Acesso confiável ao espaço de trabalho

O Fabric permite que você acesse contas do Azure Data Lake Storage (ADLS) Gen2 habilitadas para firewall de maneira segura. Os workspaces do Fabric que possuem uma identidade própria de workspace podem acessar com segurança as contas do ADLS Gen2 com o acesso à rede pública habilitado para redes virtuais selecionadas e endereços IP ou com o acesso à rede pública desabilitado. Você pode limitar o acesso do ADLS Gen 2 a espaços de trabalho específicos do Fabric.

Os espaços de trabalho do Fabric que acessam uma conta de armazenamento com acesso confiável ao espaço de trabalho precisam de autorização adequada para a solicitação. A autorização é compatível com credenciais do Microsoft Entra para contas organizacionais ou entidades de serviço. Para saber mais sobre regras de instância de recurso, consulte Conceder acesso de instâncias de recursos do Azure.

Para limitar e proteger o acesso a contas de armazenamento habilitadas para firewall de determinados workspaces do Fabric, você pode configurar regras de instância de recurso para permitir o acesso a workspaces específicos do Fabric.

Este artigo mostra como:

• Configure o acesso confiável ao espaço de trabalho em uma conta de armazenamento do ADLS Gen2.

• Crie um atalho OneLake em um Fabric Lakehouse que se conecta a uma conta de armazenamento ADLS Gen2 habilitada para acesso ao espaço de trabalho confiável.

• Crie um pipeline para se conectar diretamente a uma conta do ADLS Gen2 com firewall habilitado e com acesso confiável ao espaço de trabalho ativado.

• Use a instrução T-SQL COPY para ingerir dados em seu Warehouse de uma conta do ADLS Gen2 habilitada para firewall que tenha acesso de workspace confiável habilitado.

• Crie um modelo semântico no modo de importação para se conectar a uma conta do ADLS Gen2 habilitada para firewall que tenha acesso de workspace confiável habilitado.

• Carregue dados com o AzCopy de uma conta de Armazenamento do Azure habilitada para firewall no OneLake.

Configurar o acesso confiável ao espaço de trabalho no ADLS Gen2

Prerequisites

• Um espaço de trabalho do Fabric associado a uma capacidade do Fabric.
• Crie uma identidade de espaço de trabalho associada ao espaço de trabalho do Fabric. Consulte Identidade do espaço de trabalho. Verifique se a identidade do workspace tem acesso como Colaborador ao workspace acessando Gerenciar Acesso (ao lado de Configurações do Workspace) e adicionando a identidade do workspace à lista como colaborador.
• O principal usado para autenticação no atalho deve ter funções do Azure RBAC na conta de armazenamento. O principal deve ter uma função de Colaborador de Dados do Blob de Armazenamento, Proprietário de Dados do Blob de Armazenamento ou Leitor de Dados do Blob de Armazenamento no escopo da conta de armazenamento, ou uma função de Delegador do Blob de Armazenamento no escopo da conta de armazenamento, juntamente com acesso no nível da pasta dentro do contêiner. O acesso no nível da pasta pode ser fornecido por meio de uma função RBAC no nível do contêiner ou por meio de acesso específico no nível da pasta.
• Configure uma regra de instância de recurso para a conta de armazenamento.

Regra de instância de recurso por meio do modelo do ARM

Você pode configurar espaços de trabalho específicos do Fabric para acessar sua conta de armazenamento com base nas respectivas identidades de espaço de trabalho. Você pode criar uma regra de instância de recurso implantando um modelo do ARM com uma regra de instância de recurso. Para criar uma regra de instância de recurso:

1. Inicie uma sessão no portal do Azure e acesse Implantação personalizada.

2. Escolha Criar seu modelo no editor. Para obter um modelo do ARM de exemplo que cria uma regra de instância de recurso, consulte Exemplo de modelo do ARM.

3. Crie a regra de instância de recurso no editor. Quando terminar, escolha Revisar + Criar.

4. Na guia Noções básicas exibida, especifique os detalhes necessários do projeto e da instância. Quando terminar, escolha Revisar + Criar.

5. Na guia Revisar + Criar, revise o resumo e, em seguida, selecione Criar. A regra é enviada para implantação.

6. Quando a implantação for concluída, você poderá acessar o recurso.

Aqui está um exemplo de uma regra de instância de recurso que pode ser criada por meio do modelo do ARM. Para obter um exemplo completo, consulte Exemplo de modelo do ARM.

"resourceAccessRules": [

       { "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",

          "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
       }
]

Regra de instância de recurso via script do PowerShell

Você pode criar uma regra de instância de recurso por meio do PowerShell usando o script a seguir.

$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Exceção de serviço confiável

Se você selecionar a exceção de serviço confiável para uma conta do ADLS Gen2 que tenha acesso à rede pública habilitado em redes virtuais selecionadas e endereços IP, os workspaces do Fabric com uma identidade de workspace poderão acessar a conta de armazenamento. Quando a caixa de seleção de exceção de serviço confiável estiver marcada, qualquer espaço de trabalho nas capacidades do Fabric do seu locatário que tenha uma identidade de espaço de trabalho poderá acessar dados armazenados na conta de armazenamento.

