Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как предоставить разрешения управляемой идентичности в рабочей области Azure Synapse. Разрешения, в свою очередь, позволяют через портал Azure доступ к выделенным пулам SQL в рабочей области и аккаунту Azure Data Lake Storage Gen2.
Примечание.
Это управляемое удостоверение рабочей области будет называться управляемым удостоверением в остальной части этого документа.
Предоставление разрешений управляемого удостоверения учетной записи Data Lake Storage
Для создания рабочей области Azure Synapse требуется учетная запись Data Lake Storage 2-го поколения. Чтобы успешно запустить пулы Spark в рабочей области Azure Synapse, управляемому удостоверению Azure Synapse требуется роль участника для данных BLOB-объектов хранилища в этой учетной записи хранения. Оркестрация конвейеров в Azure Synapse также выигрывает от этой роли.
Предоставление разрешений управляемому удостоверению при создании рабочей области
Azure Synapse пытается предоставить роль участника данных блочных объектов хранилища управляемому удостоверению после создания рабочей области Azure Synapse с помощью портала Azure. Вы предоставляете сведения об учетной записи Data Lake Storage на вкладке "Основные сведения".
Выберите учетную запись Data Lake Storage 2-го поколения и файловую систему в имени учетной записи и имени файловой системы.
Если создатель рабочей области также является владельцем учетной записи Data Lake Storage, то в Azure Synapse управляемому удостоверению назначается роль Storage Blob Data Contributor. Появится указанное ниже сообщение.
Если создатель рабочей области не является владельцем учетной записи Data Lake Storage, Azure Synapse не назначает роль участника данных хранилища объектов BLOB управляемому удостоверению. Следующее сообщение уведомляет создателя рабочей области о том, что у них нет достаточных разрешений для предоставления роли участника данных BLOB-объектов хранилища управляемому удостоверению.
Невозможно создать пулы Spark, если вкладчик данных BLOB хранилища не назначен управляемой учетной записи.
Предоставление разрешений управляемой идентичности после создания рабочей области
При создании рабочей области, если роль Storage Blob Data contributor не назначена управляемому удостоверению, владелец учетной записи Data Lake Storage Gen2 вручную назначает эту роль удостоверению. Следующие шаги помогут вам выполнить назначение вручную.
Шаг 1. Переход к учетной записи Data Lake Storage 2-го поколения
В портал Azure откройте учетную запись хранения Data Lake Storage 2-го поколения и выберите контейнеры в области навигации слева. Вам нужно назначить роль участника данных хранилища Blob только на уровне контейнера или файловой системы.
Шаг 2. Выберите контейнер
Управляемое удостоверение должно иметь доступ к данным контейнера (файловой системы), который был предоставлен при создании рабочей области. Вы можете найти этот контейнер или файловую систему в портале Azure. Откройте рабочую область Azure Synapse в портал Azure и выберите вкладку "Обзор" в области навигации слева.
Выберите тот же контейнер или файловую систему, чтобы присвоить управляемому удостоверению роль участника данных блоб-объектов хранилища.
Шаг 3. Откройте раздел "Управление доступом" и добавьте назначение ролей
Выберите элемент управления доступом (IAM) в меню ресурсов.
Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу Добавление назначения ролей.
Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Настройка Значение Роль Участник данных хранилища BLOB-объектов Назначить доступ для Управляемая идентичность Участники имя управляемой идентичности Примечание.
Имя управляемого удостоверения совпадает с именем рабочей области.
Нажмите кнопку Сохранить, чтобы добавить назначение ролей.
Шаг 4. Убедитесь, что роль участника данных хранилища Blob назначена управляемому удостоверению.
Выберите контроль доступа (IAM) и выберите назначения ролей.
Управляемое удостоверение должно отображаться в разделе Участник для данных BLOB-объектов хранилища с назначенной ролью Участник для данных BLOB-объектов хранилища.
Альтернатива роли участника данных хранилища BLOB-объектов
Вместо назначения себе роли "Участник данных BLOB-объектов хранилища" можно разрешить более детализированный доступ к подмножеству файлов.
Всем пользователям, которым необходим доступ к некоторым данным в этом контейнере, также необходимо разрешение EXECUTE (ВЫПОЛНЕНИЕ) для всех родительских папок вплоть до корневой (контейнера).
Дополнительные сведения см. в Используйте обозреватель хранилища Azure для управления списками управления доступом в Azure Data Lake Storage.
Примечание.
Разрешение на выполнение на уровне контейнера необходимо задать в Хранилище данных Lake второго поколения (Data Lake Storage Gen2). Разрешения для папки можно задать в Azure Synapse.
Если вы хотите запросить data2.csv в этом примере, необходимы следующие разрешения:
- разрешение на исполнение в контейнере
- разрешение на выполнение для папки1
- разрешение на чтение для файла data2.csv
Войдите в Azure Synapse с помощью учетной записи администратора, обладающей полными правами доступа к данным, к которым вы хотите получить доступ.
В области данных нажмите правой кнопкой мыши на файле и выберите Manage access (Управление доступом).
Выберите по крайней мере разрешение Read (Чтение). Введите UPN или идентификатор объекта пользователя, например
[email protected]. Выберите Добавить.Предоставьте разрешение на чтение этому пользователю.
Примечание.
Для гостевых пользователей это необходимо сделать непосредственно с помощью службы Azure Data Lake, так как напрямую через Azure Synapse это выполнить невозможно.