Conceder permissões para a identidade gerenciada do espaço de trabalho
Este artigo ensina como conceder permissões à identidade gerenciada no espaço de trabalho do Azure Synapse. As permissões, por sua vez, permitem o acesso a pools de SQL dedicados no espaço de trabalho e à conta de armazenamento Azure Data Lake Storage Gen2 por meio do portal do Azure.
Observação
Essa identidade gerenciada do espaço de trabalho é referida como identidade gerenciada no restante deste documento.
Conceder as permissões de identidade gerenciada à conta do Data Lake Storage
Uma conta de armazenamento do Data Lake Storage Gen2 é necessária para criar um espaço de trabalho do Azure Synapse. Para iniciar com êxito os Pools do Spark no workspace do Azure Synapse, a identidade gerenciada do Azure Synapse precisa da função Colaborador de Dados do Blob de Armazenamento na conta de armazenamento. A orquestração de pipeline no Azure Synapse também se beneficia dessa função.
Conceder permissões à identidade gerenciada durante a criação do workspace
O Azure Synapse tenta conceder a função de Colaborador de Dados do Blob de Armazenamento à identidade gerenciada depois que você cria o espaço de trabalho do Azure Synapse usando o portal do Azure. Você fornece os detalhes da conta do Data Lake Storage na guia Noções Básicas.
Escolha a conta do Data Lake Storage Gen2 e o sistema de arquivos em Nome da conta e Nome do sistema de arquivos.
Se o criador do espaço de trabalho também for Proprietário da conta do Data Lake Storage, o Azure Synapse atribui a função de Colaborador de Dados do Blob de Armazenamento à identidade gerenciada. A seguinte mensagem é exibida.
Se o criador do espaço de trabalho não for o proprietário do Data Lake Storage, o Azure Synapse não atribui a função de Colaborador de Dados do Blob de Armazenamento à identidade gerenciada. A seguinte mensagem notifica o criador do espaço de trabalho de que ele não tem permissões suficientes para conceder a função de Colaborador de Dados do Blob de Armazenamento à identidade gerenciada.
Você não pode criar pools do Spark, a menos que o Colaborador de Dados do Blob de Armazenamento seja atribuído à identidade gerenciada.
Conceder permissões para identidade gerenciada após a criação do workspace
Durante a criação do espaço de trabalho, se você não atribuir o Colaborador de Dados do Blob de Armazenamento à identidade gerenciada, então o Proprietário da conta do Data Lake Storage Gen2 atribui manualmente essa função à identidade. As etapas a seguir o ajudarão a realizar a atribuição manual.
Etapa 1: Navegar até conta do Data Lake Storage Gen2
No portal do Azure, abra a conta de armazenamento do Data Lake Storage Gen2 e selecione Contêineres no painel de navegação à esquerda. Você só precisa atribuir a função de Colaborador de Dados do Blob de Armazenamento no nível do contêiner ou do sistema de arquivos.
Etapa 2: selecionar o contêiner
A identidade gerenciada deve ter acesso aos dados do contêiner (sistema de arquivos) que foi fornecido quando o workspace foi criado. Você pode encontrar esse contêiner ou o sistema de arquivos no portal do Azure. Abra o espaço de trabalho do Azure Synapse no portal do Azure e selecione a guia Visão geral no painel de navegação à esquerda.
Selecione o mesmo contêiner ou sistema de arquivos para conceder a função de Colaborador de Dados do Blob de Armazenamento à identidade gerenciada.
Etapa 3: abrir o controle de acesso e adicionar atribuição de função
Selecione o Controle de acesso (IAM) a partir do menu de recursos.
Selecione Adicionar>Adicionar atribuição de função para abrir a página Adicionar atribuição de função.
Atribua a função a seguir. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Configuração Valor Função Colaborador de dados de blob de armazenamento Atribuir acesso a MANAGEDIDENTITY Membros nome da identidade gerenciada Observação
O nome da identidade gerenciada também é o nome do workspace.
Selecione Salvar para adicionar a atribuição de função.
Etapa 4: verificar se a função Colaborador de Dados do Blob de Armazenamento está atribuída à identidade gerenciada
Selecione Controle de Acesso (IAM) e depois selecione Atribuições de função.
Você deve ver sua identidade gerenciada listada na seção Colaborador de Dados do Blob de Armazenamento com a função Contribuidor de Dados de Blob de Armazenamento atribuída a ela.
Alternativa para a função de Colaborador de dados de blob de armazenamento
Em vez de conceder a si mesmo a função de Colaborador de Dados de Blob de Armazenamento, você também pode conceder permissões mais granulares em um subconjunto de arquivos.
Todos os usuários que precisem acessar alguns dados nesse contêiner também devem ter a permissão EXECUTAR em todas as pastas pai até a raiz (o contêiner).
Para saber mais, consulte Usar o Gerenciador de Armazenamento do Azure para gerenciar ACLs no Azure Data Lake Storage.
Observação
A permissão Executar no nível de contêiner precisa ser definida dentro do Data Lake Storage Gen2. As permissões na pasta podem ser definidas no Azure Synapse.
Se você quiser consultar o data2.csv neste exemplo, as seguintes permissões são necessárias:
- Permissão Executar no contêiner
- Permissão Executar na pasta1
- Permissão Ler em data2.csv
Entre no Azure Synapse com um usuário administrador que tenha permissões completas para os dados que você deseja acessar.
No painel dados, clique com o botão direito do mouse no arquivo e selecione Gerenciar acesso.
Selecione pelo menos a permissão Ler. Insira o UPN do usuário ou a ID do objeto, por exemplo,
user@contoso.com. Selecione Adicionar.Conceda permissão de leitura para este usuário.
Observação
Para usuários convidados, essa etapa precisa ser feita diretamente no Azure Data Lake, pois isso não pode ser feito diretamente por meio do Azure Synapse.