Udostępnij za pośrednictwem


Dostęp do zaufanego obszaru roboczego

Sieć szkieletowa umożliwia bezpieczny dostęp do kont usługi Azure Data Lake Storage (ADLS) Gen2 z obsługą zapory. Obszary robocze sieci szkieletowej z tożsamością obszaru roboczego mogą bezpiecznie uzyskiwać dostęp do kont usługi ADLS Gen2 z dostępem do sieci publicznej włączonym z wybranych sieci wirtualnych i adresów IP. Możesz ograniczyć dostęp usługi ADLS Gen2 do określonych obszarów roboczych sieci Szkieletowej.

Obszary robocze sieci szkieletowej, które uzyskują dostęp do konta magazynu z zaufanym dostępem do obszaru roboczego, wymagają odpowiedniej autoryzacji dla żądania. Autoryzacja jest obsługiwana w przypadku poświadczeń entra firmy Microsoft dla kont organizacyjnych lub jednostek usługi. Aby dowiedzieć się więcej o regułach wystąpień zasobów, zobacz Udzielanie dostępu z wystąpień zasobów platformy Azure.

Aby ograniczyć i chronić dostęp do kont magazynu z obsługą zapory z określonych obszarów roboczych sieci Szkieletowej, możesz skonfigurować regułę wystąpienia zasobów, aby zezwolić na dostęp z określonych obszarów roboczych sieci Szkieletowej.

Uwaga

Dostęp do zaufanego obszaru roboczego jest ogólnie dostępny, ale może być używany tylko w pojemnościach jednostki SKU języka F. Aby uzyskać informacje na temat zakupu subskrypcji usługi Fabric, zobacz Kupowanie subskrypcji usługi Microsoft Fabric. Dostęp do zaufanego obszaru roboczego nie jest obsługiwany w pojemnościach wersji próbnej.

W tym artykule pokazano, w jaki sposób wykonać następujące czynności:

  • Skonfiguruj dostęp do zaufanego obszaru roboczego na koncie magazynu usługi ADLS Gen2.

  • Utwórz skrót OneLake w usłudze Fabric Lakehouse, który łączy się z kontem magazynu usługi ADLS Gen2 z obsługą zaufanego dostępu do obszaru roboczego.

  • Utwórz potok danych, aby połączyć się bezpośrednio z kontem usługi ADLS Gen2 z włączoną obsługą zapory z włączonym zaufanym dostępem do obszaru roboczego.

  • Użyj instrukcji T-SQL COPY, aby pozyskiwać dane do magazynu z poziomu konta usługi ADLS Gen2 z włączoną zaporą z włączonym zaufanym dostępem do obszaru roboczego.

Konfigurowanie dostępu do zaufanego obszaru roboczego w usłudze ADLS Gen2

Reguła instancji zasobu w szablonie ARM

Możesz skonfigurować określone obszary robocze sieci Szkieletowej w celu uzyskania dostępu do konta magazynu na podstawie tożsamości obszaru roboczego. Regułę wystąpienia zasobu można utworzyć, wdrażając szablon usługi ARM z regułą wystąpienia zasobu. Aby utworzyć regułę wystąpienia zasobu:

  1. Zaloguj się do witryny Azure Portal i przejdź do pozycji Wdrożenie niestandardowe.

  2. Wybierz pozycję Utwórz własny szablon w edytorze. Przykładowy szablon usługi ARM, który tworzy regułę wystąpienia zasobu, zobacz przykładowy szablon usługi ARM.

  3. Utwórz regułę wystąpienia zasobu w edytorze. Po zakończeniu wybierz pozycję Przejrzyj i utwórz.

  4. Na wyświetlonej karcie Podstawowe określ wymagane szczegóły projektu i wystąpienia. Po zakończeniu wybierz pozycję Przejrzyj i utwórz.

  5. Na wyświetlonej karcie Przeglądanie + tworzenie przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz. Reguła zostanie przesłana do wdrożenia.

