Akses ruang kerja tepercaya

Fabric memungkinkan Anda mengakses akun Azure Data Lake Storage (ADLS) Gen2 dengan dukungan firewall dengan cara yang aman. Ruang kerja Fabric yang memiliki identitas ruang kerja dapat mengakses akun ADLS Gen2 dengan aman dengan akses jaringan publik yang diaktifkan dari jaringan virtual dan alamat IP yang dipilih. Anda dapat membatasi akses ADLS Gen2 ke ruang kerja Fabric tertentu.

Ruang kerja Fabric yang mengakses akun penyimpanan dengan akses ruang kerja tepercaya memerlukan otorisasi yang tepat untuk permintaan tersebut. Otorisasi didukung dengan kredensial Microsoft Entra untuk akun organisasi atau perwakilan layanan. Untuk mengetahui selengkapnya tentang aturan instans sumber daya, lihat Memberikan akses dari instans sumber daya Azure.

Untuk membatasi dan melindungi akses ke akun penyimpanan yang mendukung firewall dari ruang kerja Fabric tertentu, Anda dapat menyiapkan aturan instans sumber daya untuk mengizinkan akses dari ruang kerja Fabric tertentu.

Artikel ini menunjukkan cara:

• Konfigurasikan akses ruang kerja tepercaya di akun penyimpanan ADLS Gen2.

• Buat pintasan OneLake di Fabric Lakehouse yang terhubung ke akun penyimpanan ADLS Gen2 yang diaktifkan akses ruang kerja tepercaya.

• Buat alur data untuk terhubung langsung ke akun ADLS Gen2 berkemampuan firewall yang mengaktifkan akses ruang kerja tepercaya.

• Gunakan pernyataan T-SQL COPY untuk menyerap data ke gudang Anda dari akun ADLS Gen2 berkemampuan firewall yang mengaktifkan akses ruang kerja tepercaya.

Mengonfigurasi akses ruang kerja tepercaya di ADLS Gen2

Aturan instans sumber daya melalui templat ARM

Anda dapat mengonfigurasi ruang kerja Fabric tertentu untuk mengakses akun penyimpanan Anda berdasarkan identitas ruang kerja mereka. Anda dapat membuat aturan instans sumber daya dengan menyebarkan templat ARM dengan aturan instans sumber daya. Untuk membuat aturan instans sumber daya:

1. Masuk ke portal Azure dan buka Penyebaran kustom.

2. Pilih Bangun templat Anda sendiri di editor. Untuk contoh templat ARM yang membuat aturan instans sumber daya, lihat sampel templat ARM.

3. Buat aturan instans sumber daya di editor. Setelah selesai, pilih Tinjau + Buat.

4. Pada tab Dasar yang muncul, tentukan detail proyek dan instans yang diperlukan. Setelah selesai, pilih Tinjau + Buat.

5. Pada tab Tinjau + Buat yang muncul, tinjau ringkasan lalu pilih Buat. Aturan akan dikirimkan untuk penyebaran.

6. Setelah penyebaran selesai, Anda akan dapat membuka sumber daya.

Berikut adalah contoh aturan instans sumber daya yang dapat dibuat melalui templat ARM. Untuk contoh lengkapnya, lihat sampel templat ARM.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Aturan instans sumber daya melalui skrip PowerShell

Anda dapat membuat aturan instans sumber daya melalui PowerShell, menggunakan skrip berikut.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Pengecualian layanan tepercaya

Jika Anda memilih pengecualian layanan tepercaya untuk akun ADLS Gen2 yang memiliki akses jaringan publik yang diaktifkan dari jaringan virtual dan alamat IP yang dipilih, ruang kerja Fabric dengan identitas ruang kerja akan dapat mengakses akun penyimpanan. Saat kotak centang pengecualian layanan tepercaya dipilih, ruang kerja apa pun di kapasitas Fabric penyewa Anda yang memiliki identitas ruang kerja dapat mengakses data yang disimpan di akun penyimpanan.

Konfigurasi ini tidak disarankan, dan dukungan mungkin dihentikan di masa mendatang. Kami menyarankan agar Anda menggunakan aturan instans sumber daya untuk memberikan akses ke sumber daya tertentu.

Siapa yang dapat mengonfigurasi akun Storage untuk akses layanan tepercaya?

Kontributor pada akun penyimpanan (peran Azure RBAC) dapat mengonfigurasi aturan instans sumber daya atau pengecualian layanan tepercaya.

Cara menggunakan akses ruang kerja tepercaya di Fabric

Saat ini ada tiga cara untuk menggunakan akses ruang kerja tepercaya untuk mengakses data Anda dari Fabric dengan cara yang aman:

• Anda dapat membuat pintasan ADLS baru di Fabric Lakehouse untuk mulai menganalisis data Anda dengan Spark, SQL, dan Power BI.

• Anda dapat membuat alur data yang memanfaatkan akses ruang kerja tepercaya untuk langsung mengakses akun ADLS Gen2 yang mendukung firewall.

• Anda dapat menggunakan pernyataan T-SQL Copy yang memanfaatkan akses ruang kerja tepercaya untuk menyerap data ke dalam gudang Fabric.

Bagian berikut menunjukkan kepada Anda cara menggunakan metode ini.

Membuat pintasan OneLake ke akun penyimpanan dengan akses ruang kerja tepercaya

Dengan identitas ruang kerja yang dikonfigurasi di Fabric, dan akses ruang kerja tepercaya diaktifkan di akun penyimpanan ADLS Gen2, Anda dapat membuat pintasan OneLake untuk mengakses data Anda dari Fabric. Anda hanya membuat pintasan ADLS baru di Fabric Lakehouse dan Anda dapat mulai menganalisis data Anda dengan Spark, SQL, dan Power BI.

Prasyarat

• Ruang kerja Fabric yang terkait dengan kapasitas Fabric. Lihat Identitas ruang kerja.
• Buat identitas ruang kerja yang terkait dengan ruang kerja Fabric.
• Akun pengguna atau perwakilan layanan yang digunakan untuk autentikasi di pintasan harus memiliki peran Azure RBAC di akun penyimpanan. Prinsipal harus memiliki peran Kontributor Data Blob Penyimpanan, Pemilik Data Blob Penyimpanan, atau Pembaca Data Blob Penyimpanan di cakupan akun penyimpanan, atau peran Delegator Data Blob Penyimpanan di cakupan akun penyimpanan bersama dengan akses di tingkat folder dalam kontainer. Akses di tingkat folder dapat disediakan melalui peran RBAC di tingkat kontainer atau melalui akses tingkat folder tertentu.
• Konfigurasikan aturan instans sumber daya untuk akun penyimpanan.

Langkah-langkah

1. Mulailah dengan membuat pintasan baru di Lakehouse.

   

   Wizard Pintasan baru terbuka.

2. Di bawah Sumber eksternal pilih Azure Data Lake Storage Gen2.

   

3. Berikan URL akun penyimpanan yang telah dikonfigurasi dengan akses ruang kerja tepercaya, dan pilih nama untuk koneksi. Untuk Jenis autentikasi, pilih Akun organisasi, atau Perwakilan Layanan.

   

   Setelah selesai, pilih Berikutnya.

4. Berikan nama pintasan dan sub jalur.

   

   Setelah selesai, pilih Buat.

5. Pintasan lakehouse dibuat, dan Anda harus dapat mempratinjau data penyimpanan di pintasan.

   

Menggunakan pintasan OneLake ke akun penyimpanan dengan akses ruang kerja tepercaya dalam item Fabric

Dengan OneCopy in Fabric, Anda dapat mengakses pintasan OneLake Anda dengan akses tepercaya dari semua beban kerja Fabric.

