Toegang tot vertrouwde werkruimten
Met Fabric kunt u op een veilige manier toegang krijgen tot AdLS Gen2-accounts (Azure Data Lake Storage) met firewalls. Fabric-werkruimten met een werkruimte-identiteit hebben veilig toegang tot ADLS Gen2-accounts waarvoor openbare netwerktoegang is ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen. U kunt ADLS Gen2-toegang tot specifieke Fabric-werkruimten beperken.
Fabric-werkruimten die toegang hebben tot een opslagaccount met vertrouwde toegang tot de werkruimte, hebben de juiste autorisatie nodig voor de aanvraag. Autorisatie wordt ondersteund met Microsoft Entra-referenties voor organisatieaccounts of service-principals. Zie Toegang verlenen vanuit Azure-resource-exemplaren voor meer informatie over regels voor resource-exemplaren.
Als u de toegang tot opslagaccounts met firewalls van bepaalde Fabric-werkruimten wilt beperken en beveiligen, kunt u een regel voor het resource-exemplaar instellen om toegang vanuit specifieke Fabric-werkruimten toe te staan.
Notitie
Toegang tot vertrouwde werkruimten is algemeen beschikbaar, maar kan alleen worden gebruikt in F SKU-capaciteiten. Zie Een Microsoft Fabric-abonnement kopen voor meer informatie over het kopen van een Fabric-abonnement. Toegang tot vertrouwde werkruimten wordt niet ondersteund in evaluatiecapaciteiten.
Dit artikel laat het volgende zien:
Configureer toegang tot vertrouwde werkruimten in een ADLS Gen2-opslagaccount.
Maak een OneLake-snelkoppeling in een Fabric Lakehouse die verbinding maakt met een ADLS Gen2-opslagaccount met vertrouwde werkruimtetoegang.
Maak een gegevenspijplijn om rechtstreeks verbinding te maken met een ADLS Gen2-account waarvoor vertrouwde werkruimtetoegang is ingeschakeld.
Gebruik de instructie T-SQL COPY om gegevens op te nemen in uw warehouse vanuit een ADLS Gen2-account met een firewall waarvoor vertrouwde werkruimtetoegang is ingeschakeld.
Toegang tot vertrouwde werkruimten configureren in ADLS Gen2
Regel voor resource-exemplaren
U kunt specifieke Fabric-werkruimten configureren voor toegang tot uw opslagaccount op basis van hun werkruimte-id. U kunt een resource-exemplaarregel maken door een ARM-sjabloon te implementeren met een regel voor een resource-exemplaar. Ga als volgende te werk om een regel voor een resource-exemplaar te maken:
Meld u aan bij Azure Portal en ga naar Aangepaste implementatie.
Kies Uw eigen sjabloon maken in de editor. Zie het ARM-sjabloonvoorbeeld voor een voorbeeld van een ARM-sjabloon waarmee een regel voor een resource-exemplaar wordt gemaakt.
Maak de regel voor het resource-exemplaar in de editor. Wanneer u klaar bent, kiest u Beoordelen en maken.
Geef op het tabblad Basisbeginselen dat wordt weergegeven de vereiste project- en exemplaardetails op. Wanneer u klaar bent, kiest u Beoordelen en maken.
Controleer op het tabblad Controleren en maken dat wordt weergegeven de samenvatting en selecteer Vervolgens Maken. De regel wordt verzonden voor implementatie.
Wanneer de implementatie is voltooid, kunt u naar de resource gaan.
Notitie
- Resource-exemplaarregels voor Fabric-werkruimten kunnen alleen worden gemaakt via ARM-sjablonen. Het maken via Azure Portal wordt niet ondersteund.
- De subscriptionId 00000000-0000-0000-0000-00000000000000 moet worden gebruikt voor de resourceId van de infrastructuurwerkruimte.
- U kunt de werkruimte-id voor een Fabric-werkruimte ophalen via de URL van de adresbalk.
Hier volgt een voorbeeld van een regel voor een resource-exemplaar die kan worden gemaakt via een ARM-sjabloon. Zie het voorbeeld van een ARM-sjabloon voor een volledig voorbeeld.
"resourceAccessRules": [
{ "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}
]
Uitzondering op vertrouwde service
Als u de uitzondering voor vertrouwde services selecteert voor een ADLS Gen2-account waarvoor openbare netwerktoegang is ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen, hebben Fabric-werkruimten met een werkruimte-id toegang tot het opslagaccount. Wanneer het selectievakje voor de uitzondering van de vertrouwde service is ingeschakeld, hebben werkruimten in de Fabric-capaciteiten van uw tenant met een werkruimte-id toegang tot gegevens die zijn opgeslagen in het opslagaccount.
