Dela via

Åtkomst till betrodd arbetsyta

Med Fabric kan du komma åt brandväggsaktiverade Azure Data Lake Storage-konton (ADLS) Gen2 på ett säkert sätt. Infrastrukturarbetsytor som har en arbetsyteidentitet kan på ett säkert sätt komma åt ADLS Gen2-konton med antingen offentlig nätverksåtkomst aktiverad från valda virtuella nätverk och IP-adresser eller med åtkomst till offentligt nätverk inaktiverad. Du kan begränsa ADLS Gen2-åtkomsten till specifika Fabric-arbetsytor.

Fabric-arbetsytor som har åtkomst till ett lagringskonto via betrodda arbetsytor behöver korrekt auktorisering för begäran. Auktorisering stöds med Microsoft Entra-autentiseringsuppgifter för organisationskonton eller tjänstens huvudnamn. Mer information om regler för resursinstanser finns i Bevilja åtkomst från Azure-resursinstanser.

Om du vill begränsa och skydda åtkomsten till brandväggsaktiverade lagringskonton från vissa Infrastruktur-arbetsytor kan du konfigurera resursinstansregler för att tillåta åtkomst från specifika infrastrukturarbetsytor.

Note

Åtkomst till betrodda arbetsytor är allmänt tillgänglig, men kan endast användas i F SKU-kapaciteter. Information om hur du köper en Fabric-prenumeration finns i Köpa en Microsoft Fabric-prenumeration. Åtkomst till betrodda arbetsytor stöds inte i utvärderingskapacitet.

Den här artikeln visar hur du gör följande:

  • Konfigurera åtkomst till betrodda arbetsytor i ett ADLS Gen2-lagringskonto.

  • Skapa en OneLake-genväg i ett Fabric Lakehouse som ansluter till ett ADLS Gen2-lagringskonto med åtkomst till betrodda arbetsytor.

  • Skapa en pipeline för att ansluta direkt till ett brandväggsaktiverat ADLS Gen2-konto som har åtkomst till betrodd arbetsyta aktiverad.

  • Använd T-SQL COPY-instruktionen för att mata in data i ditt lager från ett brandväggsaktiverat ADLS Gen2-konto som har betrodd åtkomst till arbetsytan aktiverat.

  • Skapa en semantisk modell i importläge för att ansluta till ett brandväggsaktiverat ADLS Gen2-konto som har åtkomst till betrodd arbetsyta aktiverad.

  • Läs in data med AzCopy från ett brandväggsaktiverat Azure Storage-konto till OneLake.

Konfigurera åtkomst till betrodd arbetsyta i ADLS Gen2

Prerequisites

  • En Fabric-arbetsyta associerad med en Fabric-kapacitet.
  • Skapa en arbetsyteidentitet som är associerad med arbetsytan Fabric. Se Arbetsyteidentitet. Kontrollera att arbetsytans identitet har deltagaråtkomst till arbetsytan genom att gå till Hantera åtkomst (bredvid Inställningar för arbetsyta) och lägga till arbetsytans identitet i listan som deltagare.
  • Det huvudkonto som används för autentisering i genvägen bör ha Azure RBAC-roller på lagringskontot. Huvudkontot måste ha rollen Storage Blob Data Contributor, Storage Blob Data Owner eller Storage Blob Data Reader i lagringskontots omfång eller en Storage Blob Delegator-roll i lagringskontots omfång tillsammans med åtkomst på mappnivå i containern. Åtkomst på mappnivå kan ges via en RBAC-roll på containernivå eller via specifik åtkomst på mappnivå.
  • Konfigurera en resursinstansregel för lagringskontot.

Resursinstansregel genom ARM-mall

Du kan konfigurera specifika Fabric-arbetsytor för att få åtkomst till ditt lagringskonto baserat på arbetsytornas identitet. Du kan skapa en resursinstansregel genom att distribuera en ARM-mall med en resursinstansregel. Så här skapar du en resursinstansregel:

  1. Logga in på Azure Portal och gå till Anpassad distribution.

  2. Välj Skapa en egen mall i redigeraren. En ARM-exempelmall som skapar en resursinstansregel finns i ARM-mallexemplet.

  3. Skapa resursinstansregeln i redigeraren. När du är klar väljer du Granska + Skapa.

  4. På fliken Grundinställningar som visas anger du nödvändig projekt- och instansinformation. När du är klar väljer du Granska + Skapa.

  5. På fliken Granska + skapa som visas granskar du sammanfattningen och väljer sedan Skapa. Regeln har skickats för driftsättning.

