Připojení Azure Data Lake Gen2 v Azure dosah

  • Článek
  • 8 min ke čtení

tento článek popisuje proces registrace zdroje dat Azure Data Lake Storage Gen2 v Azure dosah, včetně pokynů pro ověřování a interakci se zdrojem Azure Data Lake Storage Gen2.

Podporované funkce

Extrakce metadat Úplná kontrola Přírůstková kontrola Vymezené prohledávání Classification Zásady přístupu Lineage
Ano Ano Ano Ano Ano Ano Omezené * *

** Pokud se datová sada používá jako zdroj nebo jímka v aktivitě kopírování Data Factory , je podporován znak *.

Požadavky

Registrovat

Tato část vám umožní zaregistrovat ADLS Gen2 zdroj dat a nastavit vhodný ověřovací mechanismus pro zajištění úspěšného prohledávání zdroje dat.

Kroky k registraci

Před nastavením kontroly pro zdroj dat je důležité zaregistrovat zdroj dat ve službě Azure dosah.

  1. Přejděte na Azure Portala přejděte na stránku účty dosah a vyberte svůj účet dosah .

    Snímek obrazovky zobrazující účet dosah použitý k registraci zdroje dat

  2. Otevřete dosah Studio a přejděte na mapování dat – > zdroje .

    Snímek obrazovky zobrazující odkaz pro otevření dosah studia

    Snímek obrazovky, který přejde na odkaz zdroje v mapě dat

  3. Vytvořte hierarchii kolekcí pomocí nabídky kolekce a přiřaďte jim oprávnění k jednotlivým podkolekcím, jak je potřeba.

    Snímek obrazovky, který zobrazuje nabídku kolekce pro vytvoření hierarchie kolekce

  4. Přejděte do příslušné kolekce v nabídce zdroje a vyberte ikonu registru pro registraci nového zdroje dat adls Gen2.

    Snímek obrazovky zobrazující kolekci použitou k registraci zdroje dat

  5. vyberte zdroj dat Azure Data Lake Storage Gen2 a vyberte pokračovat .

    Snímek obrazovky, který umožňuje výběr zdroje dat

  6. Zadejte vhodný název pro zdroj dat, vyberte příslušné předplatné Azure, existující Data Lake Store název účtu a kolekci a pak vyberte použít .

    Snímek obrazovky zobrazující podrobnosti, které se mají zadat, aby se mohl zaregistrovat zdroj dat

  7. ADLS Gen2 účet úložiště se zobrazí ve vybrané kolekci.

    Snímek obrazovky zobrazující zdroj dat namapovaný na kolekci pro zahájení kontroly

Prohledávání

Předpoklady pro kontrolu

aby bylo možné mít přístup ke kontrole zdroje dat, je třeba nakonfigurovat metodu ověřování v účtu ADLS Gen2 Storage. Podporovány jsou následující možnosti:

Poznámka

Pokud máte pro účet úložiště povolenou bránu firewall, při nastavování kontroly musíte použít metodu spravovaného ověřování identity.

  • Spravovaná identita přiřazená systémem (doporučeno) – hned po vytvoření účtu Azure dosah se v TENANTOVI Azure AD automaticky vytvoří spravovaná identita přiřazená systémem (saami). V závislosti na typu prostředku se pro vyzkoušení spravované identity (saami) ve službě Azure dosah, která provádí kontroly, vyžadují konkrétní přiřazení rolí RBAC.

  • Uživatelem přiřazená identita (Preview) – podobně jako u identity spravované systémem, uživatelem přiřazená identita (UAMI) je prostředek přihlašovacích údajů, který se dá použít k tomu, aby Azure dosah mohl ověřovat proti Azure Active Directory. Další informace najdete v naší uživatelsky spravované příručce identity.

  • Klíč účtu – tajné kódy se dají vytvořit v rámci Azure Key Vault k ukládání přihlašovacích údajů, aby bylo možné povolit přístup pro Azure dosah, aby bylo možné bezpečně kontrolovat zdroje dat pomocí tajných kódů. tajný klíč může být klíč účtu úložiště, SQL přihlašovací heslo nebo heslo.

