Предоставление разрешений управляемому удостоверению рабочей области
В этой статье описано, как предоставить разрешения управляемому удостоверению в рабочей области Azure Synapse. Разрешения, в свою очередь, разрешают доступ к выделенным пулам SQL в рабочей области и Azure Data Lake Storage 2-го поколения учетной записи через портал Azure.
Примечание.
Управляемое удостоверение рабочей области называется управляемым удостоверением в остальной части этого документа.
Предоставление разрешений управляемого удостоверения учетной записи Data Lake Storage
Для создания рабочей области Azure Synapse требуется учетная запись Data Lake Storage 2-го поколения. Чтобы успешно запустить пулы Spark в рабочей области Azure Synapse, управляемому удостоверению Azure Synapse требуется роль участника для данных BLOB-объектов хранилища в этой учетной записи хранения. Оркестрация конвейеров в Azure Synapse также получает преимущества от этой роли.
Предоставление разрешений управляемому удостоверению во время создания рабочей области
Azure Synapse пытается предоставить роль участника данных BLOB-объектов хранилища управляемому удостоверению после создания рабочей области Azure Synapse с помощью портал Azure. Вы предоставляете сведения об учетной записи Data Lake Storage на вкладке "Основные сведения".
Выберите учетную запись Data Lake Storage 2-го поколения и файловую систему в имени учетной записи и имени файловой системы.
Если создатель рабочей области также является владельцем учетной записи Data Lake Storage, Azure Synapse назначает роль участника данных BLOB-объектов хранилища управляемому удостоверению. Появится указанное ниже сообщение.
Если создатель рабочей области не является владельцем учетной записи Data Lake Storage, Azure Synapse не назначает роль участника данных BLOB-объектов хранилища управляемому удостоверению. Следующее сообщение уведомляет создателя рабочей области о том, что у них нет достаточных разрешений для предоставления роли участника данных BLOB-объектов хранилища управляемому удостоверению.
Невозможно создать пулы Spark, если участник данных BLOB-объектов хранилища не назначен управляемому удостоверению.
Предоставление разрешений управляемому удостоверению после создания рабочей области
При создании рабочей области, если участник данных BLOB-объектов хранилища не назначается управляемому удостоверению, владелец учетной записи Data Lake Storage 2-го поколения вручную назначает эту роль удостоверению. Следующие шаги помогут вам выполнить назначение вручную.
Шаг 1. Переход к учетной записи Data Lake Storage 2-го поколения
В портал Azure откройте учетную запись хранения Data Lake Storage 2-го поколения и выберите контейнеры в области навигации слева. Необходимо назначить роль участника данных BLOB-объектов хранилища только на уровне контейнера или файловой системы.
Шаг 2. Выберите контейнер
Управляемое удостоверение должно иметь доступ к данным контейнера (файловой системы), который был предоставлен при создании рабочей области. Этот контейнер или файловая система можно найти в портал Azure. Откройте рабочую область Azure Synapse в портал Azure и выберите вкладку "Обзор" в области навигации слева.
Выберите тот же контейнер или файловую систему, чтобы назначить управляемому удостоверению роль участника для данных BLOB-объектов хранилища.
Шаг 3. Откройте раздел "Управление доступом" и добавьте назначение ролей
Выберите элемент управления доступом (IAM) в меню ресурсов.
Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу Добавление назначения ролей.
Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Параметр Значение Роль Участник данных хранилища BLOB-объектов Назначить доступ для MANAGEDIDENTITY Участники имя управляемого удостоверения Примечание.
Имя управляемого удостоверения также является именем рабочей области.
Нажмите кнопку Сохранить, чтобы добавить назначение ролей.
Шаг 4. Убедитесь, что роль участника для данных BLOB-объектов хранилища назначена управляемому удостоверению
Выберите контроль доступа (IAM) и выберите назначения ролей.
Управляемое удостоверение должно отображаться в разделе Участник для данных BLOB-объектов хранилища с назначенной ему ролью участника для данных BLOB-объектов хранилища.
Альтернатива роли участника для данных BLOB-объектов хранилища
Вместо предоставления себе роли "Участник данных BLOB-объектов хранилища" можно предоставить более детализированные разрешения для доступа к подмножеству файлов.
Всем пользователям, которым необходим доступ к некоторым данным в этом контейнере, также необходимо разрешение EXECUTE (ВЫПОЛНЕНИЕ) для всех родительских папок вплоть до корневой (контейнера).
Дополнительные сведения см. в статье "Использование обозревателя служба хранилища Azure для управления списками управления доступом в Azure Data Lake Storage".
Примечание.
Разрешение на выполнение на уровне контейнера необходимо задать в Azure Data Lake 2-го поколения. Разрешения для папки можно задать в Azure Synapse.
Если вы хотите запросить data2.csv в этом примере, необходимы следующие разрешения:
- разрешение на выполнение для контейнера
- разрешение на выполнение для папки1
- разрешение на чтение для файла data2.csv
Войдите в Azure Synapse с помощью учетной записи администратора, обладающей полными правами доступа к данным, к которым вы хотите получить доступ.
В области данных нажмите правой кнопкой мыши на файле и выберите Manage access (Управление доступом).
Выберите по крайней мере разрешение Read (Чтение). Введите имя участника-пользователя или идентификатор объекта, например
user@contoso.com. Выберите Добавить.Предоставьте разрешение на чтение этому пользователю.
Примечание.
Для гостевых пользователей это необходимо сделать непосредственно с помощью службы Azure Data Lake, так как напрямую через Azure Synapse это выполнить невозможно.