Fabric Veri Ambarı'nda hizmet ilkesi

Şunlar için geçerlidir: Microsoft Fabric'te✅ Ambarı

Azure hizmet sorumlusu (SPN), uygulamalar veya otomasyon araçları tarafından belirli Azure kaynaklarına erişmek için kullanılan bir güvenlik kimliğidir. Kullanıcı kimliklerinden farklı olarak, hizmet sorumluları tam izinler atanabilen etkileşimli olmayan, uygulama tabanlı kimliklerdir ve bu da otomatik işlemler veya arka plan hizmetleri için mükemmel olmalarını sağlar. Hizmet sorumlularını kullanarak veri kaynaklarınıza güvenli bir şekilde bağlanarak insan hatası ve kimlik tabanlı güvenlik açıklarının risklerini en aza indirebilirsiniz. Hizmet ilkeleri hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra ID'de uygulama ve hizmet ilkesi nesneleri.

Önkoşullar

1. Azurekullanarak hizmet temsilcisi oluşturun, roller atayın ve gizli anahtar oluşturun.

2. Kiracı yöneticisinin Hizmet sorumlularının Doku Yöneticisi portalında Doku API'lerini kullanabileceğinden emin olun.

3. Yönetici çalışma alanı rolüne sahip bir kullanıcının Çalışma Alanı'ndaki erişim yönetme aracılığıyla spn için erişim izni verediğinden emin olun.

   

SPN kullanarak REST API'ler aracılığıyla ambar oluşturma ve ambarlara erişme

Yönetici, üye veya katkıda bulunan çalışma alanı rolüne sahip kullanıcılar, Fabric REST API'leriaracılığıyla Ambar öğeleri oluşturmak, güncellemek, okumak ve silmek için hizmet sorumlularını kimlik doğrulaması için kullanabilir. Bu, kullanıcı kimlik bilgilerine bağlı kalmadan ambarları sağlama veya yönetme gibi yinelenen görevleri otomatikleştirmenizi sağlar.

Ambarı oluşturmak için bir temsilci hesabı veya sabit kimlik (sahip kimliği) kullanırsanız, ambar OneLake'e erişirken bu kimlik bilgilerini kullanır. Bu, sahibi kuruluştan ayrıldığında bir sorun oluşturur, çünkü ambar çalışmayı durdurur. Bundan kaçınmak için SPN kullanarak ambarlar oluşturun.

Fabric, güvenlik nedenleriyle geçerli bir belirtecin sağlandığını garanti etmek için kullanıcının her 30 günde bir oturum açmasını gerektirir. Veri ambarı için sahibinin Doku'da 30 günde bir oturum açması gerekir. Bu, Listesi API'sine sahip bir SPN kullanılarak otomatikleştirilebilir.

REST API'leri kullanılarak bir SPN tarafından oluşturulan depolar, Doku portalındaki Çalışma Alanı liste görünümünde, SPN olarak Sahip adıyla görüntülenecektir. Aşağıdaki görüntüde, Fabric portalındaki çalışma alanından bir ekran görüntüsünde "Fabric Public API test app", Contoso Pazarlama Ambarı'nı oluşturan SPN'dir.

Doku portalındaki çalışma alanı öğeleri listesinin ekran görüntüsü

SPN kullanarak istemci uygulamalarına bağlanma

SQL Server Management Studio (SSMS) 19 veya daha yeni sürümler gibi araçlarla hizmet ilkelerini kullanarak Fabric veri ambarlarına bağlanabilirsiniz.

• Kimlik Doğrulaması: Microsoft Entra Service Principal
• Kullanıcı adı: SPN'nin İstemci Kimliği (Önkoşul bölümünde Azure aracılığıyla oluşturulmuştur)
• Şifre: Gizli (Önkoşul bölümünde Azure aracılığıyla oluşturulmuştur)

Denetim düzlemi izinleri

SPN'lere, çalışma alanında erişim yönetme aracılığıyla çalışma alanı rolleri kullanılarak ambarlara erişim verilebilir. Ayrıca, ambarlar Doku portalı üzerinden Öğe İzinleriaracılığıyla bir SPN ile paylaşılabilir.

Veri düzlemi izinleri

Ambarlara çalışma alanı rolleri veya Öğe izinleri aracılığıyla bir SPN'ye denetim düzlemi izinleri verildikten sonra, yöneticiler GRANT gibi T-SQL komutlarını kullanarak hizmet sorumlularına belirli veri düzlemi izinleri atayabilir ve SPN'nin hangi meta verilere/verilere ve işlemlere erişimi olduğunu tam olarak denetleyebilir. Bunun en az ayrıcalık ilkesine uyması önerilir.

Mesela:

GRANT SELECT ON <table name> TO <service principal name>;

İzinler verildikten sonra SPN'ler SSMS gibi istemci uygulama araçlarına bağlanarak geliştiricilerin COPY INTO 'yi (güvenlik duvarı etkinleştirilmiş depolama ile ve olmadan) çalıştırması ve ayrıca Data Factory işlem hatlarıile bir zamanlamada herhangi bir T-SQL sorgusunu program aracılığıyla çalıştırması için güvenli erişim sağlayabilir.

Ekran

Bir SPN ambarda sorgu çalıştırdığında, sorguyu çalıştıran kullanıcıya veya SPN'ye görünürlük sağlayan çeşitli izleme araçları vardır. Sorgu etkinliği için kullanıcıyı aşağıdaki yollarla bulabilirsiniz:

• Dinamik yönetim görünümleri (DMV): login_namesys.dm_exec_sessions sütunu.
• Query Insights: login_name sütunu queryinsights.exec_requests_history görünümünde.
• Sorgu etkinliği: Fabric sorgu etkinliğindeki submitter sütunu.
• Kapasite ölçümleri uygulaması: SPN tarafından gerçekleştirilen ambar işlemleri için hesaplama kullanımı, Arka plan işlemlerinin açılır tablosundaki Kullanıcı sütununda İstemci Kimliği olarak görünür.

Daha fazla bilgi için, Monitor Fabric Veri Ambarıbölümüne bakın.

Devralma API'si

Ambarların sahipliği SPN'den kullanıcıya ve kullanıcıdan SPN'ye değiştirilebilir.

• SPN'den veya kullanıcıdan kullanıcıya devralma: Bkz. Doku Ambarı'nın sahipliğini değiştirme.

• SPN'den veya kullanıcıdan SPN'ye devralma: REST API'de POST çağrısı kullanın.

  POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
  

Sınırlama

Microsoft Fabric Veri Ambarı ile hizmet sorumlularının sınırlamaları:

• SPN tarafından oluşturulan ambarlar için varsayılan anlam modelleri desteklenmez ve sonuç olarak, tabloları veri kümesi görünümünde listeleme, varsayılan veri kümesinden rapor oluşturma gibi özellikler çalışmaz.
• SQL analiz uç noktaları için hizmet ilkesi şu anda desteklenmemektedir.
• Hizmet sorumlusu veya Entra ID kimlik bilgileri şu anda COPY INTO işlem hatası dosyaları için desteklenmemektedir.
• GIT API'leri içinhizmet sorumluları desteklenmez. SPN desteği yalnızcaDağıtım işlem hattı API'leri için mevcuttur.

İlgili içerik

• Öğeler - Depo Oluşturma - REST API (Depo)
• Data Factory'da Hizmet sorumlusu desteği