Share via

Připojení k zabezpečenému účtu úložiště Azure z pracovního prostoru Synapse

  • Článek

Tento článek vás naučí, jak se připojit k zabezpečenému účtu úložiště Azure z pracovního prostoru Azure Synapse. Účet úložiště Azure můžete propojit s pracovním prostorem Synapse při vytváření pracovního prostoru. Po vytvoření pracovního prostoru můžete propojit další účty úložiště.

Zabezpečené účty úložiště Azure

Azure Storage poskytuje model vícevrstvého zabezpečení, který umožňuje zabezpečit a řídit přístup k účtům úložiště. Můžete nakonfigurovat pravidla firewallu protokolu IP tak, aby udělovali provoz z vybraných rozsahů veřejných IP adres přístup k vašemu účtu úložiště. Můžete také nakonfigurovat pravidla sítě, která udělují provoz z vybraných virtuálních sítí přístup k vašemu účtu úložiště. Můžete kombinovat pravidla brány firewall protokolu IP, která povolují přístup z vybraných rozsahů IP adres, a pravidla sítě, která udělují přístup z vybraných virtuálních sítí ve stejném účtu úložiště. Tato pravidla platí pro veřejný koncový bod účtu úložiště. K povolení provozu ze spravovaných privátních koncových bodů vytvořených ve vašem pracovním prostoru do účtu úložiště nepotřebujete žádná pravidla přístupu. Pravidla brány firewall úložiště se dají použít pro stávající účty úložiště nebo pro nové účty úložiště při jejich vytváření. Další informace o zabezpečení účtu úložiště najdete tady.

Pracovní prostory Synapse a virtuální sítě

Při vytváření pracovního prostoru Synapse můžete povolit přidružení spravované virtuální sítě. Pokud při vytváření pracovního prostoru nepovolíte spravovanou virtuální síť, je váš pracovní prostor ve sdílené virtuální síti spolu s dalšími pracovními prostory Synapse, ke kterým není přidružená spravovaná virtuální síť. Pokud jste při vytváření pracovního prostoru povolili spravovanou virtuální síť, bude váš pracovní prostor přidružený k vyhrazené virtuální síti spravované Azure Synapse. Tyto virtuální sítě se ve vašem předplatném zákazníka nevytvořily. Proto nebudete moct udělit provoz z těchto virtuálních sítí přístup k vašemu zabezpečenému účtu úložiště pomocí výše popsaných pravidel sítě.

Přístup k zabezpečenému účtu úložiště

Synapse funguje ze sítí, které nelze zahrnout do pravidel sítě. K povolení přístupu z pracovního prostoru k zabezpečenému účtu úložiště je potřeba provést následující kroky.

  • Vytvořte pracovní prostor Azure Synapse s přidruženou spravovanou virtuální sítí a vytvořte z něj spravované privátní koncové body do zabezpečeného účtu úložiště.

    Pokud k vytvoření pracovního prostoru používáte Azure Portal, můžete povolit spravovanou virtuální síť na kartě Sítě , jak je znázorněno níže. Pokud povolíte spravovanou virtuální síť nebo Synapse určí, že primárním účtem úložiště je zabezpečený účet úložiště, máte možnost vytvořit žádost o připojení spravovaného privátního koncového bodu k zabezpečenému účtu úložiště, jak je znázorněno níže. Vlastník účtu úložiště bude muset schválit žádost o připojení k vytvoření privátního propojení. Případně Synapse tuto žádost o připojení schválí, pokud uživatel, který v pracovním prostoru vytváří fond Apache Sparku, má dostatečná oprávnění ke schválení žádosti o připojení. Povolení spravované virtuální sítě a spravovaného privátního koncového bodu

  • Udělte pracovnímu prostoru Azure Synapse přístup k účtu zabezpečeného úložiště jako důvěryhodné službě Azure. Jako důvěryhodná služba pak Azure Synapse použije silné ověřování k zabezpečenému připojení k vašemu účtu úložiště.

Vytvoření pracovního prostoru Synapse se spravovanou virtuální sítí a vytvoření spravovaných privátních koncových bodů pro účet úložiště

Pomocí těchto kroků můžete vytvořit pracovní prostor Synapse, ke kterému je přidružená spravovaná virtuální síť. Po vytvoření pracovního prostoru s přidruženou spravovanou virtuální sítí můžete vytvořit spravovaný privátní koncový bod pro účet zabezpečeného úložiště podle kroků uvedených tady.

Udělení přístupu k účtu zabezpečeného úložiště pracovnímu prostoru Azure Synapse jako důvěryhodné službě Azure

Analytické funkce, jako je vyhrazený fond SQL a bezserverový fond SQL, používají infrastrukturu s více tenanty, která není nasazená ve spravované virtuální síti. Aby mohl provoz z těchto funkcí přistupovat k zabezpečenému účtu úložiště, musíte nakonfigurovat přístup ke svému účtu úložiště na základě spravované identity přiřazené systémem pracovního prostoru pomocí následujícího postupu.

V Azure Portal přejděte na zabezpečený účet úložiště. V levém navigačním podokně vyberte Sítě . V části Instance prostředků jako typ prostředku vyberte Microsoft.Synapse/workspaces a do pole Název instance zadejte název pracovního prostoru. Vyberte Uložit.

Konfigurace sítě účtu úložiště.

Teď byste měli mít přístup k zabezpečenému účtu úložiště z pracovního prostoru.

Další kroky

Přečtěte si další informace o virtuální síti spravovaného pracovního prostoru.

Přečtěte si další informace o spravovaných privátních koncových bodech.