  6. När distributionen är klar kan du gå till resursen.

Note

  • Regler för resursinstanser i Fabric-arbetsytor kan bara skapas med hjälp av ARM-mallar eller PowerShell. Det går inte att skapa via Azure Portal.
  • subscriptionId "00000000-0000-0000-0000-000000000000" måste användas för resurs-ID för Fabric-arbetsytan.
  • Du kan hämta arbetsyte-ID:t för en Fabric-arbetsyta via adressfältets webbadress.

Skärmbild som visar den konfigurerade resursinstansregeln.

Här är ett exempel på en resursinstansregel som kan skapas via ARM-mall. Ett fullständigt exempel finns i ARM-mallexemplet.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Resursinstansregel via PowerShell-skript

Du kan skapa en resursinstansregel via PowerShell med hjälp av följande skript.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Undantag för betrodd tjänst

Om du väljer det betrodda tjänstundantaget för ett ADLS Gen2-konto som har offentlig nätverksåtkomst aktiverad från valda virtuella nätverk och IP-adresser kan infrastrukturarbetsytor med en arbetsyteidentitet komma åt lagringskontot. När kryssrutan för undantag av betrodda tjänster är markerad kan alla arbetsytor i din hyresgästs Fabric-kapaciteter med en arbetsyteidentitet få åtkomst till data som lagras i lagringskontot.

Den här konfigurationen rekommenderas inte och supporten kan komma att avbrytas i framtiden. Vi rekommenderar att du använder resursinstansregler för att bevilja åtkomst till specifika resurser.

Vem kan konfigurera lagringskonton för åtkomst till betrodda tjänster?

En deltagare på lagringskontot (en Azure RBAC-roll) kan konfigurera resursinstansregler eller undantag för betrodda tjänster.

Så här använder du betrodd arbetsyteåtkomst i Fabric

Det finns flera sätt att använda åtkomst till betrodda arbetsytor för att få åtkomst till dina data från Infrastruktur på ett säkert sätt:

  • Du kan skapa en ny ADLS-genväg i en Fabric Lakehouse för att börja analysera dina data med Spark, SQL och Power BI.

  • Du kan skapa en pipeline som använder åtkomst till betrodda arbetsytor för direkt åtkomst till ett brandväggsaktiverat ADLS Gen2-konto.

  • Du kan använda en T-SQL Copy-instruktion som utnyttjar åtkomsten till betrodda arbetsytor för att mata in data i ett infrastrukturlager.

  • Du kan använda en semantisk modell (importläge) för att utnyttja åtkomst till betrodda arbetsytor och skapa modeller och rapporter på data.

  • Du kan använda AzCopy för att utföraant inläsning av data från ett brandväggsaktiverat Azure Storage-konto till OneLake.

I följande avsnitt visas hur du använder dessa metoder.

Skapa en OneLake-genväg till lagringskontot med åtkomst till betrodd arbetsyta

Med arbetsytans identitet konfigurerad i Fabric och betrodd arbetsyteåtkomst aktiverad i ditt ADLS Gen2-lagringskonto kan du skapa OneLake-genvägar för att komma åt dina data från Fabric. Du skapar bara en ny ADLS-genväg i en Fabric Lakehouse och du kan börja analysera dina data med Spark, SQL och Power BI.

Note

  • Befintliga genvägar på en arbetsyta som uppfyller kraven börjar automatiskt att stödja åtkomst till betrodda tjänster.
  • Du måste använda DFS-URL-ID:t för lagringskontot. Här är ett exempel: https://StorageAccountName.dfs.core.windows.net
  • Tjänsteobjekt kan också skapa genvägar till lagringskonton med betrodd åtkomst.

Steps

  1. Börja med att skapa en ny genväg i ett Lakehouse.

    Skärmbild av skapa nytt snabbmenyalternativ.

    Guiden Ny genväg öppnas.

  2. Under Externa källor väljer du Azure Data Lake Storage Gen2.

    Skärmbild som visar hur du väljer Azure Data Lake Storage Gen2 som extern källa.

  3. Ange URL:en för lagringskontot som har konfigurerats med åtkomst till betrodd arbetsyta och välj ett namn för anslutningen. Som Autentiseringstyp väljer du Organisationskonto eller Tjänstens huvudnamn.

    Skärmbild som visar URL-specifikationen i genvägsguiden.

    När du är klar väljer du Nästa.

  4. Ange genvägsnamnet och sökvägen.

    Skärmbild som visar undervägsdefinition i genvägsguiden.