  6. Po zakończeniu wdrażania będzie można przejść do zasobu.

Uwaga

  • Reguły instancji zasobów dla obszarów roboczych Fabric mogą być tworzone wyłącznie za pomocą szablonów ARM lub PowerShell. Tworzenie za pośrednictwem witryny Azure Portal nie jest obsługiwane.
  • Identyfikator subskrypcji "0000000000-0000-0000-0000-0000000000000" musi być używany dla identyfikatora resourceId obszaru roboczego sieci szkieletowej.
  • Identyfikator obszaru roboczego dla obszaru roboczego sieci Szkielet można uzyskać za pomocą adresu URL paska adresu.

Zrzut ekranu przedstawiający skonfigurowaną regułę wystąpienia zasobu.

Oto przykład reguły wystąpienia zasobu, którą można utworzyć za pomocą szablonu usługi ARM. Pełny przykład można znaleźć w przykładzie szablonu usługi ARM.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Reguła zasobu w skrypcie programu PowerShell

Regułę wystąpienia zasobu można utworzyć za pomocą programu PowerShell, korzystając z następującego skryptu.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Wyjątek zaufanej usługi

Jeśli wybierzesz wyjątek usługi zaufanej dla konta usługi ADLS Gen2 z włączonym dostępem do sieci publicznej z wybranych sieci wirtualnych i adresów IP, obszary robocze sieci szkieletowej z tożsamością obszaru roboczego będą mogły uzyskać dostęp do konta magazynu. Po zaznaczeniu pola wyboru wyjątku zaufanej usługi wszystkie obszary robocze w pojemnościach sieci szkieletowej dzierżawy, które mają tożsamość obszaru roboczego, mogą uzyskiwać dostęp do danych przechowywanych na koncie magazynu.

Ta konfiguracja nie jest zalecana, a pomoc techniczna może zostać wycofana w przyszłości. Zalecamy używanie reguł wystąpień zasobów w celu udzielenia dostępu do określonych zasobów.

Kto może skonfigurować konta magazynu pod kątem zaufanego dostępu do usług?

Współautor na koncie magazynu (rola RBAC platformy Azure) może skonfigurować reguły wystąpienia zasobów lub wyjątek usługi zaufanej.

Jak używać dostępu do zaufanego obszaru roboczego w sieci szkieletowej

Obecnie istnieją trzy sposoby korzystania z zaufanego dostępu do obszaru roboczego w celu uzyskania dostępu do danych z sieci Szkieletowej w bezpieczny sposób:

  • Możesz utworzyć nowy skrót usługi ADLS w usłudze Fabric Lakehouse, aby rozpocząć analizowanie danych za pomocą platform Spark, SQL i Power BI.

  • Możesz utworzyć potok danych, który korzysta z zaufanego dostępu do obszaru roboczego w celu bezpośredniego uzyskiwania dostępu do konta usługi ADLS Gen2 z obsługą zapory.

  • Możesz użyć instrukcji T-SQL Copy, która korzysta z zaufanego obszaru roboczego dostępu do pozyskiwania danych do magazynu sieci szkieletowej.

W poniższych sekcjach pokazano, jak używać tych metod.

Tworzenie skrótu oneLake do konta magazynu z zaufanym dostępem do obszaru roboczego

Po skonfigurowaniu tożsamości obszaru roboczego w usłudze Fabric i włączeniu zaufanego dostępu do obszaru roboczego na koncie magazynu usługi ADLS Gen2 można utworzyć skróty oneLake w celu uzyskania dostępu do danych z sieci szkieletowej. Wystarczy utworzyć nowy skrót usługi ADLS w usłudze Fabric Lakehouse i rozpocząć analizowanie danych przy użyciu platform Spark, SQL i Power BI.

