraag goed te keuren.

  3. Ververleent uw Azure Synapse-werkruimte toegang tot uw beveiligde opslagaccount als een vertrouwde Azure-service. Als vertrouwde service gebruikt Azure Synapse vervolgens sterke verificatie om veilig verbinding te maken met uw opslagaccount.

Een Synapse-werkruimte maken met een beheerd virtueel netwerk en beheerde privé-eindpunten maken voor uw opslagaccount

Als u een Synapse-werkruimte wilt maken waaraan een beheerd virtueel netwerk is gekoppeld, raadpleegt u Azure Synapse Analytics Managed Virtual Network.

Nadat de werkruimte met een gekoppeld beheerd virtueel netwerk is gemaakt, kunt u een beheerd privé-eindpunt maken voor uw beveiligde opslagaccount. Zie Een beheerd privé-eindpunt maken voor uw gegevensbron voor meer informatie.

Uw Azure Synapse-werkruimte toegang verlenen tot uw beveiligde opslagaccount als een vertrouwde Azure-service

Analysemogelijkheden, zoals toegewezen SQL-pools en serverloze SQL-pools, maken gebruik van multitenant-infrastructuur die niet in het beheerde virtuele netwerk wordt geïmplementeerd. Als u wilt dat verkeer van deze mogelijkheden toegang heeft tot het beveiligde opslagaccount, moet u de toegang tot uw opslagaccount configureren op basis van de door het systeem toegewezen beheerde identiteit van de werkruimte door deze stappen uit te voeren.

  1. Navigeer in Azure Portal naar uw beveiligde opslagaccount en selecteer Netwerken in het linkernavigatiedeelvenster.

    Schermopname van de netwerkconfiguratie van het opslagaccount.

  2. Selecteer in de sectie Resource-exemplaren Microsoft.Synapse/werkruimten als het resourcetype en voer de naam van uw werkruimte in voor de naam van het exemplaar. Selecteer Opslaan.

    U moet nu toegang hebben tot uw beveiligde opslagaccount vanuit de werkruimte.

Gerelateerde inhoud