    Poznámka

    Pokud použijete tuto možnost, musíte ve svém předplatném nasadit prostředek trezoru klíčů Azure a pomocí požadovaných přístupových kódů k tajným klíčům v rámci Azure Key trezoru přiřadit tajné klíče ( dosah) účtu Azure .

  • instanční objekt – v této metodě můžete vytvořit nový nebo použít existující instanční objekt ve svém tenantovi Azure Active Directory.

Ověřování pro kontrolu

Použití spravované identity přiřazené systémem nebo uživatelem pro kontrolu

Je důležité udělit účtu dosah nebo uživatelem přiřazenou identitu (UAMI) oprávnění ke kontrole ADLS Gen2ho zdroje dat. V závislosti na tom, jaká oprávnění pro kontrolu úrovně potřebujete, můžete přidat spravovanou identitu přiřazenou systémem účtu dosah (která má stejný název jako účet dosah) nebo UAMI v předplatném, skupině prostředků nebo na úrovni prostředků.

Poznámka

Abyste mohli přidat spravovanou identitu do prostředku Azure, musíte být vlastníkem předplatného.

  1. v Azure Portalnajděte buď předplatné, skupinu prostředků, nebo prostředek (například účet úložiště Azure Data Lake Storage Gen2), který chcete v katalogu dovolit zkontrolovat.

    Snímek obrazovky zobrazující účet úložiště

  2. V levém navigačním panelu vyberte Access Control (IAM) a pak vyberte + Přidat --> Přidání přiřazení role .

    Snímek obrazovky zobrazující řízení přístupu pro účet úložiště

  3. nastavte roli na Storage čtečku dat objektů Blob a do pole vybrat vstupní zadejte název účtu Azure dosah nebo spravovanou identitu přiřazenou uživatelem . Pak vyberte Uložit a udělte tomuto přiřazení role vašemu účtu dosah.

    Snímek obrazovky zobrazující podrobnosti o přiřazení oprávnění pro účet dosah

Poznámka

Další podrobnosti najdete v tématu Postup autorizace přístupu k objektům blob a frontám pomocí Azure Active Directory

Poznámka

Pokud máte pro účet úložiště povolenou bránu firewall, při nastavování kontroly musíte použít metodu spravovaného ověřování identity .

  1. Přejít do účtu úložiště ADLS Gen2 v Azure Portal

  2. Přechod na zabezpečení + sítě > sítě

    Snímek obrazovky zobrazující podrobnosti o poskytnutí přístupu k bráně firewall

  3. Vyberte vybrané sítě v části Povolení přístupu z

    Snímek obrazovky zobrazující podrobnosti pro povolení přístupu k vybraným sítím

  4. v části výjimky vyberte možnost povolení důvěryhodného služby Microsoft pro přístup k tomuto účtu úložiště a stiskněte uložit .

    snímek obrazovky, který zobrazuje výjimky pro povolení důvěryhodného služby Microsoft pro přístup k účtu úložiště

Použití klíče účtu ke kontrole

Když je vybraná metoda ověřování klíč účtu, musíte získat přístupový klíč a uložit ho do trezoru klíčů:

  1. Přejděte k účtu úložiště ADLS Gen2.

  2. Vyberte zabezpečení + sítě > přístupové klíče .

    Snímek obrazovky zobrazující přístupové klíče v účtu úložiště

  3. Zkopírujte klíč a uložte ho samostatně pro další kroky.

    Snímek obrazovky zobrazující přístupové klávesy, které se mají zkopírovat

  4. Přejděte do trezoru klíčů.

    Snímek obrazovky, který zobrazuje Trezor klíčů

  5. vyberte Nastavení > tajné klíče a vyberte + vygenerovat/importovat snímek obrazovky, která zobrazí možnost trezoru klíčů pro vygenerování tajného klíče.