Wymagania wstępne

  • Obszar roboczy sieci szkieletowej skojarzony z pojemnością sieci szkieletowej. Zobacz Tożsamość obszaru roboczego.
  • Utwórz tożsamość obszaru roboczego skojarzona z obszarem roboczym Sieć szkieletowa.
  • Konto użytkownika lub jednostka usługi, używane do uwierzytelniania w skrócie, powinny mieć role RBAC platformy Azure na koncie magazynu. Podmiot nadrzędny musi mieć rolę Współautora danych obiektów blob usługi Storage, Właściciela danych obiektu blob usługi Storage lub Czytelnika danych obiektu blob usługi Storage w ramach konta magazynu albo rolę Delegatora obiektów blob usługi Storage w ramach konta magazynu z dostępem na poziomie folderu w kontenerze. Dostęp na poziomie folderu można zapewnić za pośrednictwem roli RBAC na poziomie kontenera lub za pośrednictwem określonego dostępu na poziomie folderu.
  • Skonfiguruj regułę wystąpienia zasobu dla konta magazynu.

Uwaga

  • Wstępnie istniejące skróty w obszarze roboczym, który spełnia wymagania wstępne, automatycznie zacznie obsługiwać dostęp do zaufanej usługi.
  • Musisz użyć identyfikatora adresu URL systemu plików DFS dla konta magazynu. Oto przykład: https://StorageAccountName.dfs.core.windows.net

Kroki

  1. Zacznij od utworzenia nowego skrótu w usłudze Lakehouse.

    Zrzut ekranu przedstawiający tworzenie nowego elementu menu skrótów.

    Zostanie otwarty kreator Nowy skrót .

  2. W obszarze Źródła zewnętrzne wybierz pozycję Azure Data Lake Storage Gen2.

    Zrzut ekranu przedstawiający wybieranie usługi Azure Data Lake Storage Gen2 jako źródła zewnętrznego.

  3. Podaj adres URL konta magazynu skonfigurowanego z zaufanym dostępem do obszaru roboczego i wybierz nazwę połączenia. W polu Rodzaj uwierzytelniania wybierz pozycję Konto organizacyjne lub Jednostka usługi.

    Zrzut ekranu przedstawiający specyfikację adresu URL w kreatorze skrótów.

    Po zakończeniu wybierz przycisk Dalej.

  4. Podaj nazwę skrótu i ścieżkę podrzędną.

    Zrzut ekranu przedstawiający definicję ścieżki podrzędnej w kreatorze skrótów.

    Po zakończeniu wybierz pozycję Utwórz.

  5. Skrót lakehouse jest tworzony i powinien być w stanie wyświetlić podgląd danych magazynu w skrócie.

    Zrzut ekranu przedstawiający wyświetlanie podglądu danych magazynu za pośrednictwem skrótu lakehouse.

Użyj skrótu OneLake do konta magazynu z zaufanym dostępem do obszaru roboczego w elementach sieci szkieletowej

Za pomocą narzędzia OneCopy w sieci szkieletowej możesz uzyskać dostęp do skrótów oneLake z zaufanym dostępem ze wszystkich obciążeń sieci szkieletowej.

  • Spark: możesz użyć platformy Spark, aby uzyskać dostęp do danych ze skrótów oneLake. Gdy skróty są używane na platformie Spark, są one wyświetlane jako foldery w usłudze OneLake. Wystarczy odwołać się do nazwy folderu, aby uzyskać dostęp do danych. Możesz użyć skrótu OneLake do kont magazynu z zaufanym dostępem do obszaru roboczego w notesach platformy Spark.

  • Punkt końcowy analizy SQL: skróty utworzone w sekcji "Tabele" usługi Lakehouse są również dostępne w punkcie końcowym analizy SQL. Możesz otworzyć punkt końcowy analizy SQL i wykonać zapytanie dotyczące danych tak jak w przypadku każdej innej tabeli.

  • Potoki: potoki danych mogą uzyskiwać dostęp do zarządzanych skrótów do kont magazynu z zaufanym dostępem do obszaru roboczego. Potoki danych mogą służyć do odczytywania lub zapisywania na kontach magazynu za pomocą skrótów usługi OneLake.

  • Przepływy danych w wersji 2: Przepływy danych Gen2 mogą służyć do uzyskiwania dostępu do zarządzanych skrótów do kont magazynu z zaufanym dostępem do obszaru roboczego. Przepływy danych Gen2 mogą odczytywać lub zapisywać na kontach magazynu za pomocą skrótów OneLake.

