Доступ к доверенной рабочей области

Fabric позволяет получить доступ к учетным записям Azure Data Lake Storage (ADLS) 2-го поколения с поддержкой брандмауэра. Рабочие области Fabric с удостоверением рабочей области могут безопасно получать доступ к учетным записям ADLS 2-го поколения с включенным доступом к общедоступной сети из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric.

Рабочие области Fabric, которые обращаются к учетной записи хранения с доверенным доступом к рабочей области, требуют надлежащей авторизации для запроса. Авторизация поддерживается с учетными данными Microsoft Entra для учетных записей организации или субъектов-служб. Дополнительные сведения о правилах экземпляра ресурсов см. в статье "Предоставление доступа из экземпляров ресурсов Azure".

Чтобы ограничить и защитить доступ к учетным записям хранения с поддержкой брандмауэра из определенных рабочих областей Fabric, можно настроить правило экземпляра ресурса, чтобы разрешить доступ из определенных рабочих областей Fabric.

Из этой статьи вы узнаете, как выполнять следующие задачи:

• Настройте доверенный доступ к рабочей области в учетной записи хранения ADLS 2-го поколения.

• Создайте ярлык OneLake в Fabric Lakehouse, который подключается к учетной записи хранения ADLS 2-го поколения с поддержкой доверенной рабочей области.

• Создайте конвейер данных для подключения непосредственно к учетной записи ADLS с поддержкой брандмауэра 2-го поколения, в которой включен доступ к доверенной рабочей области.

• Используйте инструкцию T-SQL COPY для приема данных в хранилище из учетной записи ADLS с поддержкой брандмауэра 2-го поколения, в которой включен доступ к доверенной рабочей области.

Настройка доступа к доверенной рабочей области в ADLS 2-го поколения

Правило экземпляра ресурса

Вы можете настроить определенные рабочие области Fabric для доступа к учетной записи хранения на основе удостоверения рабочей области. Правило экземпляра ресурса можно создать, развернув шаблон ARM с помощью правила экземпляра ресурса. Чтобы создать правило экземпляра ресурса, выполните приведенные действия.

1. Войдите в портал Azure и перейдите к пользовательскому развертыванию.

2. Выберите Создать собственный шаблон в редакторе. Пример шаблона ARM, создающего правило экземпляра ресурса, см . в примере шаблона ARM.

3. Создайте правило экземпляра ресурса в редакторе. По завершении нажмите кнопку "Рецензирование и создание".

4. На появившемся вкладке "Основные сведения" укажите необходимые сведения о проекте и экземпляре. По завершении нажмите кнопку "Рецензирование и создание".

5. На появившемся вкладке "Просмотр и создание " просмотрите сводку и нажмите кнопку "Создать". Правило будет отправлено для развертывания.

6. После завершения развертывания вы сможете перейти к ресурсу.

Ниже приведен пример правила экземпляра ресурса, которое можно создать с помощью шаблона ARM. Полный пример см . в примере шаблона ARM.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

Исключение доверенной службы

Если выбрать исключение доверенной службы для учетной записи ADLS 2-го поколения с включенным доступом к общедоступной сети из выбранных виртуальных сетей и IP-адресов, рабочие области Fabric с удостоверением рабочей области смогут получить доступ к учетной записи хранения. Если установлен флажок исключения доверенной службы, все рабочие области в емкостях Fabric клиента с удостоверением рабочей области могут получить доступ к данным, хранящимся в учетной записи хранения.

Эта конфигурация не рекомендуется, а поддержка может быть прекращена в будущем. Рекомендуется использовать правила экземпляра ресурсов для предоставления доступа к определенным ресурсам.

Кто может настроить учетные записи хранения для доступа к доверенным службам?

Участник учетной записи хранения (роль Azure RBAC) может настроить правила экземпляра ресурсов или исключение доверенной службы.

Использование доступа к доверенной рабочей области в Fabric

В настоящее время существует три способа безопасного доступа к данным из Fabric с помощью доверенной рабочей области:

• Вы можете создать ярлык ADLS в Fabric Lakehouse, чтобы начать анализ данных с помощью Spark, SQL и Power BI.

• Вы можете создать конвейер данных, который использует доверенный доступ к рабочей области для прямого доступа к учетной записи ADLS с поддержкой брандмауэра 2-го поколения.

• Вы можете использовать инструкцию копирования T-SQL, которая использует доверенный доступ к рабочей области для приема данных в хранилище Fabric.

В следующих разделах показано, как использовать эти методы.

Создание ярлыка OneLake для учетной записи хранения с доступом к доверенной рабочей области

Используя удостоверение рабочей области, настроенное в Fabric, и доступ к доверенной рабочей области, включенный в учетной записи хранения ADLS 2-го поколения, можно создать ярлыки OneLake для доступа к данным из Fabric. Вы только что создадите ярлык ADLS в Fabric Lakehouse, и вы можете начать анализ данных с помощью Spark, SQL и Power BI.