Essa configuração não é recomendada e o suporte pode ser descontinuado no futuro. A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso.

Quem pode configurar contas de armazenamento para acesso confiável a serviços?

Um Colaborador na conta de armazenamento (uma função RBAC do Azure) pode configurar regras de instância de recurso ou exceção de serviço confiável.

Como usar o acesso confiável ao espaço de trabalho no Fabric

Há várias maneiras de usar o acesso confiável ao workspace para acessar seus dados do Fabric de maneira segura:

• Você pode criar um novo atalho do ADLS em um Lakehouse do Fabric para começar a analisar seus dados com Spark, SQL e Power BI.

• Você pode criar um pipeline que usa acesso confiável ao workspace para acessar diretamente uma conta do ADLS Gen2 com capacidade de firewall ativada.

• Você pode usar uma instrução T-SQL Copy que aproveita o acesso confiável ao espaço de trabalho para ingerir dados em um warehouse do Fabric.

• Você pode usar um modelo semântico (modo de importação) para aproveitar o acesso confiável ao workspace e criar modelos e relatórios nos dados.

• Você pode usar o AzCopy para carregar dados de uma conta de Armazenamento do Azure habilitada para firewall para o OneLake.

As seções a seguir mostram como usar esses métodos.

Criar um atalho do OneLake para a conta de armazenamento com acesso confiável ao espaço de trabalho

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável ao espaço de trabalho habilitado em sua conta de armazenamento do ADLS Gen2, você pode criar atalhos do OneLake para acessar seus dados do Fabric. Basta criar um novo atalho do ADLS em um Lakehouse do Fabric e começar a analisar seus dados com o Spark, o SQL e o Power BI.

Steps

1. Comece criando um novo atalho em um Lakehouse.

   

   O assistente Novo atalho é aberto.

2. Em Fontes externas, selecione Azure Data Lake Storage Gen2.

   

3. Forneça a URL da conta de armazenamento que foi configurada com acesso confiável ao espaço de trabalho e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta institucional ou Principal de Serviço.

   

   Quando terminar, escolha Avançar.

4. Forneça o nome do atalho e o subcaminho.

   

   Ao terminar, selecione Criar.

5. O atalho do lakehouse foi criado e você deve conseguir visualizar os dados de armazenamento no atalho.

   

Use o atalho do OneLake para uma conta de armazenamento com acesso confiável ao espaço de trabalho em itens do Fabric

Com o OneCopy no Fabric, você pode acessar seus atalhos do OneLake com acesso confiável a partir de todas as cargas de trabalho do Fabric.

• Spark: você pode usar o Spark para acessar dados de seus atalhos do OneLake. Quando os atalhos são usados no Spark, eles aparecem como pastas no OneLake. Você só precisa fazer referência ao nome da pasta para acessar os dados. Você pode usar o atalho do OneLake para contas de armazenamento com acesso confiável ao espaço de trabalho em notebooks do Spark.

• Ponto de extremidade de análises de dados do SQL: os atalhos criados na seção "Tabelas" do seu lakehouse também estão disponíveis no ponto de extremidade de análises de dados do SQL. Você pode abrir o endpoint de análise em SQL e consultar seus dados da mesma forma que qualquer outra tabela.

• Pipelines: Pipelines podem acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. Os pipelines podem ser utilizados para ler ou gravar em contas de armazenamento por meio de atalhos do OneLake.

• Dataflows v2: o Dataflows Gen2 pode ser usado para acessar atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. O Dataflows Gen2 pode ler ou gravar em contas de armazenamento por meio de atalhos do OneLake.

• Modelos semânticos e relatórios: o modelo semântico padrão associado ao ponto de extremidade de análise SQL de um Lakehouse pode ler atalhos gerenciados para contas de armazenamento com acesso confiável ao espaço de trabalho. Para ver as tabelas gerenciadas no modelo semântico padrão, vá para o item de ponto de extremidade de análise SQL, selecione Relatórios e escolha Atualizar modelo semântico automaticamente.

  Você também pode criar novos modelos semânticos que fazem referência a atalhos de tabela para contas de armazenamento com acesso confiável ao espaço de trabalho. Vá para o ponto de extremidade de análise do SQL, selecione Relatórios e escolha Novo modelo semântico.

  Você pode criar relatórios sobre os modelos semânticos padrão e modelos semânticos personalizados.

• Banco de dados KQL: você também pode criar atalhos do OneLake para o ADLS Gen2 em um banco de dados KQL. As etapas para criar o atalho gerenciado com acesso confiável ao espaço de trabalho permanecem as mesmas.

Criar um pipeline para uma conta de armazenamento com acesso seguro ao espaço de trabalho

Com a identidade do workspace configurada no Fabric e o acesso confiável habilitado em sua conta de armazenamento do ADLS Gen2, você pode criar pipelines para acessar seus dados no Fabric. Você pode criar um novo pipeline para copiar dados em um Lakehouse do Fabric e, em seguida, pode começar a analisar seus dados com Spark, SQL e Power BI.

