신뢰할 수 있는 작업 영역 액세스(미리 보기)

패브릭을 사용하면 방화벽 지원 ADLS(Azure Data Lake Storage) Gen2 계정에 안전한 방식으로 액세스할 수 있습니다. 작업 영역 ID가 있는 패브릭 작업 영역은 선택한 가상 네트워크 및 IP 주소에서 공용 네트워크 액세스를 사용하도록 설정된 ADLS Gen2 계정에 안전하게 액세스할 수 있습니다. ADLS Gen2 액세스를 특정 패브릭 작업 영역으로 제한할 수 있습니다.

신뢰할 수 있는 작업 영역 액세스 권한으로 스토리지 계정에 액세스하는 패브릭 작업 영역에는 요청에 대한 적절한 권한 부여가 필요합니다. 권한 부여는 조직 계정 또는 서비스 주체에 대한 Microsoft Entra 자격 증명으로 지원됩니다. 리소스 인스턴스 규칙에 대한 자세한 내용은 Azure 리소스 인스턴스에서 액세스 권한 부여를 참조 하세요.

특정 패브릭 작업 영역에서 방화벽 사용 스토리지 계정에 대한 액세스를 제한하고 보호하려면 특정 패브릭 작업 영역에서의 액세스를 허용하도록 리소스 인스턴스 규칙을 설정할 수 있습니다.

참고 항목

OneLake 바로 가기 및 데이터 파이프라인의 신뢰할 수 있는 작업 영역 액세스는 현재 공개 미리 보기로 제공됩니다. 패브릭 작업 영역 ID는 패브릭 용량(F64 이상)과 연결된 작업 영역에서만 만들 수 있습니다. 패브릭 구독 구입에 대한 자세한 내용은 Microsoft Fabric 구독 구입을 참조하세요.

이 문서는 다음을 수행하는 방법을 보여줍니다.

• ADLS Gen2 스토리지 계정에서 신뢰할 수 있는 작업 영역 액세스를 구성합니다.

• 신뢰할 수 있는 작업 영역 액세스 사용 ADLS Gen2 스토리지 계정에 연결하는 Fabric Lakehouse에서 OneLake 바로 가기를 만듭니다.

• 신뢰할 수 있는 작업 영역 액세스를 사용하도록 설정된 방화벽 지원 ADLS Gen2 계정에 직접 연결하는 데이터 파이프라인 을 만듭니다.

• T-SQL COPY 문을 사용하여 신뢰할 수 있는 작업 영역 액세스가 사용하도록 설정된 방화벽 지원 ADLS Gen2 계정에서 웨어하우스로 데이터를 수집합니다.

ADLS Gen2에서 신뢰할 수 있는 작업 영역 액세스 구성

리소스 인스턴스 규칙

특정 패브릭 작업 영역이 해당 작업 영역 ID에 따라 스토리지 계정에 액세스하도록 구성할 수 있습니다. 리소스 인스턴스 규칙을 사용하여 ARM 템플릿을 배포하여 리소스 인스턴스 규칙을 만들 수 있습니다. 리소스 인스턴스 규칙을 만들려면 다음을 수행합니다.

1. Azure Portal에 로그인하고 사용자 지정 배포로 이동합니다.

2. 편집기에서 사용자 고유의 템플릿 빌드를 선택합니다. 리소스 인스턴스 규칙을 만드는 샘플 ARM 템플릿은 ARM 템플릿 샘플을 참조하세요.

3. 편집기에서 리소스 인스턴스 규칙을 만듭니다. 완료되면 검토 + 만들기를 선택합니다.

4. 표시되는 기본 사항 탭에서 필요한 프로젝트 및 인스턴스 세부 정보를 지정합니다. 완료되면 검토 + 만들기를 선택합니다.

5. 표시되는 검토 + 만들기 탭에서 요약을 검토한 다음 만들기를 선택합니다. 배포를 위해 규칙이 제출됩니다.

6. 배포가 완료되면 리소스로 갈 수 있습니다.

참고 항목

• 패브릭 작업 영역에 대한 리소스 인스턴스 규칙은 ARM 템플릿을 통해서만 만들 수 있습니다. Azure Portal을 통한 만들기는 지원되지 않습니다.
• fabric 작업 영역 resourceId에는 subscriptionId "000000000-0000-0000-00000000000000"을 사용해야 합니다.
• 주소 표시줄 URL을 통해 패브릭 작업 영역의 작업 영역 ID를 가져올 수 있습니다.

