Rollen en vereisten voor Azure Data Share
In dit artikel worden de rollen en machtigingen beschreven die nodig zijn om gegevens te delen en te ontvangen met behulp van de Azure data share service.
Functies en vereisten
Met de Azure data share-service kunt u gegevens delen zonder dat er referenties worden uitgewisseld tussen gegevens provider en Consumer. Voor het delen op basis van moment opnamen gebruikt de Azure data share-service beheerde identiteiten (voorheen bekend als MSIs) voor verificatie bij Azure-gegevens opslag. De beheerde identiteit van de Azure-gegevens share bron moet toegang krijgen tot de gegevens opslag van Azure om gegevens te kunnen lezen of schrijven.
Om gegevens te delen of te ontvangen van een Azure-gegevens archief, moet de gebruiker ten minste over de volgende machtigingen beschikken.
- Toestemming om te schrijven naar de Azure-gegevens opslag. Normaal gesp roken bestaat deze machtiging in de rol Inzender .
Voor het delen van opslag en data Lake snap shot moet u ook toestemming hebben om de roltoewijzing te maken in de Azure-gegevens opslag. Normaal gesp roken is machtiging voor het maken van roltoewijzingen in de rol eigenaar , de rol gebruikers toegang beheerder of een aangepaste rol met micro soft. autorisatie/roltoewijzingen/schrijf machtiging toegewezen. Deze machtiging is niet vereist als de beheerde identiteit van de bron van de gegevens share al toegang tot de Azure-gegevens opslag heeft gekregen. Hieronder volgt een samen vatting van de rollen die zijn toegewezen aan de beheerde identiteit van de gegevens share Bron:
| Type gegevens archief | Bron gegevensopslag van gegevens provider | Gegevens opslag van het doel van de gegevens verbruiker |
|---|---|---|
| Azure Blob Storage | Lezer voor opslagblobgegevens | Inzender voor Storage Blob-gegevens |
| Azure Data Lake gen1 | Eigenaar | Niet ondersteund |
| Azure Data Lake Gen2 | Lezer voor opslagblobgegevens | Inzender voor Storage Blob-gegevens |
Voor delen op basis van een SQL-moment opname moet een SQL-gebruiker worden gemaakt van een externe provider in Azure SQL Database met dezelfde naam als de Azure-gegevens share resource. Voor het maken van deze gebruiker is Azure Active Directory beheerders machtiging vereist. Hieronder volgt een samen vatting van de machtiging die is vereist voor de SQL-gebruiker.
| SQL Database type | SQL-gebruikers machtiging voor de gegevens provider | SQL-gebruikers machtiging voor gegevens verbruiker |
|---|---|---|
| Azure SQL Database | db_datareader | db_datareader, db_datawriter db_ddladmin |
| Azure Synapse Analytics | db_datareader | db_datareader, db_datawriter db_ddladmin |
Gegevens provider
Voor het delen van opslag-en data Lake-moment opnamen kunt u een gegevensset toevoegen aan de Azure-gegevens share. de beheerde identiteit van de provider gegevens share resource moet toegang krijgen tot de Azure-bron gegevens opslag. In het geval van een opslag account krijgt de beheerde identiteit van de gegevens share bron bijvoorbeeld de rol Storage BLOB data Reader . Dit wordt automatisch uitgevoerd door de Azure data share-service wanneer de gebruiker gegevensset toevoegt via Azure Portal en de gebruiker de juiste machtigingen heeft. De gebruiker is bijvoorbeeld een eigenaar van het Azure-gegevens archief of is een lid van een aangepaste rol waaraan de machtiging voor micro soft. Authorization/Role/ permission is toegewezen.
De gebruiker kan ook de eigenaar van de Azure-gegevens opslag de beheerde identiteit van de gegevens share bron hand matig toevoegen aan het Azure-gegevens archief. Deze actie hoeft slechts één keer per gegevens share bron te worden uitgevoerd. Volg de onderstaande stappen voor het maken van een roltoewijzing voor de beheerde identiteit van de gegevens share bron hand matig.
- Navigeer naar de Azure-gegevens opslag.
- Selecteer Access Control (IAM).
- Selecteer een roltoewijzing toevoegen.
- Selecteer onder rol de rol in de bovenstaande tabel met roltoewijzingen (bijvoorbeeld voor opslag account, selecteer BLOB-gegevens lezer voor opslag).