• Spark: Anda dapat menggunakan Spark untuk mengakses data dari pintasan OneLake Anda. Saat pintasan digunakan di Spark, pintasan tersebut muncul sebagai folder di OneLake. Anda hanya perlu mereferensikan nama folder untuk mengakses data. Anda bisa menggunakan pintasan OneLake ke akun penyimpanan dengan akses ruang kerja tepercaya di buku catatan Spark.

• Titik akhir analitik SQL: Pintasan yang dibuat di bagian "Tabel" lakehouse Anda juga tersedia di titik akhir analitik SQL. Anda dapat membuka titik akhir analitik SQL dan mengkueri data Anda seperti tabel lainnya.

• Alur: Alur data dapat mengakses pintasan terkelola ke akun penyimpanan dengan akses ruang kerja tepercaya. Alur data dapat digunakan untuk membaca dari atau menulis ke akun penyimpanan melalui pintasan OneLake.

• Aliran data v2: Aliran Data Gen2 dapat digunakan untuk mengakses pintasan terkelola ke akun penyimpanan dengan akses ruang kerja tepercaya. Aliran Data Gen2 dapat membaca dari atau menulis ke akun penyimpanan melalui pintasan OneLake.

• Model dan laporan semantik: Model semantik default yang terkait dengan titik akhir analitik SQL dari Lakehouse dapat membaca pintasan terkelola ke akun penyimpanan dengan akses ruang kerja tepercaya. Untuk melihat tabel terkelola dalam model semantik default, buka item titik akhir analitik SQL, pilih Pelaporan, dan pilih Perbarui model semantik secara otomatis.

  Anda juga dapat membuat model semantik baru yang mereferensikan pintasan tabel ke akun penyimpanan dengan akses ruang kerja tepercaya. Buka titik akhir analitik SQL, pilih Pelaporan dan pilih Model semantik baru.

  Anda dapat membuat laporan di atas model semantik default dan model semantik kustom.

• KQL Database: Anda juga dapat membuat pintasan OneLake ke ADLS Gen2 dalam database KQL. Langkah-langkah untuk membuat pintasan terkelola dengan akses ruang kerja tepercaya tetap sama.

Membuat alur data ke akun penyimpanan dengan akses ruang kerja tepercaya

Dengan identitas ruang kerja yang dikonfigurasi di Fabric dan akses tepercaya yang diaktifkan di akun penyimpanan ADLS Gen2, Anda dapat membuat alur data untuk mengakses data Anda dari Fabric. Anda dapat membuat alur data baru untuk menyalin data ke Fabric lakehouse lalu Anda dapat mulai menganalisis data Anda dengan Spark, SQL, dan Power BI.

Prasyarat

• Ruang kerja Fabric yang terkait dengan kapasitas Fabric. Lihat Identitas ruang kerja.
• Buat identitas ruang kerja yang terkait dengan ruang kerja Fabric.
• Akun pengguna atau perwakilan layanan yang digunakan untuk membuat koneksi harus memiliki peran Azure RBAC di akun penyimpanan. Prinsipal harus memiliki peran Kontributor Data Blob Penyimpanan, pemilik Data Blob Penyimpanan, atau Pembaca Data Blob Penyimpanan di cakupan akun penyimpanan.
• Konfigurasikan aturan instans sumber daya untuk akun penyimpanan.

Langkah-langkah

1. Mulailah dengan memilih Dapatkan Data di lakehouse.

2. Pilih Alur data baru. Berikan nama untuk alur lalu pilih Buat.

   

3. Pilih Azure Data Lake Gen2 sebagai sumber data.

   

4. Berikan URL akun penyimpanan yang telah dikonfigurasi dengan akses ruang kerja tepercaya, dan pilih nama untuk koneksi. Untuk Jenis autentikasi, pilih Akun organisasi atau Perwakilan Layanan.

   

   Setelah selesai, pilih Berikutnya.

5. Pilih file yang perlu Anda salin ke lakehouse.

   

   Setelah selesai, pilih Berikutnya.