    Välj Skapa när du är klar.

  5. Genvägen till lakehouse skapas och du bör kunna förhandsgranska lagringsdata i genvägen.

    Skärmbild som visar förhandsversion av lagringsdata via lakehouse-genväg.

Använd OneLake-genvägen till ett lagringskonto med betrodd arbetsytsåtkomst i Fabric-objekt

Med OneCopy i Fabric kan du komma åt dina OneLake-genvägar med betrodd åtkomst från alla Fabric-arbetsbelastningar.

  • Spark: Du kan använda Spark för att komma åt data från dina OneLake-genvägar. När genvägar används i Spark visas de som mappar i OneLake. Du behöver bara referera till mappnamnet för att få åtkomst till data. Du kan använda OneLake-genvägen till lagringskonton med betrodd arbetsyta-åtkomst i Spark-notebookar.

  • SQL-analysslutpunkt: Genvägar som skapas i avsnittet Tabeller i lakehouse är också tillgängliga i SQL-analysslutpunkten. Du kan öppna SQL-analysslutpunkten och köra frågor mot dina data precis som andra tabeller.

  • Pipelines: Pipelines kan komma åt hanterade genvägar till lagringskonton med åtkomst till betrodda arbetsytor. Pipelines kan användas för att läsa från eller skriva till lagringskonton via genvägar i OneLake.

  • Dataflöden v2: Dataflöden Gen2 kan användas för att komma åt hanterade genvägar till lagringskonton med åtkomst till betrodda arbetsytor. Dataflöden Gen2 kan läsa från eller skriva till lagringskonton via OneLake-genvägar.

  • Semantiska modeller och rapporter: Standardsemantikmodellen som är associerad med SQL-analysslutpunkten för en Lakehouse kan läsa hanterade genvägar till lagringskonton med åtkomst till betrodda arbetsytor. Om du vill se de hanterade tabellerna i standardsemantikmodellen går du till SQL Analytics-slutpunktsobjektet, väljer Rapportering och väljer Uppdatera semantisk modell automatiskt.

    Du kan också skapa nya semantiska modeller som refererar till tabellgenvägar till lagringskonton med åtkomst till betrodda arbetsytor. Gå till SQL-analysslutpunkten, välj Rapportering och välj Ny semantisk modell.

    Du kan skapa rapporter ovanpå standard semantiska modeller och anpassade semantiska modeller.

  • KQL-databas: Du kan också skapa OneLake-genvägar till ADLS Gen2 i en KQL-databas. Stegen för att skapa den hanterade genvägen med åtkomst till betrodda arbetsytor förblir desamma.

Skapa en pipeline till ett lagringskonto med åtkomst till betrodd arbetsyta

Med arbetsytans identitet konfigurerad i Fabric och betrodd åtkomst aktiverad i ditt ADLS Gen2-lagringskonto kan du skapa pipelines för att komma åt dina datalagringar från Fabric. Du kan skapa en ny pipeline för att kopiera data till en Fabric Lakehouse och sedan börja analysera dina data med Spark, SQL och Power BI.

Prerequisites

  • En Fabric-arbetsyta associerad med en Fabric-kapacitet. Se Arbetsyteidentitet.
  • Skapa en arbetsyteidentitet som är associerad med arbetsytan Fabric.
  • Den principal som används för autentisering i pipelinen ska ha Azure RBAC-roller på lagringskontot. Den huvudansvarige måste ha rollen Storage Blob Data Contributor, Storage Blob Data ägare eller Storage Blob Data Reader på lagringskontots nivå.
  • Konfigurera en resursinstansregel för lagringskontot.

Steps

  1. Börja med att välja Hämta data i ett sjöhus.

  2. Välj Ny pipeline. Ange ett namn för pipelinen och välj sedan Skapa.

    Skärmbild som visar dialogrutan Ny pipeline.

  3. Välj Azure Data Lake Gen2 som datakälla.

    Skärmbild som visar val av ADLS Gen2.

  4. Ange URL:en för lagringskontot som har konfigurerats med åtkomst till betrodd arbetsyta och välj ett namn för anslutningen. För Typ av autentisering väljer du Organisationskonto eller Tjänstens huvudnamn.

    Skärmbild som visar anslutningsinställningar för datakällan.

    När du är klar väljer du Nästa.

  5. Välj den fil som du behöver kopiera till lakehouse.

    Skärmbild som visar filval.

    När du är klar väljer du Nästa.

