Engedélyek megadása munkaterület által felügyelt identitásnak
Ez a cikk bemutatja, hogyan adhat engedélyeket a felügyelt identitáshoz az Azure Synapse-munkaterületen. Az engedélyek viszont lehetővé teszik a dedikált SQL-készletek elérését a munkaterületen és az ADLS Gen2-tárfiókhoz a Azure Portal keresztül.
Megjegyzés
A munkaterület felügyelt identitását a dokumentum többi részében felügyelt identitásnak nevezzük.
A felügyelt identitás engedélyeinek megadása az ADLS Gen2-tárfiók számára
Egy Azure Synapse-munkaterület létrehozásához ADLS Gen2-tárfiókra van szükség. Ha sikeresen el szeretné indítani a Spark-készleteket Azure Synapse munkaterületen, a Azure Synapse felügyelt identitásnak a Tárblobadatok közreműködője szerepkörre van szüksége ezen a tárfiókon. A folyamat vezénylése Azure Synapse is előnyös ebből a szerepkörből.
Engedélyek megadása felügyelt identitáshoz a munkaterület létrehozásakor
Azure Synapse megkísérli megadni a Storage-blobadatok közreműködője szerepkört a felügyelt identitásnak, miután létrehozta a Azure Synapse munkaterületet a Azure Portal használatával. Az ADLS Gen2 tárfiók adatait az Alapok lapon adja meg.
Válassza ki az ADLS Gen2-tárfiókot és fájlrendszert a Fióknév és a Fájlrendszer neve mezőben.
Ha a munkaterület létrehozója egyben az ADLS Gen2 tárfiók tulajdonosa is, akkor Azure Synapse hozzárendeli a Tárblobadatok közreműködője szerepkört a felügyelt identitáshoz. A megadott tárfiókadatok alatt az alábbi üzenet jelenik meg.
Ha a munkaterület létrehozója nem az ADLS Gen2 tárfiók tulajdonosa, akkor Azure Synapse nem rendeli hozzá a Tárblobadatok közreműködője szerepkört a felügyelt identitáshoz. A tárfiók részletei alatt megjelenő üzenet értesíti a munkaterület létrehozóját, hogy nem rendelkezik megfelelő engedélyekkel ahhoz, hogy a Tárblobadatok közreműködője szerepkört a felügyelt identitásnak biztosítsa.
Ahogy az üzenetben is látható, csak akkor hozhat létre Spark-készleteket, ha a Tárblobadatok közreműködője hozzá van rendelve a felügyelt identitáshoz.
Engedélyek megadása felügyelt identitáshoz a munkaterület létrehozása után
Ha a munkaterület létrehozása során nem rendeli hozzá a Storage Blob Data közreműködőt a felügyelt identitáshoz, akkor az ADLS Gen2-tárfiók tulajdonosa manuálisan hozzárendeli ezt a szerepkört az identitáshoz. Az alábbi lépések segítenek a manuális hozzárendelés végrehajtásában.
1. lépés: Navigáljon az ADLS Gen2 tárfiókhoz a Azure Portal
A Azure Portal nyissa meg az ADLS Gen2 tárfiókot, és válassza az Áttekintés lehetőséget a bal oldali navigációs sávon. Csak a tároló vagy fájlrendszer szintjén kell hozzárendelnie a Storage-blobadatok közreműködője szerepkört. Válassza a Tárolók lehetőséget.
2. lépés: A tároló kiválasztása
A felügyelt identitásnak adathozzáféréssel kell rendelkeznie a munkaterület létrehozásakor megadott tárolóhoz (fájlrendszerhez). Ezt a tárolót vagy fájlrendszert a Azure Portal találja. Nyissa meg a Azure Synapse munkaterületet Azure Portal, és válassza az Áttekintés lapot a bal oldali navigációs sávon.
Válassza ki ugyanazt a tárolót vagy fájlrendszert, hogy a Storage-blobadatok közreműködője szerepkört biztosítsa a felügyelt identitásnak.
3. lépés: Hozzáférés-vezérlés megnyitása és szerepkör-hozzárendelés hozzáadása
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Szerepkör-hozzárendelés hozzáadása> lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a következő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Beállítás Érték Szerepkör Storage-blobadatok közreműködője Hozzáférés hozzárendelése ehhez MANAGEDIDENTITY Tagok felügyelt identitás neve Megjegyzés
A felügyelt identitás neve a munkaterület neve is.
A szerepkör-hozzárendelés hozzáadásához válassza a Mentés lehetőséget.
4. lépés: Ellenőrizze, hogy a Storage-blobadatok közreműködője szerepkör hozzá van-e rendelve a felügyelt identitáshoz
Válassza a Access Control(IAM), majd a Szerepkör-hozzárendelések lehetőséget.
A felügyelt identitásnak a Storage-blobadatok közreműködője szakaszban kell megjelennie, amelyhez a Storage-blobadatok közreműködője szerepkör van hozzárendelve.
Alternatíva a Storage Blob-adatok közreműködője szerepkör helyett
Ahelyett, hogy tárblobadatok közreműködője szerepkört ad magának, részletesebb engedélyeket is adhat a fájlok egy részhalmazához.
Minden felhasználónak, akinek hozzá kell férnie a tároló egyes adataihoz, a gyökérmappáig (a tárolóig) minden szülőmappához RENDELKEZNIe kell EXECUTE engedéllyel.
További információ az ACL-ek Azure Data Lake Storage Gen2 való beállításáról.
Megjegyzés
A tároló szintjén a végrehajtási engedélyt Data Lake Storage Gen2 kell beállítani. A mappára vonatkozó engedélyek Azure Synapse belül állíthatók be.
Ha ebben a példában data2.csv szeretne lekérdezni, a következő engedélyekre van szükség:
- Engedély végrehajtása a tárolón
- Engedély végrehajtása a mappában1
- Olvasási engedély a data2.csv
Jelentkezzen be Azure Synapse egy olyan rendszergazdai felhasználóval, aki teljes körű engedélyekkel rendelkezik a elérni kívánt adatokhoz.
Az adatpanelen kattintson a jobb gombbal a fájlra, és válassza a Hozzáférés kezelése lehetőséget.
Válassza ki legalább az Olvasási engedélyt. Adja meg a felhasználó UPN-jét vagy objektumazonosítóját, például user@contoso.com: . Válassza a Hozzáadás lehetőséget.
Olvasási engedély megadása ehhez a felhasználóhoz.
Megjegyzés
A vendégfelhasználók számára ezt a lépést közvetlenül az Azure Data Lake-zel kell elvégezni, mert az nem végezhető el közvetlenül a Azure Synapse keresztül.
Következő lépések
További információ a munkaterület felügyelt identitásáról