  6. Zadejte název a hodnotu klíče z vašeho účtu úložiště.

    Snímek obrazovky, který zobrazuje možnost trezoru klíčů pro zadání tajných hodnot

  7. Vyberte vytvořit a dokončete

    Snímek obrazovky, který zobrazuje možnost trezoru klíčů pro vytvoření tajného klíče

  8. Pokud váš Trezor klíčů ještě není připojený k dosah, bude potřeba vytvořit nové připojení trezoru klíčů .

  9. Nakonec vytvořte pomocí klíče nové přihlašovací údaje , abyste si nastavili kontrolu.

Použití instančního objektu pro skenování

Vytvoření nového instančního objektu

Pokud potřebujete vytvořit nový instanční objekt, je potřeba zaregistrovat aplikaci v TENANTOVI Azure AD a poskytnout přístup k instančnímu objektu ve svých zdrojích dat. Tuto operaci může provést váš globální správce Azure AD nebo jiné role, jako je například správce aplikace.

Získává se ID aplikace objektu služby.

  1. Kopírovat ID aplikace (klienta) existující v přehledu již vytvořeného objektu služby

    Snímek obrazovky zobrazující ID aplikace (klienta) pro instanční objekt

Udělení přístupu instančnímu objektu k vašemu ADLS Gen2 účtu

Je důležité dát instančnímu objektu oprávnění pro kontrolu ADLS Gen2ho zdroje dat. V závislosti na tom, jaká oprávnění pro kontrolu úrovně potřebujete, můžete přidat přístup k instančnímu objektu na úrovni předplatného, skupiny prostředků nebo prostředku.

Poznámka

Aby bylo možné přidat instanční objekt do prostředku Azure, musíte být vlastníkem předplatného.

  1. v Azure Portalnajděte buď předplatné, skupinu prostředků, nebo prostředek (například účet úložiště Azure Data Lake Storage Gen2), který chcete v katalogu dovolit zkontrolovat.

    Snímek obrazovky zobrazující účet úložiště

  2. V levém navigačním panelu vyberte Access Control (IAM) a pak vyberte + Přidat --> Přidání přiřazení role .

    Snímek obrazovky zobrazující řízení přístupu pro účet úložiště

  3. nastavte roli na Storage čtečku dat objektů Blob a do pole vybrat vstupní pole zadejte svůj instanční objekt . Pak vyberte Uložit a udělte tomuto přiřazení role vašemu účtu dosah.

    Snímek obrazovky zobrazující podrobnosti o poskytnutí oprávnění účtu úložiště k instančnímu objektu

Vytvoření kontroly

  1. Otevřete účet dosah a vyberte Open dosah Studio .

  2. Přejděte do zdrojů mapování dat --> , abyste zobrazili hierarchii kolekce.

  3. Vyberte ikonu nové kontroly v části adls Gen2 zdroj dat se zaregistrovali dříve.

    Snímek obrazovky, který zobrazuje obrazovku pro vytvoření nové kontroly

Pokud se používá spravovaná identita přiřazená systémem nebo uživatelem

  1. Zadejte název kontroly, v části pověření vyberte spravovanou identitu přiřazenou systémem nebo uživatelem přiřazenou identitu, zvolte příslušnou kolekci pro kontrolu a vyberte Test připojení. V případě úspěšného připojení vyberte pokračovat.

    Snímek obrazovky, který zobrazuje možnost spravované identity pro spuštění kontroly

Pokud se používá klíč účtu

  1. Zadejte název kontroly, zvolte příslušnou kolekci pro kontrolu a jako klíč účtu vyberte metodu ověřování .

    Snímek obrazovky zobrazující možnost klíče účtu pro kontrolu

Pokud používáte instanční objekt

  1. Zadejte název kontroly, vyberte příslušnou kolekci pro kontrolu a v části přihlašovací údaje vyberte + Nový .

    Snímek obrazovky, který ukazuje možnost, aby instanční objekt povolil kontrolu

  2. Vyberte příslušné připojení trezoru klíčů a název tajného klíče, který se použil při vytváření instančního objektu. ID objektu služby je ID aplikace (klienta) zkopírované dříve.

