Dela via

Bevilja behörigheter till arbetsytans hanterade identitet

Den här artikeln lär dig hur du beviljar behörigheter till den hanterade identiteten på Azure Synapse-arbetsytan. Behörigheter ger i sin tur åtkomst till dedikerade SQL-pooler på arbetsytan och Azure Data Lake Storage Gen2-kontot via Azure Portal.

Note

Arbetsytans hanterade identitet hänvisas till som hanterad identitet i resten av det här dokumentet.

Ge den hanterade identiteten behörigheter för att komma åt Data Lake Storage-kontot

Ett Data Lake Storage Gen2-konto krävs för att skapa en Azure Synapse-arbetsyta. För att framgångsrikt starta Spark-pooler i Azure Synapse-arbetsytan behöver den hanterade Azure Synapse-identiteten rollen Storage Blob Data Contributor på det här lagringskontot. Pipelineorkestrering i Azure Synapse drar också nytta av den här rollen.

Bevilja behörigheter till hanterad identitet under skapandet av arbetsytan

Azure Synapse försöker tilldela rollen Storage Blob Data Contributor till den hanterade identiteten efter att du har skapat arbetsytan Azure Synapse med Azure-portalen. Du anger information om Data Lake Storage-kontot på fliken Grundläggande .

Skärmbild av fliken Grundläggande i arbetsflödet för att skapa arbetsytor.

Välj Data Lake Storage Gen2-kontot och filsystemet i Kontonamn och Filsystemnamn.

Skärmbild som visar information om Data Lake Storage Gen2-kontot.

Om arbetsytans skapare också är ägare till Data Lake Storage-kontot tilldelar Azure Synapse rollen Storage Blob Data Contributor till den hanterade identiteten. Följande meddelande visas.

Skärmbild av den lyckade tilldelningen av rollen som lagringsblobdatabidragsgivare.

Om arbetsytans skapare inte är ägare till Data Lake Storage-kontot, tilldelar inte Azure Synapse rollen Storage Blob Data-deltagare till den hanterade identiteten. Följande meddelande informerar arbetsytans skapare att de inte har tillräcklig behörighet för att bevilja rollen Storage Blob Data Contributor till den hanterade identiteten.

Skärmbild av en misslyckad tilldelning av lagringsblobdatadeltagare med felrutan markerad.

Du kan inte skapa Spark-pooler om inte Storage Blob Data-deltagaren har tilldelats den hanterade identiteten.

Bevilja behörigheter till hanterad identitet efter att arbetsytan har skapats

Om du inte tilldelar den hanterade identiteten rollen Storage Blob Data-bidragsgivare vid skapandet av arbetsytan, tilldelar ägaren av Data Lake Storage Gen2-kontot manuellt identiteten den rollen. Följande steg hjälper dig att utföra manuell tilldelning.

Steg 1: Navigera till Data Lake Storage Gen2-kontot

I Azure Portal öppnar du Data Lake Storage Gen2-lagringskontot och väljer Containrar i det vänstra navigeringsfältet. Du behöver bara tilldela rollen Storage Blob Data Contributor på container- eller filsystemnivå.

Skärmbild av Azure Portal av Översikt över Data Lake Storage Gen2-kontot.

Steg 2: Välj containern

Den hanterade identiteten ska ha dataåtkomst till containern (filsystemet) som angavs när arbetsytan skapades. Du hittar containern eller filsystemet i Azure Portal. Öppna Azure Synapse-arbetsytan i Azure Portal och välj fliken Översikt i det vänstra navigeringsfältet.

Skärmbild av Azure Portal som visar namnet på Data Lake Storage Gen2-filen

Välj samma container eller filsystem för att bevilja rollen Storage Blob Data Contributor till den hanterade identiteten.

Skärmbild som visar den container eller filsystem som du bör välja.

Steg 3: Öppna åtkomstkontroll och lägg till rolltilldelning

  1. Välj Åtkomstkontroll (IAM) på resursmenyn.

  2. Välj Lägg till>rolltilldelning för att öppna sidan Lägg till rolltilldelning.

  3. Tilldela följande roll. Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

    Inställning Värde
    Role Storage Blob Data-bidragsgivare
    Tilldela åtkomst till MANAGEDIDENTITY
    Medlemmar hanterat identitetsnamn

    Note

    Namnet på den hanterade identiteten är också namnet på arbetsytan.

    Skärmbild av sidan lägg till rolltilldelning i Azure-portalen.

  4. Välj Spara för att lägga till rolltilldelningen.

Steg 4: Kontrollera att rollen Storage Blob Data Contributor har tilldelats den hanterade identiteten

Välj Åtkomstkontroll (IAM) och välj sedan Rolltilldelningar.

Skärmbild av knappen Rolltilldelningar i Azure Portal som används för att verifiera rolltilldelning.

Du bör se din hanterade identitet listad under avsnittet Storage Blob Data Contributor med rollen Storage Blob Data Contributor tilldelad till den.

Skärmbild av Azure Portal med val av Data Lake Storage Gen2-kontocontainer.

Alternativ till Storage Blob Data Contributor-rollen

I stället för att ge dig själv rollen Storage Blob Data Contributor kan du även ge mer detaljerade behörigheter för en delmängd filer.

Alla användare som behöver åtkomst till vissa data i den här containern måste också ha behörigheten EXECUTE på alla överordnade mappar upp till roten (containern).

Mer information finns i Använda Azure Storage Explorer för att hantera ACL:er i Azure Data Lake Storage.

Note

Körbehörighet på containernivå måste anges i Data Lake Storage Gen2. Behörigheter för mappen kan anges i Azure Synapse.

Om du vill fråga data2.csv i det här exemplet krävs följande behörigheter:

  • Utför rättighet på container
  • Exekveringsbehörighet för mapp1
  • Läsbehörighet för data2.csv

Diagram som visar behörighetsstrukturen i en data lake.

  1. Logga in på Azure Synapse med en administratörsanvändare som har fullständig behörighet för de data som du vill komma åt.

  2. Högerklicka på filen i datafönstret och välj Hantera åtkomst.

    Skärmbild som visar alternativet hantera åtkomst.

  3. Välj minst Läsbehörighet . Ange användarens UPN eller objekt-ID, till exempel user@contoso.com. Markera Lägga till.

  4. Bevilja läsbehörighet för den här användaren.

    Skärmbild som visar hur du beviljar läsbehörigheter.

Note

För gästanvändare måste det här steget göras direkt med Azure Data Lake eftersom det inte kan göras direkt via Azure Synapse.

Relaterat innehåll