Необходимые компоненты

• Рабочая область Fabric, связанная с емкостью Fabric. См . удостоверение рабочей области.
• Создайте удостоверение рабочей области, связанное с рабочей областью Fabric.
• Учетная запись пользователя или субъект-служба, используемая для создания ярлыка, должна иметь роли Azure RBAC в учетной записи хранения. Субъект должен иметь роль "Участник данных BLOB-объектов хранилища", владелец данных BLOB-объектов хранилища или средство чтения данных BLOB-объектов хранилища в области учетной записи хранения или роль "Хранилище BLOB-объектов Delegator" в области учетной записи хранения в дополнение к роли чтения данных BLOB-объектов хранилища в области контейнера.
• Настройте правило экземпляра ресурса для учетной записи хранения.

Шаги

1. Начните с создания нового ярлыка в Lakehouse.

   

   Откроется мастер создания ярлыков .

2. В разделе "Внешние источники" выберите Azure Data Lake Storage 2-го поколения.

   

3. Укажите URL-адрес учетной записи хранения, настроенной с доступом к доверенной рабочей области, и выберите имя подключения. Для проверки подлинности выберите учетную запись организации или субъект-службу.

   

   По завершении нажмите Далее.

4. Укажите имя ярлыка и вложенный путь.

   

   Затем выберите Создать.

5. Создается ярлык Lakehouse, и вы сможете просмотреть данные хранилища в ярлыке.

   

Использование ярлыка OneLake для учетной записи хранения с доступом к доверенной рабочей области в элементах Fabric

С помощью OneCopy в Fabric вы можете получить доступ к ярлыкам OneLake с доверенным доступом из всех рабочих нагрузок Fabric.

• Spark: Вы можете использовать Spark для доступа к данным из сочетаний клавиш OneLake. Если сочетания клавиш используются в Spark, они отображаются как папки в OneLake. Чтобы получить доступ к данным, вам просто нужно ссылаться на имя папки. Ярлык OneLake можно использовать для учетных записей хранения с доверенным доступом к рабочей области в записных книжках Spark.

• Конечная точка аналитики SQL: ярлыки, созданные в разделе "Таблицы" озера, также доступны в конечной точке аналитики SQL. Вы можете открыть конечную точку аналитики SQL и запросить данные так же, как и любую другую таблицу.

• Конвейеры. Конвейеры данных могут получить доступ к управляемым сочетаниям клавиш к учетным записям хранения с доступом к доверенной рабочей области. Конвейеры данных можно использовать для чтения или записи в учетные записи хранения с помощью сочетаний клавиш OneLake.

• Потоки данных версии 2. Потоки данных 2-го поколения можно использовать для доступа к управляемым ярлыкам к учетным записям хранения с доверенным доступом к рабочей области. Потоки данных 2-го поколения могут считывать или записывать данные в учетные записи хранения с помощью сочетаний клавиш OneLake.

• Семантические модели и отчеты. Семантическая модель по умолчанию, связанная с конечной точкой аналитики SQL в Lakehouse, может читать управляемые ярлыки для учетных записей хранения с доверенным доступом к рабочей области. Чтобы просмотреть управляемые таблицы в семантической модели по умолчанию, перейдите к элементу конечной точки аналитики SQL, выберите "Отчеты" и выберите "Автоматически обновить семантику модели".

  Кроме того, можно создать новые семантические модели, ссылающиеся на сочетания клавиш таблицы с учетными записями хранения с доступом к доверенной рабочей области. Перейдите в конечную точку аналитики SQL, выберите "Отчеты" и выберите "Создать семантику".

  Вы можете создавать отчеты на основе семантических моделей по умолчанию и пользовательских семантических моделей.

• База данных KQL. Вы также можете создать ярлыки OneLake в ADLS 2-го поколения в базе данных KQL. Действия по созданию управляемого ярлыка с доступом к доверенной рабочей области остаются неизменными.

Создание конвейера данных в учетную запись хранения с доверенным доступом к рабочей области

С помощью удостоверения рабочей области, настроенного в Fabric и доверенном доступе в учетной записи хранения ADLS 2-го поколения, можно создать конвейеры данных для доступа к данным из Fabric. Вы можете создать новый конвейер данных для копирования данных в Lakehouse Fabric, а затем начать анализ данных с помощью Spark, SQL и Power BI.

