Machtigingen toewijzen aan beheerde identiteiten in een werkruimte
In dit artikel leert u hoe u machtigingen kunt verlenen aan de beheerde identiteit in de Azure Synapse-werkruimte. Machtigingen staan op hun beurt toegang toe tot toegewezen SQL-pools in de werkruimte en het ADLS Gen2-opslagaccount via de Azure Portal.
Notitie
Deze beheerde identiteit van de werkruimte wordt aangeduid als beheerde identiteit in de rest van dit document.
De beheerde identiteit machtigingen verlenen aan het ADLS Gen2-opslagaccount
Een ADLS Gen2-opslagaccount is vereist om een Azure Synapse werkruimte te maken. Als u Spark-pools in Azure Synapse werkruimte wilt starten, heeft de Azure Synapse beheerde identiteit de rol Inzender voor opslagblobgegevens nodig voor dit opslagaccount. Pijplijnindeling in Azure Synapse ook profiteren van deze rol.
Machtigingen verlenen aan beheerde identiteit tijdens het maken van de werkruimte
Azure Synapse probeert de rol Inzender voor opslagblobgegevens toe te kennen aan de beheerde identiteit nadat u de Azure Synapse-werkruimte hebt gemaakt met behulp van Azure Portal. U geeft de details van het ADLS Gen2-opslagaccount op op het tabblad Basisinformatie .
Kies het ADLS Gen2-opslagaccount en -bestandssysteem in Accountnaam en Bestandsnaam.
Als de maker van de werkruimte ook eigenaar is van het ADLS Gen2-opslagaccount, wijst Azure Synapse de rol Inzender voor opslagblobgegevens toe aan de beheerde identiteit. U ziet het volgende bericht onder de opslagaccountgegevens die u hebt ingevoerd.
Als de maker van de werkruimte niet de eigenaar is van het ADLS Gen2-opslagaccount, wijst Azure Synapse de rol Inzender voor opslagblobgegevens niet toe aan de beheerde identiteit. In het bericht dat wordt weergegeven onder de details van het opslagaccount wordt de maker van de werkruimte gewaarschuwd dat deze niet over voldoende machtigingen beschikt om de rol Inzender voor opslagblobgegevens toe te kennen aan de beheerde identiteit.
Zoals in het bericht wordt aangegeven, kunt u alleen Spark-pools maken als de Inzender voor opslagblobgegevens is toegewezen aan de beheerde identiteit.
Machtigingen verlenen aan een beheerde identiteit nadat de werkruimte is gemaakt
Als u tijdens het maken van de werkruimte de inzender voor opslagblobgegevens niet toewijst aan de beheerde identiteit, wijst de eigenaar van het ADLS Gen2-opslagaccount die rol handmatig toe aan de identiteit. De volgende stappen helpen u bij het uitvoeren van handmatige toewijzing.
Stap 1: navigeer naar het ADLS Gen2-opslagaccount in Azure Portal
Open in Azure Portal het ADLS Gen2-opslagaccount en selecteer Overzicht in de linkernavigatiebalk. U hoeft alleen de rol Inzender voor opslagblobgegevens toe te wijzen op het niveau van de container of het bestandssysteem. Selecteer Containers.
Stap 2: De container selecteren
De beheerde identiteit moet gegevenstoegang hebben tot de container (bestandssysteem) die is opgegeven toen de werkruimte werd gemaakt. U vindt deze container of dit bestandssysteem in Azure Portal. Open de werkruimte Azure Synapse in Azure Portal en selecteer het tabblad Overzicht in het linkernavigatievenster.
Selecteer dezelfde container of hetzelfde bestandssysteem om de rol Inzender voor opslagblobgegevens toe te kennen aan de beheerde identiteit.
Stap 3: Toegangsbeheer openen en roltoewijzing toevoegen
Klik op Toegangsbeheer (IAM) .
Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.
Wijs de volgende rol toe. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor meer details.
Instelling Waarde Rol Inzender voor Storage Blob-gegevens Toegang toewijzen aan MANAGEDIDENTITY Leden Naam van beheerde identiteit Notitie
De naam van de beheerde identiteit is ook de naam van de werkruimte.
Selecteer Opslaan om de roltoewijzing toe te voegen.
Stap 4: Controleer of de rol Inzender voor opslagblobgegevens is toegewezen aan de beheerde identiteit
Selecteer Access Control (IAM) en selecteer vervolgens Roltoewijzingen.
Uw beheerde identiteit wordt nu weergegeven in de sectie Inzender voor opslagblobgegevens met de rol Inzender voor opslagblobgegevens .
Alternatief voor de rol Inzender voor opslagblobgegevens
In plaats van uzelf de rol Inzender voor opslagblobgegevens toe te kennen, kunt u ook gedetailleerdere machtigingen verlenen voor een subset van bestanden.
Alle gebruikers die toegang nodig hebben tot bepaalde gegevens in deze container, moeten ook de machtiging EXECUTE hebben voor alle bovenliggende mappen tot aan de hoofdmap (de container).
Meer informatie over het instellen van ACL's in Azure Data Lake Storage Gen2.
Notitie
Uitvoeringsmachtiging op containerniveau moet worden ingesteld binnen Data Lake Storage Gen2. Machtigingen voor de map kunnen worden ingesteld in Azure Synapse.
Als u een query wilt uitvoeren op data2.csv in dit voorbeeld, zijn de volgende machtigingen nodig:
- Machtiging voor het uitvoeren van een container
- Machtiging uitvoeren voor map1
- Leesmachtiging op data2.csv
Meld u aan bij Azure Synapse met een gebruiker met beheerdersrechten die volledige machtigingen heeft voor de gegevens die u wilt openen.
Klik in het gegevensvenster met de rechtermuisknop op het bestand en selecteer Toegang beheren.
Selecteer ten minste de machtiging Lezen . Voer de UPN of object-id van de gebruiker in, bijvoorbeeld user@contoso.com. Selecteer Toevoegen.
Leesmachtigingen verlenen aan deze gebruiker.
Notitie
Voor gastgebruikers moet deze stap rechtstreeks worden uitgevoerd met Azure Data Lake, omdat deze niet rechtstreeks via Azure Synapse kan worden uitgevoerd.
Volgende stappen
Meer informatie over beheerde identiteit voor werkruimten