Partilhar via


Acesso ao espaço de trabalho confiável

O Fabric permite que você acesse contas do Azure Data Lake Storage (ADLS) Gen2 habilitadas para firewall de maneira segura. Os espaços de trabalho de malha que têm uma identidade de espaço de trabalho podem acessar com segurança contas ADLS Gen2 com acesso à rede pública habilitado a partir de redes virtuais e endereços IP selecionados. Você pode limitar o acesso do ADLS Gen2 a espaços de trabalho específicos do Fabric.

Os espaços de trabalho de malha que acessam uma conta de armazenamento com acesso a espaço de trabalho confiável precisam de autorização adequada para a solicitação. A autorização é suportada com credenciais do Microsoft Entra para contas organizacionais ou entidades de serviço. Para saber mais sobre as regras de instância de recurso, consulte Conceder acesso de instâncias de recursos do Azure.

Para limitar e proteger o acesso a contas de armazenamento habilitadas para firewall de determinados espaços de trabalho de malha, você pode configurar a regra de instância de recurso para permitir o acesso de espaços de trabalho específicos do Fabric.

Nota

O acesso ao espaço de trabalho confiável está geralmente disponível, mas só pode ser usado em capacidades de SKU F. Para obter informações sobre como comprar uma assinatura do Fabric, consulte Comprar uma assinatura do Microsoft Fabric. O acesso a espaços de trabalho confiáveis não é suportado em Capacidades de avaliação.

Este artigo mostra-lhe como:

  • Configure o acesso ao espaço de trabalho confiável em uma conta de armazenamento ADLS Gen2.

  • Crie um atalho do OneLake em um Fabric Lakehouse que se conecte a uma conta de armazenamento ADLS Gen2 habilitada para acesso a espaço de trabalho confiável.

  • Crie um pipeline de dados para se conectar diretamente a uma conta ADLS Gen2 habilitada para firewall que tenha o acesso ao espaço de trabalho confiável habilitado.

  • Use a instrução T-SQL COPY para ingerir dados em seu Warehouse a partir de uma conta ADLS Gen2 habilitada para firewall que tenha o acesso a espaços de trabalho confiáveis habilitado.

Configurar o acesso a espaços de trabalho confiáveis no ADLS Gen2

Regra de instância de recurso via modelo ARM

Você pode configurar espaços de trabalho específicos do Fabric para acessar sua conta de armazenamento com base na identidade do espaço de trabalho. Você pode criar uma regra de instância de recurso implantando um modelo ARM com uma regra de instância de recurso. Para criar uma regra de instância de recurso:

  1. Entre no portal do Azure e vá para Implantação personalizada.

  2. Escolha Criar seu próprio modelo no editor. Para obter um modelo ARM de exemplo que cria uma regra de instância de recurso, consulte Exemplo de modelo ARM.

  3. Crie a regra de instância de recurso no editor. Quando terminar, escolha Rever + Criar.

  4. Na guia Noções básicas exibida, especifique os detalhes necessários do projeto e da instância. Quando terminar, escolha Rever + Criar.

  5. No separador Rever + Criar apresentado, reveja o resumo e, em seguida, selecione Criar. A regra será submetida para implantação.

  6. Quando a implantação estiver concluída, você poderá acessar o recurso.

Nota

  • As regras de instância de recurso para espaços de trabalho do Fabric só podem ser criadas por meio de modelos ARM ou PowerShell. Não há suporte para a criação por meio do portal do Azure.
  • O subscriptionId "00000000-0000-0000-0000-000000000000" deve ser usado para o resourceId do espaço de trabalho Fabric.
  • Você pode obter a ID do espaço de trabalho para um espaço de trabalho de malha por meio de sua URL da barra de endereço.

Captura de tela mostrando a regra de instância de recurso configurada.