6. Pada layar Tinjau + simpan, pilih Mulai transfer data segera. Setelah selesai, pilih Simpan + Jalankan.

   

7. Saat status alur berubah dari Antrean menjadi Berhasil, buka lakehouse dan verifikasi bahwa tabel data dibuat.

Gunakan pernyataan T-SQL COPY untuk menyerap data ke dalam gudang

Dengan identitas ruang kerja yang dikonfigurasi di Fabric dan akses tepercaya yang diaktifkan di akun penyimpanan ADLS Gen2 Anda, Anda dapat menggunakan pernyataan COPY T-SQL untuk menyerap data ke gudang Fabric Anda. Setelah data diserap ke dalam gudang, maka Anda dapat mulai menganalisis data Anda dengan SQL dan Power BI. Pengguna dengan peran Admin, Anggota, Kontributor, Ruang kerja Penampil, atau izin baca di gudang, dapat menggunakan akses tepercaya bersama dengan perintah T-SQL COPY.

Pembatasan dan Pertimbangan

• Akses ruang kerja tepercaya didukung untuk ruang kerja dalam kapasitas Fabric F SKU apa pun.
• Anda hanya dapat menggunakan akses ruang kerja tepercaya di pintasan OneLake, alur data, dan pernyataan T-SQL COPY. Untuk mengakses akun penyimpanan dengan aman dari Fabric Spark, lihat Titik akhir privat terkelola untuk Fabric.
• Jika ruang kerja dengan identitas ruang kerja dimigrasikan ke kapasitas non-Fabric, atau ke kapasitas SKU Fabric non-F, akses ruang kerja tepercaya akan berhenti berfungsi setelah satu jam.
• Pintasan yang sudah ada sebelumnya yang dibuat sebelum 10 Oktober 2023 tidak mendukung akses ruang kerja tepercaya.
• Koneksi untuk akses ruang kerja tepercaya tidak dapat dibuat atau dimodifikasi di Kelola koneksi dan gateway.
• Koneksi ke akun Penyimpanan berkemampuan firewall akan memiliki status Offline di Mengelola koneksi dan gateway.
• Jika Anda menggunakan kembali koneksi yang mendukung akses ruang kerja tepercaya di item Fabric selain pintasan dan alur, atau di ruang kerja lain, koneksi mungkin tidak berfungsi.
• Hanya akun organisasi, perwakilan layanan, dan identitas ruang kerja harus digunakan untuk otentikasi ke akun penyimpanan untuk mengakses ruang kerja yang tepercaya dalam pintasan dan pipeline.
• Alur tidak dapat menulis ke pintasan tabel OneLake pada akun penyimpanan dengan akses ruang kerja tepercaya. Ini adalah batasan sementara.
• Maksimal 200 aturan instans sumber daya dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Batas dan kuota langganan Azure - Azure Resource Manager.
• Akses ruang kerja tepercaya hanya berfungsi saat akses publik diaktifkan dari jaringan virtual dan alamat IP yang dipilih.
• Aturan instans sumber daya untuk ruang kerja Fabric harus dibuat melalui templat ARM. Aturan instans sumber daya yang dibuat melalui antarmuka pengguna portal Azure tidak didukung.
• Pintasan yang sudah ada sebelumnya di ruang kerja yang memenuhi prasyarat akan secara otomatis mulai mendukung akses layanan tepercaya.
• Jika organisasi Anda memiliki kebijakan akses Bersyarkat Entra untuk identitas beban kerja yang mencakup semua perwakilan layanan, akses ruang kerja tepercaya tidak akan berfungsi. Dalam kasus seperti itu, Anda perlu mengecualikan identitas ruang kerja Fabric tertentu dari kebijakan akses bersuhidan untuk identitas beban kerja.
• Akses ruang kerja tepercaya tidak didukung jika perwakilan layanan digunakan untuk membuat pintasan.
• Akses ruang kerja tepercaya tidak kompatibel dengan permintaan lintas penyewa.

Sampel templat ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Konten terkait

• Identitas ruang kerja
• Memberikan akses dari instans sumber daya Azure
• Akses tepercaya berdasarkan identitas terkelola