Udzielanie uprawnień tożsamości zarządzanej przez obszar roboczy
W tym artykule przedstawiono sposób udzielania uprawnień do tożsamości zarządzanej w obszarze roboczym usługi Azure Synapse. Uprawnienia z kolei umożliwiają dostęp do dedykowanych pul SQL w obszarze roboczym i na koncie usługi Azure Data Lake Storage Gen2 za pośrednictwem witryny Azure Portal.
Uwaga
Zarządzana tożsamość obszaru roboczego jest nazywana tożsamością zarządzaną w pozostałej części tego dokumentu.
Udzielanie tożsamości zarządzanej uprawnień do konta usługi Data Lake Storage
Do utworzenia obszaru roboczego usługi Azure Synapse jest wymagane konto usługi Data Lake Storage Gen2. Aby pomyślnie uruchomić pule Spark w obszarze roboczym Azure Synapse, zarządzana tożsamość usługi Azure Synapse musi mieć rolę Współautor danych usługi Azure Blob Storage na tym koncie magazynu. Orkiestracja potoków w usłudze Azure Synapse również korzysta z tej roli.
Nadawanie uprawnień tożsamości zarządzanej podczas tworzenia obszaru roboczego
Usługa Azure Synapse próbuje przypisać rolę Współtwórca danych obiektów Blob Storage do tożsamości zarządzanej po utworzeniu obszaru roboczego usługi Azure Synapse za pomocą portalu Azure. Szczegóły konta usługi Data Lake Storage można podać na karcie Podstawy .
Wybierz konto usługi Data Lake Storage Gen2 i system plików w obszarze Nazwa konta i Nazwa systemu plików.
Jeśli twórca obszaru roboczego jest również właścicielem konta usługi Data Lake Storage, to usługa Azure Synapse przypisuje tożsamości zarządzanej rolę Współautor danych usługi Blob Storage. Zostanie wyświetlony następujący komunikat.
Jeśli twórca obszaru roboczego nie jest właścicielem konta usługi Data Lake Storage, usługa Azure Synapse nie przypisuje roli Współautor danych obiektu blob usługi Storage do tożsamości zarządzanej. Poniższy komunikat powiadamia twórcę obszaru roboczego, że nie ma wystarczających uprawnień, aby przypisać rolę Użytkownik danych obiektów blob Storage do tożsamości zarządzanej.
Nie można utworzyć pul Spark, chyba że Współtwórca danych usługi Storage Blob jest przypisany do tożsamości zarządzanej.
Udzielanie uprawnień tożsamości zarządzanej po utworzeniu obszaru roboczego
Jeśli podczas tworzenia obszaru roboczego nie przypiszesz roli Współpracownik danych obiektu blob do tożsamości zarządzanej, to właściciel konta usługi Data Lake Storage Gen2 ręcznie przypisze tę rolę tej tożsamości. Poniższe kroki pomogą Ci w ręcznym przypisaniu zadań.
Krok 1. Przejdź do konta usługi Data Lake Storage Gen2
W portalu Azure otwórz konto magazynu Data Lake Storage Gen2 i wybierz pozycję Kontenery z lewego panelu nawigacyjnego. Wystarczy przypisać rolę Storage Blob Data Contributor na poziomie kontenera lub systemu plików.
Krok 2. Wybieranie kontenera
Tożsamość zarządzana powinna mieć dostęp do danych do kontenera (systemu plików), który został udostępniony podczas tworzenia obszaru roboczego. Ten kontener lub system plików można znaleźć w witrynie Azure Portal. Otwórz obszar roboczy usługi Azure Synapse w witrynie Azure Portal i wybierz kartę Przegląd w obszarze nawigacji po lewej stronie.
Wybierz ten sam kontener lub system plików, aby udzielić roli Współautor danych BLOB Storage dla tożsamości zarządzanej.
Krok 3. Otwieranie kontroli dostępu i dodawanie przypisania roli
Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z menu zasobów.
Wybierz Dodaj>Dodaj przypisanie roli, aby otworzyć stronę Dodaj przypisanie roli.
Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Ustawienie Wartość Rola Współautor danych w usłudze Blob Storage Przypisz dostęp do MANAGEDIDENTITY Członkowie nazwa tożsamości zarządzanej Uwaga
Nazwa tożsamości zarządzanej jest również nazwą obszaru roboczego.
Wybierz pozycję Zapisz , aby dodać przypisanie roli.
Krok 4. Sprawdź, czy rola Współautor danych obiektu blob Storage jest przypisana do tożsamości zarządzanej
Wybierz Kontrola dostępu (IAM), a następnie wybierz Przypisania ról.
Tożsamość zarządzana powinna zostać wyświetlona w sekcji Współautor danych obiektu blob usługi Storage z przypisaną rolą Współautor danych obiektu blob usługi Storage.
Inna opcja roli Współautor danych blob usługi Storage
Zamiast udzielać sobie roli Współautor danych obiektu blob usługi Storage, możesz również przyznać bardziej szczegółowe uprawnienia do podzestawu plików.
Wszyscy użytkownicy, którzy potrzebują dostępu do niektórych danych w tym kontenerze, również muszą mieć uprawnienie EXECUTE we wszystkich folderach nadrzędnych do katalogu głównego (kontenera).
Aby dowiedzieć się więcej, zobacz temat Użyj Eksploratora Azure Storage do zarządzania listami ACL w usłudze Azure Data Lake Storage.
Uwaga
Uprawnienia do wykonywania na poziomie kontenera muszą być ustawione w usłudze Data Lake Storage Gen2. Uprawnienia do folderu można ustawić w usłudze Azure Synapse.
Jeśli chcesz wykonać zapytanie data2.csv w tym przykładzie, potrzebne są następujące uprawnienia:
- Uprawnienie do wykonywania operacji na kontenerze
- Uprawnienia do wykonywania w folderze folder1
- Uprawnienie do odczytu dla pliku data2.csv
Zaloguj się do usługi Azure Synapse przy użyciu użytkownika administratora, który ma pełne uprawnienia do danych, do których chcesz uzyskać dostęp.
W okienku danych kliknij prawym przyciskiem myszy plik i wybierz pozycję Zarządzaj dostępem.
Wybierz co najmniej uprawnienie do odczytu . Wprowadź nazwę UPN użytkownika lub identyfikator obiektu, na przykład
user@contoso.com. Wybierz Dodaj.Udziel uprawnień do odczytu dla tego użytkownika.
Uwaga
W przypadku użytkowników-gości ten krok należy wykonać bezpośrednio w usłudze Azure Data Lake, ponieważ nie można wykonać go bezpośrednio za pośrednictwem usługi Azure Synapse.