Aqui está um exemplo de uma regra de instância de recurso que pode ser criada por meio do modelo ARM. Para obter um exemplo completo, consulte Exemplo de modelo ARM.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Regra de instância de recurso via um script do PowerShell

Você pode criar uma regra de instância de recurso por meio do PowerShell, usando o script a seguir.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Exceção de serviço confiável

Se você selecionar a exceção de serviço confiável para uma conta ADLS Gen2 que tenha o acesso à rede pública habilitado a partir de redes virtuais e endereços IP selecionados, os espaços de trabalho de malha com uma identidade de espaço de trabalho poderão acessar a conta de armazenamento. Quando a caixa de seleção exceção de serviço confiável é marcada, todos os espaços de trabalho nas capacidades de malha do locatário que têm uma identidade de espaço de trabalho podem acessar os dados armazenados na conta de armazenamento.

Essa configuração não é recomendada e o suporte pode ser descontinuado no futuro. Recomendamos que você use regras de instância de recurso para conceder acesso a recursos específicos.

Quem pode configurar contas de armazenamento para acesso a serviços confiáveis?

Um Colaborador na conta de armazenamento (uma função RBAC do Azure) pode configurar regras de instância de recurso ou exceção de serviço confiável.

Como usar o acesso a espaços de trabalho confiáveis na malha

Atualmente, há três maneiras de usar o acesso ao espaço de trabalho confiável para acessar seus dados do Fabric de maneira segura:

  • Você pode criar um novo atalho ADLS em um Fabric Lakehouse para começar a analisar seus dados com o Spark, SQL e Power BI.

  • Você pode criar um pipeline de dados que aproveite o acesso ao espaço de trabalho confiável para acessar diretamente uma conta ADLS Gen2 habilitada para firewall.

  • Você pode usar uma instrução T-SQL Copy que aproveita o acesso ao espaço de trabalho confiável para ingerir dados em um armazém de malha.

As seções a seguir mostram como usar esses métodos.

Criar um atalho do OneLake para uma conta de armazenamento com acesso a espaços de trabalho confiáveis

Com a identidade do espaço de trabalho configurada no Fabric e o acesso ao espaço de trabalho confiável habilitado em sua conta de armazenamento ADLS Gen2, você pode criar atalhos do OneLake para acessar seus dados do Fabric. Basta criar um novo atalho ADLS em um Fabric Lakehouse e começar a analisar seus dados com o Spark, SQL e Power BI.

Pré-requisitos

  • Um espaço de trabalho de malha associado a uma capacidade de malha. Consulte Identidade do espaço de trabalho.
  • Crie uma identidade de espaço de trabalho associada ao espaço de trabalho Malha.
  • A conta de usuário ou entidade de serviço usada para autenticação no atalho deve ter funções do Azure RBAC na conta de armazenamento. A principal deve ter uma função de Colaborador de Dados de Blob de Armazenamento, Proprietário de Dados de Blob de Armazenamento ou Leitor de Dados de Blob de Armazenamento no âmbito da conta de armazenamento, ou uma função de Delegador de Blob de Armazenamento juntamente com acesso ao nível da pasta dentro do contentor. O acesso no nível da pasta pode ser fornecido por meio de uma função RBAC no nível do contêiner ou por meio do acesso específico no nível da pasta.
  • Configure uma regra de instância de recurso para a conta de armazenamento.

Nota

  • Os atalhos preexistentes em um espaço de trabalho que atenda aos pré-requisitos começarão automaticamente a oferecer suporte ao acesso a serviços confiáveis.
  • Tem de utilizar o ID URL DFS para a conta de armazenamento. Eis um exemplo: https://StorageAccountName.dfs.core.windows.net

Passos

  1. Comece criando um novo atalho em uma Lakehouse.

    Sceenshot de criar novo item de menu de atalho.

    O assistente Novo atalho é aberto.

  2. Em Fontes externas, selecione Azure Data Lake Storage Gen2.

    Captura de tela mostrando a escolha do Azure Data Lake Storage Gen2 como uma fonte externa.

  3. Forneça a URL da conta de armazenamento que foi configurada com acesso a espaço de trabalho confiável e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta organizacional ou Entidade de serviço.

    Captura de tela mostrando a especificação de URL no assistente de atalho.

    Quando terminar, selecione Avançar.

  4. Forneça o nome do atalho e o subcaminho.

    Captura de tela mostrando a definição de subcaminho no assistente de atalho.

    Quando terminar, selecione Criar.

  5. O atalho lakehouse é criado e você deve ser capaz de visualizar os dados de armazenamento no atalho.

    Captura de tela mostrando a visualização de dados de armazenamento através do atalho lakehouse.