ARM 템플릿을 통해 만들 수 있는 리소스 인스턴스 규칙의 예는 다음과 같습니다. 전체 예제는 ARM 템플릿 샘플을 참조하세요.

"resourceAccessRules": [

       { "tenantId": " df96360b-9e69-4951-92da-f418a97a85eb",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/b2788a72-eef5-4258-a609-9b1c3e454624"
       }
]

신뢰할 수 있는 서비스 예외

선택한 가상 네트워크 및 IP 주소에서 공용 네트워크 액세스가 사용하도록 설정된 ADLS Gen2 계정에 대해 신뢰할 수 있는 서비스 예외를 선택하면 작업 영역 ID가 있는 패브릭 작업 영역에서 스토리지 계정에 액세스할 수 있습니다. 신뢰할 수 있는 서비스 예외 검사box를 선택하면 작업 영역 ID가 있는 테넌트의 패브릭 용량에 있는 모든 작업 영역이 스토리지 계정에 저장된 데이터에 액세스할 수 있습니다.

이 구성은 권장되지 않으며 나중에 지원이 중단될 수 있습니다. 리소스 인스턴스 규칙을 사용하여 특정 리소스에 액세스 권한을 부여하는 것이 좋습니다.

신뢰할 수 있는 서비스 액세스를 위해 스토리지 계정을 구성할 수 있는 사람은 누구인가요?

스토리지 계정의 기여자(Azure RBAC 역할)는 리소스 인스턴스 규칙 또는 신뢰할 수 있는 서비스 예외를 구성할 수 있습니다.

패브릭에서 신뢰할 수 있는 작업 영역 액세스를 사용하는 방법

현재 신뢰할 수 있는 작업 영역 액세스를 사용하여 안전한 방식으로 Fabric에서 데이터에 액세스하는 세 가지 방법이 있습니다.

• Fabric Lakehouse에서 새 ADLS 바로 가기를 만들어 Spark, SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.

• 신뢰할 수 있는 작업 영역 액세스를 활용하여 방화벽 사용 ADLS Gen2 계정에 직접 액세스하는 데이터 파이프라인을 만들 수 있습니다.

• 신뢰할 수 있는 작업 영역 액세스를 활용하여 패브릭 웨어하우스로 데이터를 수집하는 T-SQL Copy 문을 사용할 수 있습니다.

다음 섹션에서는 이러한 메서드를 사용하는 방법을 보여 줍니다.

신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 OneLake 바로 가기 만들기

Fabric에서 구성된 작업 영역 ID와 ADLS Gen2 스토리지 계정에서 신뢰할 수 있는 작업 영역 액세스를 사용하도록 설정하면 OneLake 바로 가기를 만들어 패브릭에서 데이터에 액세스할 수 있습니다. Fabric Lakehouse에서 새 ADLS 바로 가기를 만들고 Spark, SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.

필수 조건

• 패브릭 용량과 연결된 패브릭 작업 영역입니다. 작업 영역 ID를 참조 하세요.
• 패브릭 작업 영역과 연결된 작업 영역 ID를 만듭니다.
• 바로 가기를 만드는 데 사용되는 사용자 계정 또는 서비스 주체에는 스토리지 계정에 Azure RBAC 역할이 있어야 합니다. 보안 주체에는 스토리지 계정 범위에서 Storage Blob 데이터 기여자, Storage Blob 데이터 소유자 또는 Storage Blob 데이터 판독기 역할이 있거나 컨테이너 범위의 Storage Blob 데이터 판독기 역할 외에 스토리지 계정 범위의 Storage Blob 위임자 역할이 있어야 합니다.
• 스토리지 계정에 대한 리소스 인스턴스 규칙을 구성합니다.

참고 항목

필수 구성 요소를 충족하는 작업 영역의 기존 바로 가기가 자동으로 신뢰할 수 있는 서비스 액세스를 지원하기 시작합니다.

단계

1. 먼저 Lakehouse에서 새 바로 가기를 만듭니다.

   

   새 바로 가기 마법사가 열립니다.

2. 외부 원본에서 Azure Data Lake Storage Gen2를 선택합니다.

