從 Synapse 工作區連線到安全的 Azure 記憶體帳戶
本文說明如何從 Azure Synapse 工作區連線到安全的 Azure 儲存體帳戶。 當您建立工作區時,可以將 Azure 儲存體帳戶連結至您的 Synapse 工作區。 您可以在建立工作區後連結更多的儲存體帳戶。
安全的 Azure 儲存體帳戶
Azure 記憶體提供分層式安全性模型,可讓您保護及控制記憶體帳戶的存取。 您可以設定 IP 防火牆規則,授與來自選定的公共 IP 位址範圍的流量存取您儲存體帳戶的權限。 您也可以設定網路規則,授與來自選定的虛擬網路的流量存取您儲存體帳戶的權限。 您可以在相同的儲存體帳戶上結合 IP 防火牆規則 (允許來自選定的公共 IP 位址範圍的存取) 和網路規則 (允許來自選定的虛擬網路的存取)。
這些規則適用於儲存體帳戶的公用端點。 您不需要任何存取規則,即可允許從工作區中建立的受控私人端點到記憶體帳戶的流量。 儲存體防火牆規則可以套用到現有的儲存體帳戶或新建立的儲存體帳戶。 若要深入瞭解如何保護您的記憶體帳戶,請參閱設定 Azure 儲存體 防火牆和虛擬網路。
Synapse 工作區和虛擬網路
當您建立 Synapse 工作區時,您可以選擇允許受控虛擬網路與其建立關聯。
如果您在 建立工作區時未 為工作區啟用受控虛擬網路,您的工作區會與沒有與其相關聯的受控虛擬網路的其他 Synapse 工作區位於共用虛擬網路中。
如果您在建立工作區時啟用受控虛擬網路,則您的工作區會與 Azure Synapse 管理的專用虛擬網路相關聯。 這些虛擬網路不會在您的客戶訂用帳戶中建立。 因此,您無法使用上述網路規則,授與來自這些虛擬網路存取安全記憶體帳戶的流量。
存取安全的儲存體帳戶
Synapse 會從網路規則中無法包含的網路運作。 使用下列步驟來啟用從工作區存取安全記憶體帳戶的存取權。
使用與其相關聯的受控虛擬網路建立 Azure Synapse 工作區,並從中建立受控私人端點到安全的記憶體帳戶。 如果您使用 Azure 入口網站 來建立工作區,您可以在 [網络] 索引標籤下啟用受控虛擬網路。
![顯示 [網络] 索引標籤下 [管理虛擬網络] 選項的螢幕快照。](media/connect-to-a-secure-storage-account/enable-managed-virtual-network-managed-private-endpoint.png)
如果您啟用 受控虛擬網路 ,或如果 Synapse 判斷主要記憶體帳戶是安全的記憶體帳戶,則您可以選擇建立 主要記憶體帳戶的受控私人端點,如下所示。 記憶體帳戶擁有者必須核准連線要求,才能建立私人連結。 或者,如果使用者在工作區中建立Apache Spark集區,則 Synapse 會核准此連線要求。
授與您的 Azure Synapse 工作區存取安全儲存體帳戶的權限,作為受信任的 Azure 服務。 作為受信任的服務,Azure Synapse 接著會使用強身份驗證安全地連線到您的記憶體帳戶。
建立具有受控虛擬網路的 Synapse 工作區,並為您的儲存體帳戶建立受控私人端點
若要建立與它相關聯的受控虛擬網路的 Synapse 工作區,請參閱 Azure Synapse Analytics 受控 虛擬網絡。
建立具有相關聯受控虛擬網路的工作區之後,您可以建立安全記憶體帳戶的受控私人端點。 若要瞭解如何,請參閱 建立數據源的受控私人端點。
授與您的 Azure Synapse 工作區存取安全儲存體帳戶的權限,作為受信任的 Azure 服務
專用 SQL 集區和無伺服器 SQL 集區等分析功能會使用未部署到受控虛擬網路的多租使用者基礎結構。 若要讓來自這些功能的流量存取受保護的記憶體帳戶,您必須遵循下列步驟,根據工作區的系統指派受控識別來設定記憶體帳戶的存取權。
在 Azure 入口網站 中,流覽至您受保護的記憶體帳戶,然後從左側瀏覽窗格中選取 [網络]。
在 [資源執行個體] 區段,選取 [Microsoft.Synapse/workspaces] 作為 [資源類型],然後輸入您的工作區名稱為 [執行個體名稱]。 選取 [儲存]。
您現在應該能夠從工作區存取受保護的儲存體帳戶。