Deze configuratie wordt niet aanbevolen en de ondersteuning wordt in de toekomst mogelijk stopgezet. U wordt aangeraden regels voor het resource-exemplaar te gebruiken om toegang te verlenen tot specifieke resources.
Wie kan Opslagaccounts configureren voor toegang tot vertrouwde services?
Een inzender voor het opslagaccount (een Azure RBAC-rol) kan regels voor resource-exemplaren of een uitzondering voor vertrouwde services configureren.
Toegang tot vertrouwde werkruimten gebruiken in Fabric
Er zijn momenteel drie manieren om vertrouwde werkruimtetoegang te gebruiken voor toegang tot uw gegevens vanuit Fabric op een veilige manier:
U kunt een nieuwe ADLS-snelkoppeling maken in een Fabric Lakehouse om te beginnen met het analyseren van uw gegevens met Spark, SQL en Power BI.
U kunt een gegevenspijplijn maken die gebruikmaakt van toegang tot vertrouwde werkruimten om rechtstreeks toegang te krijgen tot een ADLS Gen2-account met firewalls.
U kunt een T-SQL Copy-instructie gebruiken die gebruikmaakt van toegang tot vertrouwde werkruimten om gegevens op te nemen in een Fabric-magazijn.
In de volgende secties ziet u hoe u deze methoden gebruikt.
Een OneLake-snelkoppeling naar opslagaccount maken met toegang tot vertrouwde werkruimten
Als de werkruimte-id is geconfigureerd in Fabric en de toegang tot vertrouwde werkruimten is ingeschakeld in uw ADLS Gen2-opslagaccount, kunt u OneLake-snelkoppelingen maken voor toegang tot uw gegevens vanuit Fabric. U maakt alleen een nieuwe ADLS-snelkoppeling in een Fabric Lakehouse en u kunt beginnen met het analyseren van uw gegevens met Spark, SQL en Power BI.
Vereisten
- Een Fabric-werkruimte die is gekoppeld aan een Fabric-capaciteit. Zie de identiteit van de werkruimte.
- Maak een werkruimte-id die is gekoppeld aan de Fabric-werkruimte.
- Het gebruikersaccount of de service-principal die wordt gebruikt als verificatietype in de snelkoppeling, moet Azure RBAC-rollen hebben in het opslagaccount. De principal moet de rol Inzender voor opslagblobgegevens, eigenaar van opslagblobgegevens of Opslagblobgegevenslezer hebben in het bereik van het opslagaccount, of een rol opslagblobdelegator in het opslagaccountbereik, naast de rol Opslagblobgegevenslezer in het containerbereik.
- Configureer een regel voor het resource-exemplaar voor het opslagaccount.
Notitie
- Bestaande snelkoppelingen in een werkruimte die voldoet aan de vereisten, worden automatisch vertrouwd servicetoegang ondersteund.
- U moet de DFS-URL-id voor het opslagaccount gebruiken. Hier volgt een voorbeeld:
https://StorageAccountName.dfs.core.windows.net
Stappen
Begin met het maken van een nieuwe snelkoppeling in een Lakehouse.
De wizard Nieuwe snelkoppeling wordt geopend.
Selecteer onder Externe bronnen Azure Data Lake Storage Gen2.
Geef de URL op van het opslagaccount dat is geconfigureerd met toegang tot vertrouwde werkruimten en kies een naam voor de verbinding. Voor verificatietype kiest u Organisatieaccount of Service-principal.
Wanneer u klaar bent, selecteert u Volgende.
Geef de naam en het subpad van de snelkoppeling op.
Wanneer u klaar bent, selecteert u Maken.
De lakehouse-snelkoppeling wordt gemaakt en u moet een voorbeeld van opslaggegevens in de snelkoppeling kunnen bekijken.
De OneLake-snelkoppeling gebruiken naar een opslagaccount met toegang tot vertrouwde werkruimten in Fabric-items
Met OneCopy in Fabric hebt u toegang tot uw OneLake-snelkoppelingen met vertrouwde toegang vanuit alle Fabric-workloads.
