Bevilja behörighet till arbetsytans hanterade identitet

  • Artikel

I den här artikeln får du lära dig hur du beviljar behörigheter till den hanterade identiteten på Azure Synapse-arbetsytan. Behörigheter ger i sin tur åtkomst till dedikerade SQL-pooler på arbetsytan och ADLS Gen2-lagringskontot via Azure Portal.

Anteckning

Den här hanterade identiteten för arbetsytan kallas för hanterad identitet via resten av det här dokumentet.

Bevilja den hanterade identiteten behörigheter till ADLS Gen2-lagringskontot

Ett ADLS Gen2-lagringskonto krävs för att skapa en Azure Synapse arbetsyta. För att kunna starta Spark-pooler i Azure Synapse arbetsyta behöver den Azure Synapse hanterade identiteten rollen Storage Blob Data Contributor för det här lagringskontot. Pipelineorkestrering i Azure Synapse också dra nytta av den här rollen.

Bevilja behörigheter till hanterad identitet när arbetsytan skapas

Azure Synapse försöker tilldela rollen Storage Blob Data-deltagare till den hanterade identiteten när du har skapat Azure Synapse-arbetsytan med hjälp av Azure Portal. Du anger information om ADLS Gen2-lagringskontot på fliken Grundläggande .

Skärmbild av fliken Grundläggande i flödet för att skapa arbetsytor.

Välj ADLS Gen2-lagringskontot och filsystemet i Kontonamn och Filsystemnamn.

Skärmbild av att ange information om ADLS Gen2-lagringskontot.

Om arbetsytans skapare också är ägare till ADLS Gen2-lagringskontot tilldelar Azure Synapse rollen Storage Blob Data-deltagare till den hanterade identiteten. Följande meddelande visas under informationen om lagringskontot som du angav.

Skärmbild av den lyckade tilldelningen av lagringsblobdatadeltagare.

Om arbetsytans skapare inte är ägare till ADLS Gen2-lagringskontot tilldelar Azure Synapse inte rollen Storage Blob Data-deltagare till den hanterade identiteten. Meddelandet som visas under informationen om lagringskontot meddelar arbetsytans skapare att de inte har tillräcklig behörighet för att bevilja rollen Storage Blob Data-deltagare till den hanterade identiteten.

Skärmbild av en misslyckad tilldelning av lagringsblobdatadeltagare med felrutan markerad.

Som meddelandet säger kan du inte skapa Spark-pooler om inte Storage Blob Data-deltagaren har tilldelats till den hanterade identiteten.

Bevilja behörigheter till hanterad identitet efter att arbetsytan har skapats

Om du inte tilldelar Storage Blob Data-deltagaren till den hanterade identiteten när du skapar arbetsytan, tilldelar ägaren av ADLS Gen2-lagringskontot den rollen manuellt till identiteten. Följande steg hjälper dig att utföra manuell tilldelning.

Steg 1: Gå till ADLS Gen2-lagringskontot i Azure Portal

I Azure Portal öppnar du ADLS Gen2-lagringskontot och väljer Översikt i det vänstra navigeringsfönstret. Du behöver bara tilldela rollen Storage Blob Data-deltagare på container- eller filsystemsnivå. Välj Containrar.

Skärmbild av Azure Portal av översikten över ADLS Gen2-lagringskontot.

Steg 2: Välj containern

Den hanterade identiteten ska ha dataåtkomst till containern (filsystemet) som angavs när arbetsytan skapades. Du hittar containern eller filsystemet i Azure Portal. Öppna Azure Synapse-arbetsytan i Azure Portal och välj fliken Översikt i det vänstra navigeringsfönstret.

Skärmbild av Azure Portal som visar namnet på ADLS Gen2-lagringsfilen

Välj samma container eller filsystem för att bevilja rollen Storage Blob Data-deltagare till den hanterade identiteten.

Skärmbild som visar den container eller det filsystem som du bör välja.

Steg 3: Öppna Åtkomstkontroll och lägg till rolltilldelning

  1. Välj Åtkomstkontroll (IAM) .

  2. Välj Lägg tillLägg till >rolltilldelning för att öppna sidan Lägg till rolltilldelning.

  3. Tilldela följande roll. Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

    Inställning Värde
    Roll Storage Blob Data-deltagare
    Tilldela åtkomst till MANAGEDIDENTITY
    Medlemmar namn på hanterad identitet

    Anteckning

    Namnet på den hanterade identiteten är också namnet på arbetsytan.

    Skärmbild av sidan Lägg till rolltilldelning i Azure Portal.

  4. Välj Spara för att lägga till rolltilldelningen.

Steg 4: Kontrollera att rollen Storage Blob Data-deltagare har tilldelats till den hanterade identiteten

Välj Access Control(IAM) och välj sedan Rolltilldelningar.

Skärmbild av knappen Rolltilldelningar i Azure Portal som används för att verifiera rolltilldelning.

Du bör se din hanterade identitet i avsnittet Storage Blob Data Contributor (Storage Blob Data-deltagare ) med rollen Storage Blob Data Contributor tilldelad till den.
Skärmbild av Azure Portal med containerval för ADLS Gen2-lagringskonto.

Alternativ till rollen Storage Blob Data-deltagare

I stället för att ge dig själv rollen Storage Blob Data-deltagare kan du även bevilja mer detaljerade behörigheter för en delmängd av filerna.

Alla användare som behöver åtkomst till vissa data i den här containern måste också ha KÖR-behörighet på alla överordnade mappar upp till roten (containern).

Läs mer om hur du ställer in ACL:er i Azure Data Lake Storage Gen2.

Anteckning

Körningsbehörighet på containernivå måste anges inom Data Lake Storage Gen2. Behörigheter för mappen kan anges inom Azure Synapse.

Om du vill fråga data2.csv i det här exemplet krävs följande behörigheter:

  • Kör behörighet på container
  • Kör behörighet på mapp1
  • Läsbehörighet för data2.csv

Diagram som visar behörighetsstrukturen på datasjön.

  1. Logga in på Azure Synapse med en administratörsanvändare som har fullständig behörighet för de data som du vill komma åt.

  2. Högerklicka på filen i datafönstret och välj Hantera åtkomst.

    Skärmbild som visar alternativet Hantera åtkomst.

  3. Välj minst Läsbehörighet . Ange användarens UPN eller objekt-ID, user@contoso.comtill exempel . Välj Lägg till.

  4. Bevilja läsbehörighet för den här användaren.

    Skärmbild som visar beviljande av läsbehörigheter.

Anteckning

För gästanvändare måste det här steget göras direkt med Azure Data Lake eftersom det inte kan göras direkt via Azure Synapse.

Nästa steg

Läs mer om hanterad identitet för arbetsyta