   

3. 신뢰할 수 있는 작업 영역 액세스로 구성된 스토리지 계정의 URL을 제공하고 연결 이름을 선택합니다. 인증 종류의 경우 조직 계정 또는 서비스 주체를 선택합니다.

   

   완료되면 다음을 선택합니다.

4. 바로 가기 이름 및 하위 경로를 제공합니다.

   

   완료되면 만들기를 선택합니다.

5. Lakehouse 바로 가기가 만들어지고 바로 가기에서 스토리지 데이터를 미리 볼 수 있어야 합니다.

   

Fabric 항목에서 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 OneLake 바로 가기 사용

Fabric의 OneCopy를 사용하면 모든 패브릭 워크로드에서 신뢰할 수 있는 액세스 권한으로 OneLake 바로 가기에 액세스할 수 있습니다.

• Spark: Spark를 사용하여 OneLake 바로 가기에서 데이터에 액세스할 수 있습니다. Spark에서 바로 가기를 사용하면 OneLake에서 폴더로 표시됩니다. 데이터에 액세스하려면 폴더 이름을 참조하기만 하면 됩니다. OneLake 바로 가기를 사용하여 Spark Notebook에서 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 사용할 수 있습니다.

• SQL 엔드포인트: Lakehouse의 "테이블" 섹션에서 만든 바로 가기는 SQL 엔드포인트에서도 사용할 수 있습니다. SQL 엔드포인트를 열고 다른 테이블과 마찬가지로 데이터를 쿼리할 수 있습니다.

• 파이프라인: 데이터 파이프라인은 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 관리되는 바로 가기에 액세스할 수 있습니다. 데이터 파이프라인은 OneLake 바로 가기를 통해 스토리지 계정에서 읽거나 스토리지 계정에 쓰는 데 사용할 수 있습니다.

• 데이터 흐름 v2: Dataflows Gen2를 사용하여 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 관리되는 바로 가기에 액세스할 수 있습니다. Dataflows Gen2는 OneLake 바로 가기를 통해 스토리지 계정에서 읽거나 쓸 수 있습니다.

• 의미 체계 모델 및 보고서: Lakehouse SQL 엔드포인트와 연결된 기본 의미 체계 모델은 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 관리되는 바로 가기를 읽을 수 있습니다. 기본 의미 체계 모델에서 관리 테이블을 보려면 SQL 엔드포인트로 이동하여 보고를 선택하고 의미 체계 모델 자동 업데이트를 선택합니다.

  신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 테이블 바로 가기를 참조하는 새 의미 체계 모델을 만들 수도 있습니다. SQL 엔드포인트로 이동하여 보고를 선택하고 새 의미 체계 모델을 선택합니다.

  기본 의미 체계 모델 및 사용자 지정 의미 체계 모델을 기반으로 보고서를 만들 수 있습니다.

• KQL 데이터베이스: KQL 데이터베이스에서 ADLS Gen2에 대한 OneLake 바로 가기를 만들 수도 있습니다. 신뢰할 수 있는 작업 영역 액세스를 사용하여 관리되는 바로 가기를 만드는 단계는 동일합니다기본.

신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 데이터 파이프라인 만들기

Fabric에서 구성된 작업 영역 ID와 ADLS Gen2 스토리지 계정에서 신뢰할 수 있는 액세스를 사용하도록 설정하면 데이터 파이프라인을 만들어 패브릭에서 데이터에 액세스할 수 있습니다. 새 데이터 파이프라인을 만들어 패브릭 레이크하우스에 데이터를 복사한 다음 Spark, SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.

필수 조건

• 패브릭 용량과 연결된 패브릭 작업 영역입니다. 작업 영역 ID를 참조 하세요.
• 패브릭 작업 영역과 연결된 작업 영역 ID를 만듭니다.
• 연결을 만드는 데 사용되는 사용자 계정 또는 서비스 주체에는 스토리지 계정에 Azure RBAC 역할이 있어야 합니다. 보안 주체에는 스토리지 계정 범위에서 Storage Blob 데이터 기여자, Storage Blob 데이터 소유자 또는 Storage Blob 데이터 판독기 역할이 있어야 합니다.
• 스토리지 계정에 대한 리소스 인스턴스 규칙을 구성합니다.

