Machtigingen toewijzen aan beheerde identiteiten in een werkruimte
In dit artikel leert u hoe u machtigingen kunt verlenen aan de beheerde identiteit in de Azure Synapse-werkruimte. Machtigingen bieden op hun beurt toegang tot toegewezen SQL-pools in de werkruimte en adLS Gen2-opslagaccount via Azure Portal.
Notitie
Deze beheerde identiteit van de werkruimte wordt aangeduid als beheerde identiteit in de rest van dit document.
De beheerde identiteit machtigingen verlenen aan het ADLS Gen2-opslagaccount
Er is een ADLS Gen2-opslagaccount vereist om een Azure Synapse-werkruimte te maken. Als u Spark-pools wilt starten in de Azure Synapse-werkruimte, heeft de beheerde identiteit van Azure Synapse de rol Bijdrager voor opslagblobgegevens in dit opslagaccount nodig. Pijplijnindeling in Azure Synapse profiteert ook van deze rol.
Machtigingen verlenen aan beheerde identiteit tijdens het maken van de werkruimte
Azure Synapse probeert de rol Inzender voor opslagblobgegevens toe te kennen aan de beheerde identiteit nadat u de Azure Synapse-werkruimte hebt gemaakt met behulp van Azure Portal. U geeft de details van het ADLS Gen2-opslagaccount op op het tabblad Basisbeginselen .
Kies het ADLS Gen2-opslagaccount en bestandssysteem in accountnaam en bestandssysteemnaam.
Als de maker van de werkruimte ook eigenaar is van het ADLS Gen2-opslagaccount, wijst Azure Synapse de rol Inzender voor opslagblobgegevens toe aan de beheerde identiteit. U ziet het volgende bericht onder de gegevens van het opslagaccount die u hebt ingevoerd.
Als de maker van de werkruimte niet de eigenaar is van het ADLS Gen2-opslagaccount, wijst Azure Synapse de rol Inzender voor opslagblobgegevens niet toe aan de beheerde identiteit. In het bericht dat onder de details van het opslagaccount wordt weergegeven, wordt de maker van de werkruimte op de hoogte gesteld dat deze niet over voldoende machtigingen beschikt om de rol Inzender voor opslagblobgegevens toe te kennen aan de beheerde identiteit.
Zoals het bericht aangeeft, kunt u geen Spark-pools maken, tenzij de inzender voor opslagblobgegevens is toegewezen aan de beheerde identiteit.
Machtigingen verlenen aan beheerde identiteit na het maken van de werkruimte
Als u tijdens het maken van de werkruimte geen bijdrager voor opslagblobgegevens aan de beheerde identiteit toewijst, wijst de eigenaar van het ADLS Gen2-opslagaccount die rol handmatig toe aan de identiteit. Met de volgende stappen kunt u handmatige toewijzing uitvoeren.
Stap 1: Navigeer naar het ADLS Gen2-opslagaccount in Azure Portal
Open in Azure Portal het ADLS Gen2-opslagaccount en selecteer Overzicht in het linkernavigatievenster. U hoeft alleen de rol Inzender voor opslagblobgegevens toe te wijzen op container- of bestandssysteemniveau. Selecteer Containers.
Stap 2: De container selecteren
De beheerde identiteit moet gegevenstoegang hebben tot de container (bestandssysteem) die is opgegeven toen de werkruimte werd gemaakt. U vindt deze container of dit bestandssysteem in Azure Portal. Open de Azure Synapse-werkruimte in Azure Portal en selecteer het tabblad Overzicht in het linkernavigatievenster.
Selecteer dezelfde container of hetzelfde bestandssysteem om de rol Inzender voor opslagblobgegevens toe te kennen aan de beheerde identiteit.
Stap 3: Toegangsbeheer openen en roltoewijzing toevoegen
Klik op Toegangsbeheer (IAM) .
Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.
Wijs de volgende rol toe. Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.
Instelling Weergegeven als Role Inzender voor opslagblobgegevens Toegang toewijzen aan MANAGEDIDENTITY Leden naam van beheerde identiteit Notitie
De naam van de beheerde identiteit is ook de naam van de werkruimte.
Selecteer Opslaan om de roltoewijzing toe te voegen.
Stap 4: Controleer of de rol Inzender voor opslagblobgegevens is toegewezen aan de beheerde identiteit
Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Roltoewijzingen.
Uw beheerde identiteit wordt weergegeven in de sectie Inzender voor opslagblobgegevens met de rol Inzender voor opslagblobgegevens die eraan is toegewezen.
Alternatief voor de rol Inzender voor Opslagblobgegevens
In plaats van uzelf de rol Inzender voor opslagblobgegevens toe te kennen, kunt u ook gedetailleerdere machtigingen verlenen voor een subset van bestanden.
Alle gebruikers die toegang nodig hebben tot bepaalde gegevens in deze container, moeten ook de machtiging EXECUTE hebben voor alle bovenliggende mappen tot aan de hoofdmap (de container).
Meer informatie over het instellen van ACL's in Azure Data Lake Storage Gen2.
Notitie
De machtiging Uitvoeren op het containerniveau moet worden ingesteld in Data Lake Storage Gen2. Machtigingen voor de map kunnen worden ingesteld in Azure Synapse.
Als u in dit voorbeeld een query wilt uitvoeren op data2.csv, zijn de volgende machtigingen nodig:
- Machtiging uitvoeren voor container
- Machtiging uitvoeren voor map1
- Leesmachtiging voor data2.csv
Meld u aan bij Azure Synapse met een gebruiker met beheerdersrechten voor de gegevens die u wilt openen.
Klik in het gegevensvenster met de rechtermuisknop op het bestand en selecteer Toegang beheren.
Selecteer ten minste leesmachtigingen . Voer bijvoorbeeld user@contoso.comde UPN of object-id van de gebruiker in. Selecteer Toevoegen.
Geef leesmachtigingen voor deze gebruiker.
Notitie
Voor gastgebruikers moet deze stap rechtstreeks met Azure Data Lake worden uitgevoerd, omdat deze niet rechtstreeks kan worden uitgevoerd via Azure Synapse.
Volgende stappen
Meer informatie over beheerde identiteiten voor werkruimten