Dela via

Ansluta till ett säkert Azure Storage-konto från en Synapse-arbetsyta

  • Artikel

Den här artikeln beskriver hur du ansluter till ett säkert Azure-lagringskonto från din Azure Synapse-arbetsyta. Du kan länka ett Azure Storage-konto till din Synapse-arbetsyta när du skapar din arbetsyta. Du kan länka fler lagringskonton när du har skapat din arbetsyta.

Skyddade Azure Storage-konton

Azure Storage tillhandahåller en säkerhetsmodell i flera lager som gör att du kan skydda och kontrollera åtkomsten till dina lagringskonton. Du kan konfigurera IP-brandväggsregler för att bevilja trafik från valda offentliga IP-adressintervall åtkomst till ditt lagringskonto. Du kan också konfigurera nätverksregler för att bevilja trafik från valda virtuella nätverk åtkomst till ditt lagringskonto. Du kan kombinera IP-brandväggsregler som tillåter åtkomst från valda IP-adressintervall och nätverksregler som ger åtkomst från valda virtuella nätverk på samma lagringskonto.

Dessa regler gäller för den offentliga slutpunkten för ett lagringskonto. Du behöver inga åtkomstregler för att tillåta trafik från hanterade privata slutpunkter som skapats på din arbetsyta till ett lagringskonto. Brandväggsregler för lagring kan tillämpas på befintliga lagringskonton eller på nya lagringskonton när du skapar dem. Mer information om hur du skyddar ditt lagringskonto finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.

Synapse-arbetsytor och virtuella nätverk

När du skapar en Synapse-arbetsyta kan du välja att tillåta att ett hanterat virtuellt nätverk associeras med den.

Om du inte aktiverar ett hanterat virtuellt nätverk för din arbetsyta när du skapar det finns arbetsytan i ett delat virtuellt nätverk tillsammans med andra Synapse-arbetsytor som inte har något hanterat virtuellt nätverk kopplat till sig.

Om du aktiverar ett hanterat virtuellt nätverk när du skapar arbetsytan associeras din arbetsyta med ett dedikerat virtuellt nätverk som hanteras av Azure Synapse. Dessa virtuella nätverk skapas inte i din kundprenumeration. Därför kan du inte bevilja trafik från dessa virtuella nätverk åtkomst till ditt skyddade lagringskonto med hjälp av nätverksregler som beskrivs ovan.

Få åtkomst till ett skyddat lagringskonto

Synapse fungerar från nätverk som inte kan ingå i dina nätverksregler. Använd följande steg för att aktivera åtkomst från din arbetsyta till ditt säkra lagringskonto.

  1. Skapa en Azure Synapse-arbetsyta med ett hanterat virtuellt nätverk som är associerat med den och skapa hanterade privata slutpunkter från den till det säkra lagringskontot. Om du använder Azure Portal för att skapa din arbetsyta kan du aktivera hanterat virtuellt nätverk under fliken Nätverk.

    Skärmbild som visar alternativet Hantera virtuellt nätverk under fliken Nätverk.

  2. Om du aktiverar hanterat virtuellt nätverk eller om Synapse fastställer att det primära lagringskontot är ett säkert lagringskonto, har du möjlighet att skapa en hanterad privat slutpunkt till ett primärt lagringskonto, som visas. Lagringskontoägaren måste godkänna anslutningsbegäran för att upprätta den privata länken. Alternativt godkänner Synapse den här anslutningsbegäran om användaren som skapar en Apache Spark-pool på arbetsytan har tillräcklig behörighet för att godkänna anslutningsbegäran.

  3. Ge din Azure Synapse-arbetsyta åtkomst till ditt säkra lagringskonto som en betrodd Azure-tjänst. Som en betrodd tjänst använder Azure Synapse sedan stark autentisering för att på ett säkert sätt ansluta till ditt lagringskonto.

Skapa en Synapse-arbetsyta med ett hanterat virtuellt nätverk och skapa hanterade privata slutpunkter till ditt lagringskonto

Information om hur du skapar en Synapse-arbetsyta som har ett hanterat virtuellt nätverk associerat med den finns i Azure Synapse Analytics Managed Virtual Network.

När arbetsytan med ett associerat hanterat virtuellt nätverk har skapats kan du skapa en hanterad privat slutpunkt till ditt säkra lagringskonto. Mer information finns i Skapa en hanterad privat slutpunkt till din datakälla.

Ge din Azure Synapse-arbetsyta åtkomst till ditt säkra lagringskonto som en betrodd Azure-tjänst

Analysfunktioner som dedikerad SQL-pool och serverlös SQL-pool använder infrastruktur för flera klientorganisationer som inte distribueras till det hanterade virtuella nätverket. För att trafik från dessa funktioner ska få åtkomst till det skyddade lagringskontot måste du konfigurera åtkomsten till ditt lagringskonto baserat på arbetsytans systemtilldelade hanterade identitet genom att följa dessa steg.

  1. I Azure Portal navigerar du till ditt skyddade lagringskonto och väljer Nätverk i det vänstra navigeringsfönstret.

    Skärmbild av nätverkskonfigurationen för lagringskontot.

  2. I avsnittet Resursinstanser väljer du Microsoft.Synapse/workspaces som resurstyp och anger arbetsytans namn som Instansnamn. Välj Spara.

    Nu bör du kunna komma åt ditt skyddade lagringskonto från arbetsytan.

Relaterat innehåll