단계

1. 먼저 레이크하우스에서 데이터 가져오기를 선택합니다.

2. 새 데이터 파이프라인을 선택합니다. 파이프라인의 이름을 입력한 다음 만들기를 선택합니다.

   

3. 데이터 원본으로 Azure Data Lake Gen2를 선택합니다.

   

4. 신뢰할 수 있는 작업 영역 액세스로 구성된 스토리지 계정의 URL을 제공하고 연결 이름을 선택합니다. 인증 종류의 경우 조직 계정 또는 서비스 주체를 선택합니다.

   

   완료되면 다음을 선택합니다.

5. 레이크하우스에 복사해야 하는 파일을 선택합니다.

   

   완료되면 다음을 선택합니다.

6. 검토 + 저장 화면에서 즉시 데이터 전송 시작을 선택합니다. 완료되면 저장 + 실행을 선택합니다.

   

7. 파이프라인 상태 Queued에서 Succeeded로 변경되면 lakehouse로 이동하여 데이터 테이블이 생성되었는지 확인합니다.

T-SQL COPY 문을 사용하여 웨어하우스로 데이터 수집

Fabric에서 구성된 작업 영역 ID와 ADLS Gen2 스토리지 계정에서 신뢰할 수 있는 액세스를 사용하도록 설정하면 COPY T-SQL 문을 사용하여 패브릭 웨어하우스로 데이터를 수집할 수 있습니다. 데이터가 웨어하우스에 수집되면 SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.

제한 사항 및 고려 사항

• 신뢰할 수 있는 작업 영역 액세스는 패브릭 용량(F64 이상)의 작업 영역에 대해서만 지원됩니다.
• OneLake 바로 가기 및 데이터 파이프라인에서만 신뢰할 수 있는 작업 영역 액세스를 사용할 수 있습니다. Fabric Spark에서 스토리지 계정에 안전하게 액세스하려면 Fabric용 관리되는 프라이빗 엔드포인트를 참조하세요.
• 작업 영역 ID가 있는 작업 영역이 비 패브릭 용량 또는 F64보다 낮은 패브릭 용량으로 마이그레이션되는 경우 신뢰할 수 있는 작업 영역 액세스는 1시간 후에 작동을 중지합니다.
• 2023년 10월 10일 이전에 만든 기존 바로 가기는 신뢰할 수 있는 작업 영역 액세스를 지원하지 않습니다.
• 커넥트에서 신뢰할 수 있는 작업 영역 액세스에 대한 이온을 만들거나 수정 할 수 없습니다.연결 및 게이트웨이를 관리합니다.
• 바로 가기 및 파이프라인 이외의 패브릭 항목 또는 다른 작업 영역에서 신뢰할 수 있는 작업 영역 액세스를 지원하는 연결을 다시 사용하는 경우 작동하지 않을 수 있습니다.
• 신뢰할 수 있는 작업 영역 액세스를 위해 스토리지 계정에 대한 인증에는 조직 계정 또는 서비스 주체만 사용해야 합니다.
• 파이프라인은 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정의 OneLake 테이블 바로 가기에 쓸 수 없습니다. 이것은 일시적인 제한 사항입니다.
• 최대 200개 리소스 인스턴스 규칙을 구성할 수 있습니다. 자세한 내용은 Azure 구독 제한 및 할당량 - Azure Resource Manager를 참조하세요.
• 신뢰할 수 있는 작업 영역 액세스는 선택한 가상 네트워크 및 IP 주소에서 공용 액세스를 사용하도록 설정한 경우에만 작동합니다.
• ARM 템플릿을 통해 패브릭 작업 영역에 대한 리소스 인스턴스 규칙을 만들어야 합니다. Azure Portal UI를 통해 만든 리소스 인스턴스 규칙은 지원되지 않습니다.
• 필수 조건을 충족하는 작업 영역의 기존 바로 가기가 자동으로 신뢰할 수 있는 서비스 액세스를 지원하기 시작합니다.

ARM 템플릿 샘플

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "sku": {
                "name": "Standard_RAGRS",
                "tier": "Standard"
            },
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

관련 콘텐츠

• 작업 영역 ID
• Azure 리소스 인스턴스에서 액세스 권한 부여
• 관리 ID를 기반으로 하는 신뢰할 수 있는 액세스