Usar o atalho do OneLake para uma conta de armazenamento com acesso a espaço de trabalho confiável em itens de malha

Com o OneCopy in Fabric, você pode acessar seus atalhos do OneLake com acesso confiável de todas as cargas de trabalho do Fabric.

  • Spark: Você pode usar o Spark para acessar dados de seus atalhos do OneLake. Quando os atalhos são usados no Spark, eles aparecem como pastas no OneLake. Você só precisa fazer referência ao nome da pasta para acessar os dados. Você pode usar o atalho do OneLake para contas de armazenamento com acesso a espaços de trabalho confiáveis em blocos de anotações do Spark.

  • Ponto de extremidade de análise SQL: os atalhos criados na seção "Tabelas" do seu lakehouse também estão disponíveis no ponto de extremidade de análise SQL. Você pode abrir o ponto de extremidade de análise SQL e consultar seus dados como qualquer outra tabela.

  • Pipelines: os pipelines de dados podem acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. Os pipelines de dados podem ser usados para ler ou gravar em contas de armazenamento por meio dos atalhos do OneLake.

  • Dataflows v2: O Dataflows Gen2 pode ser usado para acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. O Dataflows Gen2 pode ler ou gravar em contas de armazenamento por meio de atalhos do OneLake.

  • Modelos semânticos e relatórios: o modelo semântico padrão associado ao ponto de extremidade de análise SQL de um Lakehouse pode ler atalhos gerenciados para contas de armazenamento com acesso a espaços de trabalho confiáveis. Para ver as tabelas gerenciadas no modelo semântico padrão, vá para o item de ponto de extremidade de análise SQL, selecione Relatórios e escolha Atualizar modelo semântico automaticamente.

    Você também pode criar novos modelos semânticos que fazem referência a atalhos de tabela para contas de armazenamento com acesso a espaços de trabalho confiáveis. Vá para o ponto de extremidade de análise SQL, selecione Relatórios e escolha Novo modelo semântico.

    Você pode criar relatórios sobre os modelos semânticos padrão e modelos semânticos personalizados.

  • Banco de dados KQL: Você também pode criar atalhos OneLake para ADLS Gen2 em um banco de dados KQL. As etapas para criar o atalho gerenciado com acesso confiável ao espaço de trabalho permanecem as mesmas.

Criar um pipeline de dados para uma conta de armazenamento com acesso a espaços de trabalho confiáveis

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável habilitado em sua conta de armazenamento ADLS Gen2, você pode criar pipelines de dados para acessar seus dados do Fabric. Você pode criar um novo pipeline de dados para copiar dados em um lakehouse de malha e, em seguida, pode começar a analisar seus dados com o Spark, SQL e Power BI.

Pré-requisitos

  • Um espaço de trabalho de malha associado a uma capacidade de malha. Consulte Identidade do espaço de trabalho.
  • Crie uma identidade de espaço de trabalho associada ao espaço de trabalho Malha.
  • A conta de usuário ou a entidade de serviço usada para criar a conexão deve ter funções RBAC do Azure na conta de armazenamento. A entidade de segurança deve ter uma função de Colaborador de Dados de Blob de Armazenamento, proprietário de Dados de Blob de Armazenamento ou Leitor de Dados de Blob de Armazenamento no escopo da conta de armazenamento.
  • Configure uma regra de instância de recurso para a conta de armazenamento.

Passos

  1. Comece selecionando Obter dados em uma casa do lago.

  2. Selecione Novo pipeline de dados. Forneça um nome para o pipeline e selecione Criar.

    Captura de tela mostrando a caixa de diálogo Novo pipeline.

  3. Escolha Azure Data Lake Gen2 como a fonte de dados.

    Captura de tela mostrando a seleção do ADLS Gen2.

  4. Forneça a URL da conta de armazenamento que foi configurada com acesso a espaço de trabalho confiável e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta organizacional ou Entidade de serviço.

    Captura de tela mostrando as configurações de conexão para a fonte de dados.

    Quando terminar, selecione Avançar.

  5. Selecione o arquivo que você precisa copiar para a casa do lago.

    Captura de ecrã a mostrar a seleção de ficheiros.