- Typ onder selecteren de naam van uw Azure-gegevens share-resource.
- Klik op Opslaan.
Zie Azure-rollen toewijzen met behulp van de Azure Portalvoor meer informatie over de toewijzing van rollen. Als u gegevens deelt met behulp van REST-Api's, kunt u roltoewijzing maken met behulp van de API door te verwijzen naar Azure-rollen toewijzen met behulp van de rest API.
Voor delen op basis van een SQL-moment opname moet een SQL-gebruiker worden gemaakt van een externe provider in SQL Database met dezelfde naam als de Azure-gegevens share bron tijdens het verbinden met SQL database met behulp van Azure Active Directory-verificatie. Aan deze gebruiker moet db_datareader machtiging worden verleend. Een voorbeeld script met andere vereisten voor delen op basis van SQL vindt u in de share van Azure SQL database of de Azure Synapse Analytics -zelf studie.
Gegevens verbruiker
Als u gegevens wilt ontvangen in een opslag account, moet de beheerde identiteit van de consument gegevens share resource toegang krijgen tot het doel-opslag account. De beheerde identiteit van de gegevens share bron moet de rol van de BLOB voor gegevens toegang voor de opslag hebben. Dit wordt automatisch uitgevoerd door de Azure data share-service als de gebruiker een doel Storage-account opgeeft via Azure Portal en de gebruiker over de juiste machtigingen beschikt. De gebruiker is bijvoorbeeld een eigenaar van het opslag account of is een lid van een aangepaste rol die de machtiging micro soft. Authorization/Role Assignment/write is toegewezen heeft.
De gebruiker kan ook eigenaar zijn van het opslag account om de beheerde identiteit van de gegevens share bron hand matig toe te voegen aan het opslag account. Deze actie hoeft slechts één keer per gegevens share bron te worden uitgevoerd. Volg de onderstaande stappen voor het maken van een roltoewijzing voor de beheerde identiteit van de gegevens share bron hand matig.
- Navigeer naar de Azure-gegevens opslag.
- Selecteer Access Control (IAM).
- Selecteer een roltoewijzing toevoegen.
- Selecteer onder rol de rol in de bovenstaande tabel met roltoewijzingen (bijvoorbeeld voor opslag account, selecteer BLOB-gegevens lezer voor opslag).
- Typ onder selecteren de naam van uw Azure-gegevens share-resource.
- Klik op Opslaan.
Zie Azure-rollen toewijzen met behulp van de Azure Portalvoor meer informatie over de toewijzing van rollen. Als u gegevens ontvangt met behulp van REST-Api's, kunt u roltoewijzing maken met behulp van de API door te verwijzen naar Azure-rollen toewijzen met behulp van de rest API.
Voor een op SQL gebaseerd doel moet een SQL-gebruiker worden gemaakt van een externe provider in SQL Database met dezelfde naam als de Azure-gegevens share bron tijdens het verbinden met SQL database met behulp van Azure Active Directory-verificatie. Deze gebruiker moet worden toegekend db_datareader, db_datawriter db_ddladmin machtiging. Een voorbeeld script met andere vereisten voor delen op basis van SQL vindt u in de share van Azure SQL database of de Azure Synapse Analytics -zelf studie.
Registratie van resource provider
Mogelijk moet u de resource provider micro soft. DataShare hand matig registreren in uw Azure-abonnement in de volgende scenario's:
- De Azure data share-uitnodiging voor de eerste keer in uw Azure-Tenant weer geven
- Gegevens uit een Azure-gegevens archief delen in een ander Azure-abonnement van uw Azure-gegevens share-resource
- Gegevens ontvangen in een Azure-gegevens archief in een ander Azure-abonnement van uw Azure-gegevens share-resource
Volg deze stappen om de resource provider micro soft. DataShare te registreren bij uw Azure-abonnement. U hebt Inzender toegang tot het Azure-abonnement nodig om de resource provider te registreren.
- Ga in het Azure Portal naar abonnementen.
- Selecteer het abonnement dat u voor Azure-gegevens share gebruikt.
- Klik op resource providers.
- Zoek naar micro soft. DataShare.
- Klik op Registreren.
Zie Azure-resource providers en-typenvoor meer informatie over de resource provider.
Volgende stappen
- Meer informatie over rollen in azure- definities van Azure-rollen begrijpen