Предоставление разрешений управляемому удостоверению рабочей области
Эта статья поможет вам узнать, как предоставлять разрешения управляемому удостоверению в рабочей области Azure Synapse. Разрешения, в свою очередь, открывают доступ к выделенным пулам SQL в рабочей области и учетной записи хранения ADLS 2-го поколения с помощью портала Azure.
Примечание.
Это управляемое удостоверение рабочей области будет называться управляемым удостоверением далее в этом документе.
Предоставление разрешений управляемого удостоверения учетной записи хранения ADLS 2-го поколения
Для создания рабочей области Azure Synapse требуется учетная запись хранения ADLS 2-го поколения. Чтобы успешно запустить пулы Spark в рабочей области Azure Synapse, управляемому удостоверению Azure Synapse требуется роль участника для данных BLOB-объектов хранилища в этой учетной записи хранения. Оркестрация конвейеров в Azure Synapse также получает преимущества от этой роли.
Предоставление разрешений управляемому удостоверению во время создания рабочей области
Azure Synapse будет пытаться предоставить управляемому удостоверению роль участника для данных BLOB-объектов хранилища после создания рабочей области Azure Synapse с помощью портала Azure. Сведения об учетной записи хранения ADLS 2-го поколения можно указать на вкладке Основы.
Выберите учетную запись хранения ADLS 2-го поколения и файловую систему в поле Имя учетной записи и Имя файловой системы.
Если создатель рабочей области также является владельцем учетной записи хранения ADLS 2-го поколения, Azure Synapse присвоит управляемому удостоверению роль участника для данных BLOB-объектов хранилища. После введенных данных учетной записи хранения вы увидите следующее сообщение.
Если создатель рабочей области не является владельцем учетной записи хранения ADLS 2-го поколения, Azure Synapse не присвоит управляемому удостоверению роль участника для данных BLOB-объектов хранилища. Сообщение, которое отображается под данными учетной записи хранения, уведомляет создателя рабочей области о том, что у него нет достаточных прав для предоставления роли участника для данных BLOB-объектов хранилища управляемому удостоверению.
Как указано в сообщении, нельзя создавать пулы Spark, если участник для данных BLOB-объектов хранилища не назначен управляемому удостоверению.
Предоставление разрешений управляемому удостоверению после создания рабочей области
Если при создании рабочей области участник для данных BLOB-объектов хранилища не назначается управляемому удостоверению, владелец учетной записи хранения ADLS 2-го поколения вручную назначает эту роль удостоверению. Следующие шаги помогут выполнить назначение вручную.
Шаг 1. Перейдите к учетной записи хранения ADLS 2-го поколения на портал Azure
На портале Azure откройте учетную запись хранения ADLS 2-го поколения и выберите Обзор в левой области навигации. Вам потребуется назначить роль участника для данных BLOB-объектов хранилища на уровне контейнера или файловой системы. Выберите Контейнеры.
Шаг 2. Выберите контейнер
Управляемое удостоверение должно иметь доступ к данным контейнера (файловой системы), который был предоставлен при создании рабочей области. Этот контейнер или файловую систему можно найти на портале Azure. Откройте рабочую область Azure Synapse на портале Azure и щелкните вкладку Обзор в области навигации слева.
Выберите тот же контейнер или файловую систему, чтобы назначить управляемому удостоверению роль участника для данных BLOB-объектов хранилища.
Шаг 3. Откройте раздел "Управление доступом" и добавьте назначение ролей
Выберите Управление доступом (IAM) .
Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".
Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Параметр Значение Роль Участник данных хранилища BLOB-объектов Назначить доступ для MANAGEDIDENTITY Участники имя управляемого удостоверения Примечание.
Имя управляемого удостоверения также является именем рабочей области.
Нажмите кнопку Сохранить, чтобы добавить назначение ролей.
Шаг 4. Убедитесь, что роль участника для данных BLOB-объектов хранилища назначена управляемому удостоверению
Выберите Управление доступом (IAM), а затем Назначение ролей.
Управляемое удостоверение должно отображаться в разделе Участник для данных BLOB-объектов хранилища с назначенной ему ролью участника для данных BLOB-объектов хранилища.
Альтернатива роли участника для данных BLOB-объектов хранилища
Вместо предоставления себе роли "Участник данных BLOB-объектов хранилища" можно предоставить более детализированные разрешения для доступа к подмножеству файлов.
Всем пользователям, которым необходим доступ к некоторым данным в этом контейнере, также необходимо разрешение EXECUTE (ВЫПОЛНЕНИЕ) для всех родительских папок вплоть до корневой (контейнера).
Дополнительные сведения о настройке списков управления доступом в Azure Data Lake Storage 2-го поколения.
Примечание.
Разрешение на выполнение на уровне контейнера необходимо задать в Azure Data Lake 2-го поколения. Разрешения для папки можно задать в Azure Synapse.
Если в этом примере вы хотите запросить файл data2.csv, необходимы следующие разрешения:
- разрешение на выполнение для контейнера
- разрешение на выполнение для папки1
- разрешение на чтение для файла data2.csv
Войдите в Azure Synapse с помощью учетной записи администратора, обладающей полными правами доступа к данным, к которым вы хотите получить доступ.
В области данных нажмите правой кнопкой мыши на файле и выберите Manage access (Управление доступом).
Выберите по крайней мере разрешение Read (Чтение). Введите имя участника-пользователя или идентификатор объекта, например user@contoso.com. Выберите Добавить.
Предоставьте разрешение на чтение этому пользователю.
Примечание.
Для гостевых пользователей это необходимо сделать непосредственно с помощью службы Azure Data Lake, так как напрямую через Azure Synapse это выполнить невозможно.
Следующие шаги
Дополнительные сведения об управляемых удостоверениях рабочей области