Verbinding maken met een beveiligd Azure-opslagaccount vanuit uw Synapse-werkruimte
In dit artikel leert u hoe u vanuit uw Azure Synapse werkruimte verbinding kunt maken met een beveiligd Azure-opslagaccount. U kunt een Azure-opslagaccount koppelen aan uw Synapse-werkruimte wanneer u uw werkruimte maakt. U kunt meer opslagaccounts koppelen nadat u uw werkruimte hebt gemaakt.
Beveiligde Azure-opslagaccounts
Azure Storage biedt een gelaagd beveiligingsmodel waarmee u de toegang tot uw opslagaccounts kunt beveiligen en beheren. U kunt IP-firewallregels configureren om verkeer van geselecteerde openbare IP-adresbereiken toegang te verlenen tot uw opslagaccount. U kunt ook netwerkregels configureren om verkeer van geselecteerde virtuele netwerken toegang te verlenen tot uw opslagaccount. U kunt IP-firewallregels combineren die toegang toestaan vanuit geselecteerde IP-adresbereiken en netwerkregels die toegang verlenen vanuit geselecteerde virtuele netwerken in hetzelfde opslagaccount. Deze regels zijn van toepassing op het openbare eindpunt van een opslagaccount. U hebt geen toegangsregels nodig om verkeer toe te staan van beheerde privé-eindpunten die zijn gemaakt in uw werkruimte naar een opslagaccount. Firewallregels voor opslag kunnen worden toegepast op bestaande opslagaccounts of op nieuwe opslagaccounts wanneer u deze maakt. Meer informatie over het beveiligen van uw opslagaccount vindt u hier.
Synapse-werkruimten en virtuele netwerken
Wanneer u een Synapse-werkruimte maakt, kunt u ervoor kiezen om er een beheerd virtueel netwerk aan te koppelen. Als u beheerd virtueel netwerk niet inschakelt voor uw werkruimte wanneer u deze maakt, bevindt uw werkruimte zich in een gedeeld virtueel netwerk, samen met andere Synapse-werkruimten waaraan geen beheerd virtueel netwerk is gekoppeld. Als u Beheerd virtueel netwerk hebt ingeschakeld toen u de werkruimte maakte, is uw werkruimte gekoppeld aan een toegewezen virtueel netwerk dat wordt beheerd door Azure Synapse. Deze virtuele netwerken worden niet gemaakt in uw klantabonnement. Daarom kunt u verkeer van deze virtuele netwerken geen toegang verlenen tot uw beveiligde opslagaccount met behulp van de hierboven beschreven netwerkregels.
Toegang tot een beveiligd opslagaccount
Synapse werkt vanuit netwerken die niet kunnen worden opgenomen in uw netwerkregels. Het volgende moet worden gedaan om toegang vanuit uw werkruimte tot uw beveiligde opslagaccount mogelijk te maken.
Maak een Azure Synapse werkruimte waaraan een beheerd virtueel netwerk is gekoppeld en maak er beheerde privé-eindpunten van naar het beveiligde opslagaccount.
Als u Azure Portal gebruikt om uw werkruimte te maken, kunt u beheerd virtueel netwerk inschakelen op het tabblad Netwerken , zoals hieronder wordt weergegeven. Als u een beheerd virtueel netwerk inschakelt of Synapse bepaalt dat het primaire opslagaccount een beveiligd opslagaccount is, kunt u een aanvraag voor een beheerde privé-eindpuntverbinding maken met het beveiligde opslagaccount, zoals hieronder wordt weergegeven. De eigenaar van het opslagaccount moet de verbindingsaanvraag goedkeuren om de privékoppeling tot stand te brengen. Synapse keurt deze verbindingsaanvraag ook goed als de gebruiker die een Apache Spark-pool maakt in de werkruimte voldoende bevoegdheden heeft om de verbindingsaanvraag goed te keuren.
Ververleent uw Azure Synapse werkruimte toegang tot uw beveiligde opslagaccount als een vertrouwde Azure-service. Als vertrouwde service gebruikt Azure Synapse vervolgens sterke verificatie om veilig verbinding te maken met uw opslagaccount.
Een Synapse-werkruimte maken met een beheerd virtueel netwerk en beheerde privé-eindpunten maken voor uw opslagaccount
U kunt deze stappen volgen om een Synapse-werkruimte te maken waaraan een beheerd virtueel netwerk is gekoppeld. Zodra de werkruimte met een gekoppeld beheerd virtueel netwerk is gemaakt, kunt u een beheerd privé-eindpunt voor uw beveiligde opslagaccount maken door de stappen te volgen die hier worden vermeld.
Uw Azure Synapse werkruimte toegang verlenen tot uw beveiligde opslagaccount als een vertrouwde Azure-service
Analysemogelijkheden, zoals toegewezen SQL-pool en serverloze SQL-pool, maken gebruik van een infrastructuur met meerdere tenants die niet is geïmplementeerd in het beheerde virtuele netwerk. Als u verkeer van deze mogelijkheden toegang wilt geven tot het beveiligde opslagaccount, moet u de toegang tot uw opslagaccount configureren op basis van de door het systeem toegewezen beheerde identiteit van de werkruimte door de onderstaande stappen te volgen.
Navigeer in Azure Portal naar uw beveiligde opslagaccount. Selecteer Netwerken in het linkernavigatiedeelvenster. Selecteer in de sectie Resource-exemplarenDe optie Microsoft.Synapse/workspaces als resourcetype en voer de naam van uw werkruimte in bij Exemplaarnaam. Selecteer Opslaan.
U hebt nu toegang tot uw beveiligde opslagaccount vanuit de werkruimte.
Volgende stappen
Meer informatie over beheerd werkruimte virtueel netwerk.
Meer informatie over beheerde privé-eindpunten.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor