Dela via

Bevilja behörighet till arbetsytans hanterade identitet

  • Artikel

Den här artikeln lär dig hur du beviljar behörigheter till den hanterade identiteten på Azure Synapse-arbetsytan. Behörigheter ger i sin tur åtkomst till dedikerade SQL-pooler på arbetsytan och Azure Data Lake Storage Gen2-kontot via Azure Portal.

Kommentar

Den här hanterade arbetsytans identitet kallas för hanterad identitet via resten av det här dokumentet.

Bevilja den hanterade identiteten behörigheter till Data Lake Storage-kontot

Ett Data Lake Storage Gen2-konto krävs för att skapa en Azure Synapse-arbetsyta. För att kunna starta Spark-pooler på Azure Synapse-arbetsytan behöver den hanterade Azure Synapse-identiteten rollen Storage Blob Data Contributor för det här lagringskontot. Pipelineorkestrering i Azure Synapse drar också nytta av den här rollen.

Bevilja behörigheter till hanterad identitet när arbetsytan skapas

Azure Synapse försöker bevilja rollen Storage Blob Data Contributor till den hanterade identiteten när du har skapat Azure Synapse-arbetsytan med hjälp av Azure Portal. Du anger information om Data Lake Storage-kontot på fliken Grundläggande .

Skärmbild av fliken Grundläggande i arbetsflödet för att skapa arbetsytor.

Välj Data Lake Storage Gen2-kontot och filsystemet i Kontonamn och Filsystemnamn.

Skärmbild som visar information om Data Lake Storage Gen2-kontot.

Om arbetsytans skapare också är ägare till Data Lake Storage-kontot tilldelar Azure Synapse rollen Storage Blob Data Contributor till den hanterade identiteten. Följande meddelande visas.

Skärmbild av den lyckade lagringsblobdatadeltagaretilldelningen.

Om arbetsytans skapare inte är ägare till Data Lake Storage-kontot tilldelar Inte Azure Synapse rollen Storage Blob Data-deltagare till den hanterade identiteten. Följande meddelande meddelar arbetsytans skapare att de inte har tillräcklig behörighet för att bevilja rollen Storage Blob Data-deltagare till den hanterade identiteten.

Skärmbild av en misslyckad tilldelning av lagringsblobdatadeltagare med felrutan markerad.

Du kan inte skapa Spark-pooler om inte Storage Blob Data-deltagaren har tilldelats den hanterade identiteten.

Bevilja behörigheter till hanterad identitet efter att arbetsytan har skapats

Om du inte tilldelar Storage Blob Data-deltagaren till den hanterade identiteten när arbetsytan skapas, tilldelar ägaren av Data Lake Storage Gen2-kontot den rollen manuellt till identiteten. Följande steg hjälper dig att utföra manuell tilldelning.

Steg 1: Navigera till Data Lake Storage Gen2-kontot

I Azure Portal öppnar du Data Lake Storage Gen2-lagringskontot och väljer Containrar i det vänstra navigeringsfältet. Du behöver bara tilldela rollen Storage Blob Data Contributor på container- eller filsystemnivå.

Skärmbild av Azure Portal av Översikt över Data Lake Storage Gen2-kontot.

Steg 2: Välj containern

Den hanterade identiteten ska ha dataåtkomst till containern (filsystemet) som angavs när arbetsytan skapades. Du hittar containern eller filsystemet i Azure Portal. Öppna Azure Synapse-arbetsytan i Azure Portal och välj fliken Översikt i det vänstra navigeringsfältet.

Skärmbild av Azure Portal som visar namnet på Data Lake Storage Gen2-filen

Välj samma container eller filsystem för att bevilja rollen Storage Blob Data Contributor till den hanterade identiteten.

Skärmbild som visar den container eller filsystem som du bör välja.

Steg 3: Öppna åtkomstkontroll och lägg till rolltilldelning

  1. Välj Åtkomstkontroll (IAM) på resursmenyn.

  2. Välj Lägg till>rolltilldelning för att öppna sidan Lägg till rolltilldelning.

  3. Tilldela följande roll. Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

    Inställning Värde
    Roll Storage blobb data-deltagare
    Tilldela åtkomst till MANAGEDIDENTITY
    Medlemmar hanterat identitetsnamn

    Kommentar

    Namnet på den hanterade identiteten är också arbetsytans namn.

    Skärmbild av sidan lägg till rolltilldelning i Azure Portal.

  4. Välj Spara för att lägga till rolltilldelningen.

Steg 4: Kontrollera att rollen Storage Blob Data-deltagare har tilldelats till den hanterade identiteten

Välj Åtkomstkontroll (IAM) och välj sedan Rolltilldelningar.

Skärmbild av knappen Rolltilldelningar i Azure Portal som används för att verifiera rolltilldelning.

Du bör se din hanterade identitet i avsnittet Storage Blob Data Contributor med rollen Storage Blob Data Contributor tilldelad till den.

Skärmbild av Azure Portal med val av Data Lake Storage Gen2-kontocontainer.

Alternativ till rollen Storage Blob Data Contributor

I stället för att ge dig själv rollen Storage Blob Data Contributor kan du även ge mer detaljerade behörigheter för en delmängd filer.

Alla användare som behöver åtkomst till vissa data i den här containern måste också ha behörigheten EXECUTE på alla överordnade mappar upp till roten (containern).

Mer information finns i Använda Azure Storage Explorer för att hantera ACL:er i Azure Data Lake Storage.

Kommentar

Behörigheten Kör på containernivå måste anges i Data Lake Storage Gen2. Behörigheter för mappen kan anges i Azure Synapse.

Om du vill fråga data2.csv i det här exemplet krävs följande behörigheter:

  • Kör behörighet för container
  • Kör behörighet på mapp1
  • Läsbehörighet för data2.csv

Diagram som visar behörighetsstrukturen på datasjön.

  1. Logga in på Azure Synapse med en administratörsanvändare som har fullständig behörighet för de data som du vill komma åt.

  2. Högerklicka på filen i datafönstret och välj Hantera åtkomst.

    Skärmbild som visar alternativet hantera åtkomst.

  3. Välj minst Läsbehörighet . Ange användarens UPN eller objekt-ID, till exempel user@contoso.com. Markera Lägga till.

  4. Bevilja läsbehörighet för den här användaren.

    Skärmbild som visar hur du beviljar läsbehörigheter.

Kommentar

För gästanvändare måste det här steget göras direkt med Azure Data Lake eftersom det inte kan göras direkt via Azure Synapse.

Relaterat innehåll