Spark: U kunt Spark gebruiken om toegang te krijgen tot gegevens vanuit uw OneLake-snelkoppelingen. Wanneer snelkoppelingen worden gebruikt in Spark, worden ze weergegeven als mappen in OneLake. U hoeft alleen naar de mapnaam te verwijzen om toegang te krijgen tot de gegevens. U kunt de Snelkoppeling oneLake gebruiken voor opslagaccounts met toegang tot vertrouwde werkruimten in Spark-notebooks.
SQL-analyse-eindpunt: snelkoppelingen die zijn gemaakt in de sectie Tabellen van uw Lakehouse, zijn ook beschikbaar in het SQL-analyse-eindpunt. U kunt het SQL Analytics-eindpunt openen en uw gegevens opvragen, net als elke andere tabel.
Pijplijnen: gegevenspijplijnen hebben toegang tot beheerde snelkoppelingen naar opslagaccounts met vertrouwde werkruimtetoegang. Gegevenspijplijnen kunnen worden gebruikt voor het lezen van of schrijven naar opslagaccounts via OneLake-snelkoppelingen.
Gegevensstromen v2: Gegevensstromen Gen2 kunnen worden gebruikt voor toegang tot beheerde snelkoppelingen naar opslagaccounts met vertrouwde werkruimtetoegang. Gegevensstromen Gen2 kunnen lezen van of schrijven naar opslagaccounts via OneLake-snelkoppelingen.
Semantische modellen en rapporten: het standaard semantische model dat is gekoppeld aan het SQL Analytics-eindpunt van een Lakehouse kan beheerde snelkoppelingen lezen naar opslagaccounts met vertrouwde toegang tot werkruimten. Als u de beheerde tabellen in het standaard semantische model wilt zien, gaat u naar het eindpuntitem voor SQL Analytics, selecteert u Rapportage en kiest u Automatisch semantisch model bijwerken.
U kunt ook nieuwe semantische modellen maken die verwijzen naar snelkoppelingen naar tabellen naar opslagaccounts met vertrouwde werkruimtetoegang. Ga naar het EINDPUNT van SQL Analytics, selecteer Rapportage en kies Nieuw semantisch model.
U kunt rapporten maken boven op de standaard semantische modellen en aangepaste semantische modellen.
KQL-database: u kunt ook OneLake-snelkoppelingen maken naar ADLS Gen2 in een KQL-database. De stappen voor het maken van de beheerde snelkoppeling met toegang tot vertrouwde werkruimten blijven hetzelfde.
Een gegevenspijplijn maken naar een opslagaccount met toegang tot vertrouwde werkruimten
Als de werkruimte-id is geconfigureerd in Fabric en vertrouwde toegang is ingeschakeld in uw ADLS Gen2-opslagaccount, kunt u gegevenspijplijnen maken voor toegang tot uw gegevens vanuit Fabric. U kunt een nieuwe gegevenspijplijn maken om gegevens te kopiëren naar een Fabric Lakehouse en vervolgens kunt u beginnen met het analyseren van uw gegevens met Spark, SQL en Power BI.
Vereisten
- Een Fabric-werkruimte die is gekoppeld aan een Fabric-capaciteit. Zie de identiteit van de werkruimte.
- Maak een werkruimte-id die is gekoppeld aan de Fabric-werkruimte.
- Het gebruikersaccount of de service-principal die wordt gebruikt voor het maken van de verbinding, moet Azure RBAC-rollen hebben in het opslagaccount. De principal moet de rol Inzender voor opslagblobgegevens, eigenaar van opslagblobgegevens of Opslagblobgegevenslezer hebben in het bereik van het opslagaccount.
- Configureer een regel voor het resource-exemplaar voor het opslagaccount.
Stappen
Begin met het selecteren van Gegevens ophalen in een lakehouse.
Selecteer Nieuwe gegevenspijplijn. Geef een naam op voor de pijplijn en selecteer Vervolgens Maken.
Kies Azure Data Lake Gen2 als de gegevensbron.
Geef de URL op van het opslagaccount dat is geconfigureerd met toegang tot vertrouwde werkruimten en kies een naam voor de verbinding. Voor verificatietype kiest u organisatieaccount of service-principal.
Wanneer u klaar bent, selecteert u Volgende.
Selecteer het bestand dat u naar het lakehouse wilt kopiëren.
Wanneer u klaar bent, selecteert u Volgende.
Selecteer in het scherm Controleren en opslaan de optie Gegevensoverdracht direct starten. Wanneer u klaar bent, selecteert u Opslaan en uitvoeren.