Необходимые компоненты

• Рабочая область Fabric, связанная с емкостью Fabric. См . удостоверение рабочей области.
• Создайте удостоверение рабочей области, связанное с рабочей областью Fabric.
• Учетная запись пользователя или субъект-служба, используемая для создания подключения, должна иметь роли Azure RBAC в учетной записи хранения. Субъект должен иметь роль участника данных BLOB-объектов хранилища, владельца данных BLOB-объектов хранилища или средства чтения данных BLOB-объектов хранилища в области учетной записи хранения.
• Настройте правило экземпляра ресурса для учетной записи хранения.

Шаги

1. Начните с выбора получения данных в озерном доме.

2. Выберите новый конвейер данных. Укажите имя конвейера и нажмите кнопку "Создать".

   

3. Выберите Azure Data Lake 2-го поколения в качестве источника данных.

   

4. Укажите URL-адрес учетной записи хранения, настроенной с доступом к доверенной рабочей области, и выберите имя подключения. Для проверки подлинности выберите учетную запись организации или субъект-службу.

   

   По завершении нажмите Далее.

5. Выберите файл, который необходимо скопировать в lakehouse.

   

   По завершении нажмите Далее.

6. На экране "Просмотр и сохранение" нажмите кнопку "Начать передачу данных" немедленно. По завершении нажмите кнопку "Сохранить и запустить".

   

7. Когда состояние конвейера изменится с queued на Succeeded, перейдите в lakehouse и убедитесь, что таблицы данных были созданы.

Использование инструкции T-SQL COPY для приема данных в хранилище

С помощью удостоверения рабочей области, настроенного в Fabric и доверенном доступе в учетной записи хранения ADLS 2-го поколения, можно использовать инструкцию COPY T-SQL для приема данных в хранилище Fabric. После приема данных в хранилище можно начать анализ данных с помощью SQL и Power BI.

Ограничения и рекомендации

• Доступ к доверенной рабочей области поддерживается для рабочих областей в любой емкости SKU Fabric F.
• Доступ к доверенной рабочей области можно использовать только в сочетаниях клавиш OneLake, конвейерах данных и инструкции T-SQL COPY. Сведения о безопасном доступе к учетным записям хранения из Fabric Spark см. в статье "Управляемые частные конечные точки для Fabric".
• Если рабочая область с удостоверением рабочей области переносится в емкость, не связанную с Fabric, или в емкость SKU Fabric, доступ к доверенной рабочей области перестанет работать через час.
• Существующие ярлыки, созданные до 10 октября 2023 г., не поддерживают доступ к доверенной рабочей области.
• Подключения для доступа к доверенной рабочей области не могут быть созданы или изменены в разделе "Управление подключениями и шлюзами".
• Подключения к учетным записям хранения с поддержкой брандмауэра будут иметь состояние "Автономный " в разделе "Управление подключениями и шлюзами".
• Если вы повторно используете подключения, поддерживающие доступ к доверенной рабочей области в элементах Fabric, отличных от сочетаний клавиш и конвейеров, или в других рабочих областях, они могут не работать.
• Для проверки подлинности учетных записей хранения для доступа к доверенной рабочей области необходимо использовать только учетную запись организации или субъект-службу .
• Конвейеры не могут записывать ярлыки таблиц OneLake в учетных записях хранения с доверенным доступом к рабочей области. Это временное ограничение.
• Можно настроить не более 200 правил экземпляра ресурсов. Дополнительные сведения см. в разделе об ограничениях и квотах подписки Azure — Azure Resource Manager.
• Доступ к доверенной рабочей области работает только в том случае, если общедоступный доступ включен из выбранных виртуальных сетей и IP-адресов.
• Правила экземпляра ресурсов для рабочих областей Fabric должны создаваться с помощью шаблонов ARM. Правила экземпляра ресурсов, созданные с помощью пользовательского интерфейса портал Azure, не поддерживаются.
• Предварительно существующие сочетания клавиш в рабочей области, которая соответствует предварительным требованиям, автоматически начнет поддерживать доверенный доступ к службе.
• Если в вашей организации есть политика условного доступа Entra для удостоверений рабочей нагрузки, включающая все субъекты-службы, доступ к доверенной рабочей области не будет работать. В таких случаях необходимо исключить определенные удостоверения рабочей области Fabric из политики условного доступа для удостоверений рабочей нагрузки.

Устранение неполадок с доступом к доверенной рабочей области

Если ярлык в lakehouse, предназначенный для учетной записи хранения ADLS 2-го поколения, становится недоступным, это может быть связано с тем, что lakehouse был предоставлен пользователю, у которого нет администратора, члена или участника роли в рабочей области, в которой находится lakehouse. Это известная проблема. Исправление заключается в том, чтобы не предоставлять доступ к lakehouse пользователям, у которых нет роли администратора, члена или участника в рабочей области.

Пример шаблона ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Связанный контент

• Удостоверение рабочей области
• Предоставление доступа из экземпляров ресурсов Azure
• Доверенный доступ на основе управляемого удостоверения