  6. På skärmen Granska + spara väljer du Starta dataöverföring omedelbart. När du är klar väljer du Spara + Kör.

    Skärmbild som visar skärmen för granskning och sparande.

  7. När pipelinestatusen ändras från Köad till Lyckades går du till lakehouse och kontrollerar att datatabellerna har skapats.

Använda T-SQL COPY-instruktionen för att mata in data i ett lager

Med arbetsytans identitet konfigurerad i Fabric och betrodd åtkomst aktiverad i ditt ADLS Gen2-lagringskonto kan du använda T-SQL-instruktionen COPY för att mata in data i ditt Fabric-datalager. När data matas in i lagret kan du börja analysera dina data med SQL och Power BI. Användare med administratörs-, medlems-, deltagar-, visningsarbetsyteroller eller läsbehörigheter i informationslagret kan använda betrodd åtkomst tillsammans med T-SQL COPY-kommandot.

Skapa en semantisk modell med åtkomst till betrodd arbetsyta

Semantiska modeller i importläge stöder betrodda arbetsytors åtkomst till lagringskonton. Du kan använda den här funktionen för att skapa modeller och rapporter för data i brandväggsaktiverade ADLS Gen2-lagringskonton.

Prerequisites

  • En Fabric-arbetsyta associerad med en Fabric-kapacitet. Se Arbetsyteidentitet.
  • Skapa en arbetsyteidentitet som är associerad med arbetsytan Fabric.
  • En anslutning till ADLS Gen2-lagringskontot. Den huvudprincip som används för autentisering i anslutningen som är bunden till den semantiska modellen ska ha Azure RBAC-roller på lagringskontot. Den huvudansvarige måste ha rollen Storage Blob Data Contributor, Storage Blob Data ägare eller Storage Blob Data Reader på lagringskontots nivå.
  • Konfigurera en resursinstansregel för lagringskontot.

Steps

  1. Skapa den semantiska modellen i Power BI Desktop som ansluter till ADLS Gen2-lagringskontot med hjälp av stegen i Analysera data i Azure Data Lake Storage Gen2 med hjälp av Power BI. Du kan använda ett organisationskonto för att ansluta till Azure Data Lake Storage Gen2 i Desktop.
  2. Importera modellen till den arbetsyta som konfigurerats med identiteten för arbetsytan.
  3. Gå till modellinställningarna och expandera avsnittet Gateway- och molnanslutningar.
  4. Under molnanslutningar väljer du en dataanslutning för ADLS Gen2-lagringskontot (den här anslutningen kan ha arbetsyteidentitet, tjänstens huvudnamn och organisationskonto som autentiseringsmetod)
  5. Välj Använd och uppdatera sedan modellen för att slutföra konfigurationen.

Ladda data med hjälp av AzCopy och betrodd arbetsytaåtkomst

Med konfigurerad åtkomst till betrodd arbetsyta kan AzCopy-kopieringsjobb komma åt data som lagras i ett brandväggsaktiverat Azure Storage-konto, så att du kan läsa in data från Azure Storage till OneLake.

Prerequisites

  • En Fabric-arbetsyta associerad med en Fabric-kapacitet. Se Arbetsyteidentitet.
  • Installera AzCopy och logga in med det huvudnamn som används för autentisering. Se Kom igång med AzCopy.
  • Skapa en arbetsyteidentitet som är associerad med arbetsytan Fabric.
  • Det huvudkonto som används för autentisering i genvägen bör ha Azure RBAC-roller på lagringskontot. Huvudkontot måste ha rollen Storage Blob Data Contributor, Storage Blob Data Owner eller Storage Blob Data Reader i lagringskontots omfång eller en Storage Blob Delegator-roll i lagringskontots omfång tillsammans med åtkomst på mappnivå i containern. Åtkomst på mappnivå kan ges via en RBAC-roll på containernivå eller via specifik åtkomst på mappnivå.
  • Konfigurera en resursinstansregel för lagringskontot.

Steps

  1. Logga in på AzCopy med det huvudnamn som har åtkomst till Azure Storage-kontot och Fabric-objektet. Välj den prenumeration som innehåller ditt brandväggsaktiverade Azure Storage-konto.
azcopy login
  1. Skapa azcopy-kommandot. Du behöver kopieringskällan, målet och minst en parameter.
    • source-path: En fil eller katalog i ditt brandväggsaktiverade Azure Storage-konto.
    • destination-path: Landningszonen i OneLake för dina data. Till exempel mappen /Files i ett sjöhus.
    • --trusted-microsoft-suffixes: Måste innehålla "fabric.microsoft.com".
azcopy copy "https://<source-account-name>.blob.core.windows.net/<source-container>/<source-path>" "https://onelake.dfs.fabric.microsoft.com/<destination-workspace>/<destination-path>" --trusted-microsoft-suffixes "fabric.microsoft.com"
  1. Kör kopieringskommandot. AzCopy använder den identitet som du loggade in med för att få åtkomst till både OneLake och Azure Storage. Kopieringsåtgärden är synkron, så när kommandot returnerar kopieras alla filer. Mer information om hur du använder AzCopy med OneLake finns i AzCopy.