  • Semantyczne modele i raporty: domyślny model semantyczny skojarzony z punktem końcowym analizy SQL usługi Lakehouse może odczytywać skróty zarządzane do kont magazynu z zaufanym dostępem do obszaru roboczego. Aby wyświetlić tabele zarządzane w domyślnym modelu semantycznym, przejdź do elementu punktu końcowego analizy SQL, wybierz pozycję Raportowanie i wybierz pozycję Automatycznie aktualizuj model semantyczny.

    Można również utworzyć nowe modele semantyczne odwołujące się do skrótów tabeli do kont magazynu z zaufanym dostępem do obszaru roboczego. Przejdź do punktu końcowego analizy SQL, wybierz pozycję Raportowanie i wybierz pozycję Nowy model semantyczny.

    Raporty można tworzyć na podstawie domyślnych modeli semantycznych i niestandardowych modeli semantycznych.

  • Baza danych KQL: możesz również utworzyć skróty OneLake do usługi ADLS Gen2 w bazie danych KQL. Kroki tworzenia skrótu zarządzanego z zaufanym dostępem do obszaru roboczego pozostają takie same.

Tworzenie potoku danych na koncie magazynu z zaufanym dostępem do obszaru roboczego

Po skonfigurowaniu tożsamości obszaru roboczego w usłudze Fabric i włączeniu zaufanego dostępu na koncie magazynu usługi ADLS Gen2 można utworzyć potoki danych w celu uzyskania dostępu do danych z usługi Fabric. Możesz utworzyć nowy potok danych, aby skopiować dane do usługi Fabric lakehouse, a następnie rozpocząć analizowanie danych za pomocą platform Spark, SQL i Power BI.

Wymagania wstępne

  • Obszar roboczy sieci szkieletowej skojarzony z pojemnością sieci szkieletowej. Zobacz Tożsamość obszaru roboczego.
  • Utwórz tożsamość obszaru roboczego skojarzona z obszarem roboczym Sieć szkieletowa.
  • Konto użytkownika lub jednostka usługi używana do tworzenia połączenia powinna mieć role RBAC platformy Azure na koncie magazynu. Podmiot zabezpieczeń musi mieć rolę Współautor danych obiektu blob usługi Storage, Właściciel danych obiektu blob usługi Storage lub Czytelnik danych obiektu blob usługi Storage w zakresie konta magazynu.
  • Skonfiguruj regułę wystąpienia zasobu dla konta magazynu.

Kroki

  1. Zacznij od wybrania pozycji Pobierz dane w lakehouse.

  2. Wybierz pozycję Nowy potok danych. Podaj nazwę potoku, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okno dialogowe Nowy potok.

  3. Wybierz usługę Azure Data Lake Gen2 jako źródło danych.

    Zrzut ekranu przedstawiający wybór usługi ADLS Gen2.

  4. Podaj adres URL konta magazynu skonfigurowanego z zaufanym dostępem do obszaru roboczego i wybierz nazwę połączenia. W polu Rodzaj uwierzytelniania wybierz pozycję Konto organizacyjne lub Jednostka usługi.

    Zrzut ekranu przedstawiający ustawienia połączenia dla źródła danych.

    Po zakończeniu wybierz przycisk Dalej.

  5. Wybierz plik, który chcesz skopiować do lakehouse.

    Zrzut ekranu przedstawiający wybór pliku.

    Po zakończeniu wybierz przycisk Dalej.

  6. Na ekranie Przeglądanie i zapisywanie wybierz pozycję Rozpocznij transfer danych natychmiast. Po zakończeniu wybierz pozycję Zapisz i uruchom.

    Zrzut ekranu przedstawiający ekran przeglądania i zapisywania.

  7. Gdy stan potoku zmieni się z Kolejka na Powodzenie, przejdź do magazynu lakehouse i sprawdź, czy tabele danych zostały utworzone.