Wanneer de pijplijnstatus wordt gewijzigd van In wachtrij geplaatst in Geslaagd, gaat u naar lakehouse en controleert u of de gegevenstabellen zijn gemaakt.
De T-SQL COPY-instructie gebruiken om gegevens op te nemen in een magazijn
Als de werkruimte-id is geconfigureerd in Fabric en vertrouwde toegang is ingeschakeld in uw ADLS Gen2-opslagaccount, kunt u de INSTRUCTIE COPY T-SQL gebruiken om gegevens op te nemen in uw Fabric-magazijn. Zodra de gegevens zijn opgenomen in het magazijn, kunt u beginnen met het analyseren van uw gegevens met SQL en Power BI.
Beperkingen en overwegingen
- Toegang tot vertrouwde werkruimten wordt ondersteund voor werkruimten in een Fabric F SKU-capaciteit.
- U kunt alleen vertrouwde werkruimtetoegang gebruiken in OneLake-snelkoppelingen, gegevenspijplijnen en de T-SQL COPY-instructie. Zie Beheerde privé-eindpunten voor Fabric om veilig toegang te krijgen tot opslagaccounts van Fabric.
- Als een werkruimte met een werkruimte-id wordt gemigreerd naar een niet-Infrastructuurcapaciteit of naar een niet-F SKU Fabric-capaciteit, werkt de toegang tot vertrouwde werkruimten na een uur niet meer.
- Bestaande snelkoppelingen die vóór 10 oktober 2023 zijn gemaakt, bieden geen ondersteuning voor toegang tot vertrouwde werkruimten.
- Verbindingen voor toegang tot vertrouwde werkruimten kunnen niet worden gemaakt of gewijzigd in Verbindingen en gateways beheren.
- Verbindingen met opslagaccounts met firewalls hebben de status Offline in Verbindingen en gateways beheren.
- Als u verbindingen hergebruikt die ondersteuning bieden voor toegang tot vertrouwde werkruimten in andere fabric-items dan snelkoppelingen en pijplijnen, of in andere werkruimten, werken ze mogelijk niet.
- Alleen organisatieaccount of service-principal moet worden gebruikt voor verificatie bij opslagaccounts voor toegang tot vertrouwde werkruimten.
- Pijplijnen kunnen geen snelkoppelingen naar OneLake-tabellen schrijven voor opslagaccounts met vertrouwde toegang tot werkruimten. Dit is een tijdelijke beperking.
- Er kunnen maximaal 200 regels voor resource-exemplaren worden geconfigureerd. Zie Limieten en quota voor Azure-abonnementen voor meer informatie: Azure Resource Manager.
- Toegang tot vertrouwde werkruimten werkt alleen wanneer openbare toegang is ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen.
- Resource-exemplaarregels voor Fabric-werkruimten moeten worden gemaakt via ARM-sjablonen. Resource-exemplaarregels die zijn gemaakt via de gebruikersinterface van Azure Portal, worden niet ondersteund.
- Bestaande snelkoppelingen in een werkruimte die voldoen aan de vereisten, worden automatisch gestart met het ondersteunen van vertrouwde servicetoegang.
- Als uw organisatie een Beleid voor voorwaardelijke toegang van Entra heeft voor workloadidentiteiten die alle service-principals bevatten, werkt de toegang tot vertrouwde werkruimten niet. In dergelijke gevallen moet u specifieke Fabric-werkruimte-identiteiten uitsluiten van het beleid voor voorwaardelijke toegang voor workloadidentiteiten.
- Toegang tot vertrouwde werkruimten wordt niet ondersteund als een service-principal wordt gebruikt om een snelkoppeling te maken.
- Toegang tot vertrouwde werkruimten is niet compatibel met aanvragen tussen tenants.
Problemen met toegang tot vertrouwde werkruimten oplossen
Als een snelkoppeling in een Lakehouse die is gericht op een met firewall beveiligde ADLS Gen2-opslagaccount niet toegankelijk is, kan dit komen doordat het lakehouse is gedeeld met een gebruiker die geen beheerders-, lid- of inzenderrol heeft in de werkruimte waarin het lakehouse zich bevindt. Dit is een bekend probleem. De oplossing is niet om het lakehouse te delen met gebruikers die geen rol beheerder, lid of inzender hebben in de werkruimte.
Voorbeeld van ARM-sjabloon
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}