    Quando terminar, selecione Avançar.

  6. Na tela Revisar + salvar, selecione Iniciar transferência de dados imediatamente. Quando terminar, selecione Salvar + Executar.

    Captura de tela mostrando a tela de revisão e salvamento.

  7. Quando o status do pipeline mudar de Enfileirado para Aprovado, vá para a casa do lago e verifique se as tabelas de dados foram criadas.

Use a instrução T-SQL COPY para ingerir dados em um depósito

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável habilitado em sua conta de armazenamento ADLS Gen2, você pode usar a instrução COPY T-SQL para ingerir dados em seu armazém de malha. Depois que os dados forem ingeridos no depósito, você poderá começar a analisar seus dados com SQL e Power BI.

Restrições e considerações

  • O acesso a espaços de trabalho confiáveis é suportado para espaços de trabalho em qualquer capacidade de SKU de malha F.
  • Você só pode usar o acesso a espaços de trabalho confiáveis em atalhos do OneLake, pipelines de dados e na instrução T-SQL COPY. Para acessar com segurança as contas de armazenamento do Fabric Spark, consulte Pontos de extremidade privados gerenciados para o Fabric.
  • Se um espaço de trabalho com uma identidade de espaço de trabalho for migrado para uma capacidade que não seja de malha ou para uma capacidade de malha de SKU não F, o acesso ao espaço de trabalho confiável deixará de funcionar após uma hora.
  • Os atalhos pré-existentes criados antes de 10 de outubro de 2023 não suportam acesso a espaços de trabalho fidedignos.
  • As conexões para acesso a espaços de trabalho confiáveis não podem ser criadas ou modificadas em Gerenciar conexões e gateways.
  • As conexões com contas de armazenamento habilitadas para firewall terão o status Offline em Gerenciar conexões e gateways.
  • Se você reutilizar conexões que oferecem suporte ao acesso a espaços de trabalho confiáveis em itens de malha diferentes de atalhos e pipelines, ou em outros espaços de trabalho, eles podem não funcionar.
  • Somente a conta organizacional ou a entidade de serviço deve ser usada para autenticação em contas de armazenamento para acesso a espaços de trabalho confiáveis.
  • Os pipelines não podem gravar em atalhos de tabela do OneLake em contas de armazenamento com acesso a espaço de trabalho confiável. Esta é uma limitação temporária.
  • Um máximo de 200 regras de instância de recurso pode ser configurado. Para obter mais informações, consulte Limites e cotas de assinatura do Azure - Azure Resource Manager.
  • O acesso a espaços de trabalho fidedignos só funciona quando o acesso público está ativado a partir de redes virtuais e endereços IP selecionados.
  • As regras de instância de recurso para espaços de trabalho de malha devem ser criadas por meio de modelos ARM. Não há suporte para regras de instância de recurso criadas por meio da interface do usuário do portal do Azure.
  • Os atalhos pré-existentes em um espaço de trabalho que atenda aos pré-requisitos começarão automaticamente a oferecer suporte ao acesso a serviços confiáveis.
  • Se sua organização tiver uma política de acesso condicional do Entra para identidades de carga de trabalho que inclua todas as entidades de serviço, o acesso ao espaço de trabalho confiável não funcionará. Nesses casos, você precisa excluir identidades específicas do espaço de trabalho Fabric da política de acesso condicional para identidades de carga de trabalho.
  • O acesso a espaços de trabalho confiáveis não é suportado se uma entidade de serviço for usada para criar atalhos.
  • O acesso ao espaço de trabalho confiável não é compatível com solicitações entre locatários.

Solução de problemas com acesso a espaços de trabalho confiáveis

Se um atalho em uma lakehouse que tem como alvo uma conta de armazenamento ADLS Gen2 protegida por firewall se tornar inacessível, pode ser porque a lakehouse foi compartilhada com um usuário que não tem uma função de administrador, membro ou colaborador no espaço de trabalho onde a lakehouse reside. Este é um problema conhecido. A solução é não compartilhar o lakehouse com usuários que não tenham uma função de administrador, membro ou colaborador no espaço de trabalho.

Exemplo de modelo ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}