Begränsningar och överväganden

Scenarier och begränsningar som stöds

  • Åtkomst till betrodda arbetsytor stöds för arbetsytor i alla Fabric F SKU-kapaciteter.
  • Du kan bara använda betrodd arbetsyteåtkomst i OneLake-genvägar, pipelines, semantiska modeller, T-SQL COPY-instruktionen och AzCopy. För att få säker åtkomst till lagringskonton från Fabric Spark, se Hanterade privata slutpunkter för Fabric.
  • Pipelines kan inte skriva till OneLake-tabellgenvägar på lagringskonton med åtkomst till betrodda arbetsytor. Det här är en tillfällig begränsning.
  • Om du återanvänder anslutningar som stöder åtkomst till betrodda arbetsytor i andra Fabric-objekt än genvägar, pipelines och semantiska modeller, eller i andra arbetsytor, kanske de inte fungerar.
  • Åtkomst till betrodda arbetsytor är inte kompatibel med förfrågningar mellan hyresgäster.

Autentiseringsmetoder och anslutningshantering

  • Anslutningar för åtkomst till betrodda arbetsytor kan skapas i Hantera anslutningar och gatewayer. Arbetsytans identitet är dock den enda autentiseringsmetod som stöds. Testanslutningen misslyckas om autentiseringsmetoderna för organisationskontot eller tjänstens huvudnamn används.
  • Endast autentiseringsmetoder för organisationskonto, tjänstens huvudnamn och arbetsyteidentitet kan användas för autentisering till lagringskonton för åtkomst till betrodda arbetsytor i genvägar, pipelines och genvägar.
  • Om du vill använda tjänsthuvudnamn eller organisationskonton som autentiseringsmetod i anslutningar till ett brandväggsaktiverat lagringskonto kan du använda genvägsfunktioner för att skapa anslutningen, pipeline-skapande upplevelser eller Power BI-snabbrapporter. Senare kan du binda den här anslutningen till semantiska modeller och andra genvägar och pipelines.
  • Om en semantisk modell använder personliga molnanslutningar kan du bara använda arbetsyteidentitet som autentiseringsmetod för betrodd åtkomst till lagring. Vi rekommenderar att du ersätter personliga molnanslutningar med delade molnanslutningar.
  • Anslutningar till brandväggsaktiverade lagringskonton har statusen Offline i Hantera anslutningar och gatewayer.

Migrering och befintliga genvägar

  • Om en arbetsyta med en arbetsyteidentitet migreras till en icke-Fabric-kapacitet, eller till en icke-F SKU Fabric-kapacitet, kommer betrodd arbetsyteåtkomst att sluta fungera efter en timme.
  • Befintliga genvägar som skapades före den 10 oktober 2023 stöder inte åtkomst till betrodda arbetsytor.
  • Befintliga genvägar på en arbetsyta som uppfyller kraven börjar automatiskt att stödja åtkomst till betrodda tjänster.

Säkerhets-, nätverks- och resurskonfiguration

  • Åtkomst till betrodda arbetsytor fungerar bara när offentlig åtkomst är aktiverad från valda virtuella nätverk och IP-adresser eller när offentlig åtkomst är inaktiverad.
  • Resursinstansregler för Fabricarbetsytor måste skapas via ARM-mallar. Resursinstansregler som skapats via Azure Portal användargränssnitt stöds inte.
  • Högst 200 resursinstansregler kan konfigureras. Mer information finns i Begränsningar och kvoter för Azure-prenumerationer – Azure Resource Manager.
  • Om din organisation har en Microsoft Entra-princip för villkorsstyrd åtkomst för arbetsbelastningsidentiteter som omfattar alla tjänstehuvudprinciper, fungerar inte åtkomst till betrodda arbetsytor. I sådana fall måste du exkludera specifika Fabric-arbetsyteidentiteter från den villkorsstyrda åtkomstprincipen för arbetsbelastningsidentiteter.

EXEMPEL på ARM-mall

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Relaterat innehåll