Objekt služby v Sklade údajov služby Fabric
Vzťahuje sa na:✅ Warehouse v službe Microsoft Fabric
Objekt služby Azure (SPN) je identita zabezpečenia, ktorú používajú aplikácie alebo nástroje automatizácie na prístup ku konkrétnym prostriedkom služby Azure. Na rozdiel od identít používateľov sú objekty služby neinteraktívne identity založené na aplikácii, ktorým možno priradiť presné povolenia, vďaka čomu sú ideálne pre automatizované procesy alebo služby na pozadí. Pomocou objektov služby sa môžete bezpečne pripojiť k zdrojom údajov a zároveň minimalizovať riziká ľudskej chyby a zraniteľnosti založenej na identite. Ďalšie informácie o objektoch služby nájdete objektoch aplikácie a objektu služby v ID služby Microsoft Entra.
Predpoklady
Vytvoriť objekt služby, priradiť roly a vytvoriť tajný kód pomocou služby Azure.
Uistite sa, že správca nájomníka môže povoliť môžu objekty služby používať rozhrania API služby Fabric na portáli na správu služby Fabric.
Uistite sa, že používateľ s rolou správcu môže udeliť prístup pre hlavný názov služby prostredníctvom Spravovať prístup v pracovnom priestore.
Vytvorenie a prístup k skladom prostredníctvom rozhraní REST API pomocou hlavného názvu služby
Používatelia s rolou správcu, člena alebo prispievateľa pracovného priestoru môžu používať objekty služby na overovanie, a to na vytváranie, aktualizáciu, čítanie a odstraňovanie položiek v sklade prostredníctvom služby Fabric rozhraní REST API. To vám umožňuje automatizovať opakujúce sa úlohy, ako je zriaďovanie alebo správa skladov, bez toho, aby ste sa spoliehali na prihlasovacie údaje používateľa.
Ak na vytvorenie skladu používate delegované konto alebo pevnú identitu (identitu vlastníka), sklad použije toto prihlasovacie údaje pri prístupe k službe OneLake. Po odchode vlastníka z organizácie sa tým vytvorí problém, pretože sklad prestane fungovať. Ak sa tomu chcete vyhnúť, vytvorte sklady pomocou hlavného názvu služby.
Fabric tiež vyžaduje, aby sa používateľ každých 30 dní prihlásil, aby sa zabezpečilo, že z bezpečnostných dôvodov bude poskytnutý platný token. V prípade skladu údajov sa vlastník musí každých 30 dní prihlásiť do služby Fabric. Možno to automatizovať pomocou hlavného názvu služby s Zoznam rozhrania API.
Sklady vytvorené spN pomocou rozhraní REST API sa zobrazia v zobrazení zoznamu pracovných priestorov na portáli služby Fabric s názvom Vlastník ako hlavný názov služby. Na nasledujúcom obrázku je snímka obrazovky z pracovného priestoru na portáli služby Fabric s názvom "Verejná testovacia aplikácia rozhrania API služby Fabric" hlavný názov služby, ktorý vytvoril marketingový sklad Contoso.
Pripojenie ku klientskym aplikáciám pomocou hlavného názvu služby
K skladom služby Fabric sa môžete pripojiť pomocou objektov služby s nástrojmi, ako je napríklad SQL Server Management Studio (SSMS) 19 alebo vyššia verzia.
- overovania: Objekt služby Microsoft Entra
- meno používateľa: ID klienta hlavného názvu služby (vytvorené prostredníctvom služby Azure v časti Predpoklad).
- heslo: tajný kľúč (vytvorený prostredníctvom služby Azure v časti Predpoklad)
Ovládanie povolenia lietadla
Hlavné názvy služby možno udeliť prístup do skladov pomocou rolí pracovného priestoru, prostredníctvom Spravovať prístup v pracovnom priestore. Okrem toho môžu byť sklady zdieľané so spn prostredníctvom portálu služby Fabric prostredníctvom povolení položky.
Povolenia pre lietadlo údajov
Keď sú sklady k hlavnému názvu služby udelené povolenia na riadenie hlavného názvu služby prostredníctvom rolí pracovného priestoru alebo povolení položky, správcovia môžu pomocou príkazov T-SQL, ako sú GRANT, priradiť konkrétne povolenia pre rovinu údajov objektom služby a presne určiť, ku ktorým metaúdajom/údajom a operáciám má hlavný názov služby prístup. Odporúča sa postupovať podľa princípu najmenej oprávnení.
Napríklad:
GRANT SELECT ON <table name> TO <service principal name>;
Po udelení povolení sa hlavné názvy služby môžu pripojiť k nástrojom klientskych aplikácií, ako je napríklad SSMS, čím vývojárom poskytuje zabezpečený prístup na spúšťanie funkcie KOPÍROVAŤ DO (s úložiskom s bránou firewall a bez neho) a tiež spúšťať akýkoľvek dotaz T-SQL programovo podľa plánu s kanálmi služby Data Factory.
Monitor
Keď hlavný názov služby spustí dotazy v sklade, k dispozícii sú rôzne nástroje na monitorovanie, ktoré používateľovi alebo hlavnému názvu služby umožňujú vidieť, ako daný dotaz spustil. Používateľa pre aktivitu dotazu môžete nájsť nasledujúcimi spôsobmi:
-
zobrazenia dynamickej správy (DMV):
login_namestĺpca vsys.dm_exec_sessions. -
Prehľady dotazov: v
login_namezobrazeníqueryinsights.exec_requests_historystĺpec. -
aktivita dotazu:
submitterstĺpec v aktivite dotazu služby Fabric. - aplikácia Metrika kapacity: Výpočtové použitie pre operácie so skladom vykonané spN sa zobrazí ako ID klienta v stĺpci User v tabuľke podrobnej analýzy operácií na pozadí.
Ďalšie informácie nájdete služby Monitor Fabric Data warehouse.
Rozhranie API prevzatia kontroly
Vlastníctvo skladov sa môže zmeniť z hlavného názvu služby na používateľa a z používateľa na hlavný názov služby.
Prevzatie kontroly od hlavného názvu služby (SPN) alebo používateľa na používateľa: pozrite si Zmena vlastníctva služby Fabric Warehouse.
Prevzatie kontroly od hlavného názvu služby alebo používateľa k hlavnému názvu služby: použite volanie POST v rozhraní REST API.
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
Obmedzenia
Obmedzenia objektov služby v sklade údajov služby Microsoft Fabric:
- Predvolené sémantické modely nie sú podporované pre sklady vytvorené spN, v dôsledku čoho funkcie, ako napríklad zoznam tabuliek v zobrazení množiny údajov, vytváranie zostavy z predvolenej množiny údajov nebudú fungovať.
- Objekt služby pre koncové body analýzy SQL nie je momentálne podporovaný.
- Prihlasovacie údaje objektu služby alebo ENTRA ID nie sú momentálne podporované pre súbory s chybami KOPÍROVAŤ DO.
- Objekty služby nie sú podporované pre rozhraní API GIT. Podpora hlavného názvu služby existuje len pre rozhrania API kanálov nasadenia .