Używanie instrukcji T-SQL COPY do pozyskiwania danych do magazynu

Po skonfigurowaniu tożsamości obszaru roboczego w usłudze Fabric i włączeniu zaufanego dostępu na koncie magazynu usługi ADLS Gen2 możesz użyć instrukcji COPY T-SQL, aby pozyskać dane do magazynu usługi Fabric. Po pozyskiwaniu danych do magazynu możesz rozpocząć analizowanie danych za pomocą usług SQL i Power BI. Użytkownicy z rolami administratora, członka, współautora, przeglądającego obszaru roboczego lub z uprawnieniami do odczytu w magazynie danych, mogą używać zaufanego dostępu wraz z poleceniem T-SQL COPY.

Ograniczenia i zagadnienia

  • Dostęp do zaufanego obszaru roboczego jest obsługiwany w przypadku obszarów roboczych w dowolnej pojemności jednostki SKU F sieci szkieletowej.
  • Dostęp do zaufanego obszaru roboczego można używać tylko w skrótach OneLake, potokach danych i instrukcji T-SQL COPY. Aby bezpiecznie uzyskać dostęp do kont magazynu z platformy Fabric Spark, zobacz Zarządzane prywatne punkty końcowe dla sieci Szkieletowej.
  • Jeśli obszar roboczy z tożsamością obszaru roboczego zostanie zmigrowany do pojemności innej niż sieć szkieletowa sieci szkieletowej lub do pojemności jednostki SKU innej niż F, zaufany dostęp do obszaru roboczego przestanie działać po godzinie.
  • Istniejące skróty utworzone przed 10 października 2023 r. nie obsługują dostępu do zaufanego obszaru roboczego.
  • Nie można utworzyć ani zmodyfikować połączeń dla zaufanego dostępu do obszaru roboczego w temacie Zarządzanie połączeniami i bramami.
  • Połączenia z kontami magazynu z włączoną zaporą będą miały stan Offline w obszarze Zarządzanie połączeniami i bramami.
  • W przypadku ponownego użycia połączeń obsługujących zaufany dostęp do obszaru roboczego w elementach sieci szkieletowej innych niż skróty i potoki lub w innych obszarach roboczych mogą nie działać.
  • Tylko konto organizacyjne, zasada usługii tożsamość obszaru roboczego muszą być używane do uwierzytelniania konta magazynowego na potrzeby zaufanego dostępu do obszaru roboczego w skrótach i potokach.
  • Potoki nie mogą zapisywać skrótów do tabeli OneLake na kontach magazynu z zaufanym dostępem do obszaru roboczego. Jest to tymczasowe ograniczenie.
  • Można skonfigurować maksymalnie 200 reguł wystąpień zasobów. Aby uzyskać więcej informacji, zobacz Limity i limity przydziału subskrypcji platformy Azure — Azure Resource Manager.
  • Dostęp do zaufanego obszaru roboczego działa tylko wtedy, gdy dostęp publiczny jest włączony z wybranych sieci wirtualnych i adresów IP.
  • Reguły wystąpień zasobów dla obszarów roboczych sieci Szkieletowej muszą być tworzone za pomocą szablonów usługi ARM. Reguły wystąpień zasobów utworzone za pośrednictwem interfejsu użytkownika witryny Azure Portal nie są obsługiwane.
  • Wstępnie istniejące skróty w obszarze roboczym, który spełnia wymagania wstępne, automatycznie zaczną obsługiwać dostęp do zaufanej usługi.
  • Jeśli Twoja organizacja ma zasady dostępu warunkowego Entra dla tożsamości obciążeń, które obejmują wszystkie jednostki usługi, dostęp do zaufanego obszaru roboczego nie będzie działać. W takich przypadkach należy wykluczyć określone tożsamości obszaru roboczego sieci Szkieletowej z zasad dostępu warunkowego dla tożsamości obciążeń.
  • Dostęp do zaufanego obszaru roboczego nie jest obsługiwany, jeśli do utworzenia skrótu jest używana jednostka usługi.
  • Dostęp do zaufanego obszaru roboczego nie jest zgodny z żądaniami między dzierżawami.

Przykładowy szablon usługi ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}