    Snímek obrazovky zobrazující možnost instančního objektu

  3. Vyberte Test připojení. Po úspěšném připojení vyberte pokračovat .

Nastavit obor a spustit kontrolu

  1. Můžete určit rozsah kontroly na konkrétní složky a podsložky tím, že vyberete příslušné položky v seznamu.

    Určení rozsahu kontroly

  2. Pak vyberte sadu pravidel skenování. Můžete si vybrat mezi výchozí systémovou a stávajícími vlastními sadami pravidel nebo vytvořit novou sadu pravidel, která je vložená.

    Sada pravidel skenování

  3. Pokud vytváříte novou sadu pravidel skenování, vyberte typy souborů , které se mají zahrnout do pravidla skenování.

    Typy souborů sady pravidel skenování

  4. Můžete vybrat pravidla klasifikace , která se mají zahrnout do pravidla skenování.

    Pravidla klasifikace sady pravidel skenování

    Výběr sady pravidel skenování

  5. Vyberte aktivační událost kontroly. Můžete nastavit plán nebo spustit kontrolu jednou.

    aktivační událost kontroly

  6. Zkontrolujte kontrolu a vyberte Uložit a spustit.

    zkontrolovat kontrolu

Zobrazení kontrol a spuštění kontroly

Pokud chcete zobrazit existující kontroly, proveďte následující:

  1. Přejděte do purview studia. Vyberte kartu Mapování dat v levém podokně.

  2. Vyberte požadovaný zdroj dat. V části Poslední kontroly se zobrazí seznam existujících kontrol v tomto zdroji dat nebo můžete zobrazit všechny kontroly na kartě Kontroly.

  3. Vyberte kontrolu s výsledky, které chcete zobrazit.

  4. Na této stránce se zobrazí všechna předchozí spuštění kontroly spolu se stavem a metrikami jednotlivých spuštění kontroly. Zobrazí se také to, jestli byla kontrola naplánovaná nebo ruční, kolik aktiv bylo použito klasifikace, kolik celkového počtu zjištěných prostředků bylo zjištěno, počáteční a koncový čas kontroly a celková doba trvání kontroly.

Správa kontrol – úprava, odstranění nebo zrušení

Kontrolu můžete spravovat nebo odstraňovat takto:

  1. Přejděte do purview studia. Vyberte kartu Mapování dat v levém podokně.

  2. Vyberte požadovaný zdroj dat. V části Poslední kontroly se zobrazí seznam existujících kontrol v tomto zdroji dat nebo můžete zobrazit všechny kontroly na kartě Kontroly.

  3. Vyberte kontrolu, kterou chcete spravovat. Kontrolu můžete upravit tak, že vyberete Upravit kontrolu.

  4. Probíhající kontrolu můžete zrušit výběrem možnosti Zrušit spuštění kontroly.

  5. Kontrolu můžete odstranit výběrem možnosti Odstranit kontrolu.

Poznámka

  • Odstraněním kontroly se neodstraní prostředky katalogu vytvořené z předchozích kontrol.
  • Pokud se zdrojová tabulka změnila a po úpravě popisu na kartě schématu v Purview znovu prohledáte zdrojovou tabulku, prostředek se už nebude aktualizovat se změnami schématu.

Zásady přístupu

Podporované oblasti

Azure dosah (strana pro správu)

Funkce zásad přístupu dosah je dostupná ve všech oblastech Azure dosah.

Azure Storage (strana vynucení)

zásady přístupu dosah se dají vyhovět jenom v následujících oblastech Azure Storage.

  • Francie – střed
  • Střední Kanada

Povolení vynucování zásad přístupu pro Azure Storage účtu

Následující příkazy PowerShellu je potřeba spustit v předplatném, ve kterém se nachází Azure Storage účet. Tím se pokryje Azure Storage účty v tomto předplatném.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Pokud se ve výstupu posledního příkazu zobrazí hodnota RegistrationState (Stav registrace) jako Registered (Zaregistrováno), vaše předplatné je pro tuto funkci povolené.

pomocí tohoto průvodce konfigurací povolte zásady přístupu pro účet Azure Storage .

Další kroky

Teď, když jste zaregistrovali zdroj, můžete získat další informace o dosah a vašich datech pomocí následujících pokynů.