Prerequisites

• Um espaço de trabalho do Fabric associado a uma capacidade do Fabric. Consulte Identidade do espaço de trabalho.
• Crie uma identidade de espaço de trabalho associada ao espaço de trabalho do Fabric.
• O principal usado para autenticação no pipeline deve ter funções RBAC do Azure na conta de armazenamento. O principal deve ter uma função de Colaborador de Dados do Blob de Armazenamento, Proprietário de Dados do Blob de Armazenamento ou Leitor de Dados do Blob de Armazenamento no escopo da conta de armazenamento.
• Configure uma regra de instância de recurso para a conta de armazenamento.

Steps

1. Comece selecionando Obter dados em um lakehouse.

2. Selecione Novo canal. Forneça um nome para o pipeline e selecione Criar.

   

3. Escolha Azure Data Lake Gen 2 como a fonte de dados.

   

4. Forneça a URL da conta de armazenamento que foi configurada com acesso confiável ao espaço de trabalho e escolha um nome para a conexão. Em Tipo de autenticação, escolha Conta institucional ou Principal de Serviço.

   

   Quando terminar, escolha Avançar.

5. Selecione o arquivo que precisa copiar para o lakehouse.

   

   Quando terminar, escolha Avançar.

6. Na tela Revisar + Salvar, selecione Iniciar transferência de dados imediatamente. Ao terminar, escolha Salvar + Executar.

   

7. Quando o status do pipeline mudar de Queued para Bem Sucedido, vá para o lakehouse e verifique se as tabelas de dados foram criadas.

Usar a instrução T-SQL COPY para ingerir dados em um warehouse

Com a identidade do espaço de trabalho configurada no Fabric e o acesso confiável habilitado na sua conta de armazenamento do ADLS Gen2, você pode usar a instrução T-SQL COPY para ingerir dados no warehouse do Fabric. Depois que os dados forem ingeridos no warehouse, você poderá começar a analisar seus dados com o SQL e o Power BI. Os usuários com funções de administrador, membro, colaborador ou visualizador do espaço de trabalho, ou com permissões de leitura no warehouse, podem usar o acesso confiável junto com o comando T-SQL COPY.

Criar um modelo semântico com acesso confiável ao workspace

Modelos semânticos no modo de importação dão suporte ao acesso confiável a contas de armazenamento. Você pode usar esse recurso para criar modelos e relatórios para dados em contas de armazenamento do ADLS Gen2 habilitadas para firewall.

Prerequisites

• Um espaço de trabalho do Fabric associado a uma capacidade do Fabric. Consulte Identidade do espaço de trabalho.
• Crie uma identidade de espaço de trabalho associada ao espaço de trabalho do Fabric.
• Uma conexão com a conta de armazenamento do ADLS Gen2. O principal usado para autenticação na conexão vinculada ao modelo semântico deve ter funções do Azure RBAC na conta de armazenamento. O principal deve ter uma função de Colaborador de Dados do Blob de Armazenamento, Proprietário de Dados do Blob de Armazenamento ou Leitor de Dados do Blob de Armazenamento no escopo da conta de armazenamento.
• Configure uma regra de instância de recurso para a conta de armazenamento.

Steps

1. Crie o modelo semântico no Power BI Desktop que se conecta à conta de armazenamento do ADLS Gen2 usando as etapas listadas em Analisar dados no Azure Data Lake Storage Gen2 usando o Power BI. Você pode usar uma conta organizacional para se conectar ao Azure Data Lake Storage Gen2 na Área de Trabalho.
2. Importe o modelo para o espaço de trabalho configurado com a identidade do espaço de trabalho.
3. Navegue até as configurações do modelo e expanda a seção Gateway e conexões de nuvem.
4. Em conexões de nuvem, selecione uma conexão de dados para a conta de armazenamento do ADLS Gen2 (essa conexão pode ter a identidade do workspace, a entidade de serviço e a conta organizacional como o método de autenticação)
5. Selecione Aplicar e atualize o modelo para finalizar a configuração.

Carregar dados usando o AzCopy e o acesso confiável ao workspace

Com o acesso confiável ao workspace configurado, os trabalhos de cópia do AzCopy podem acessar dados armazenados em uma conta de Armazenamento do Azure habilitada para firewall, permitindo que você carregue dados com desempenho do Armazenamento do Azure para o OneLake.

Prerequisites

• Um espaço de trabalho do Fabric associado a uma capacidade do Fabric. Consulte Identidade do espaço de trabalho.
• Instale o AzCopy e entre com a entidade de segurança usada para autenticação. Consulte Introdução ao AzCopy.
• Crie uma identidade de espaço de trabalho associada ao espaço de trabalho do Fabric.
• O principal usado para autenticação no atalho deve ter funções do Azure RBAC na conta de armazenamento. O principal deve ter uma função de Colaborador de Dados do Blob de Armazenamento, Proprietário de Dados do Blob de Armazenamento ou Leitor de Dados do Blob de Armazenamento no escopo da conta de armazenamento, ou uma função de Delegador do Blob de Armazenamento no escopo da conta de armazenamento, juntamente com acesso no nível da pasta dentro do contêiner. O acesso no nível da pasta pode ser fornecido por meio de uma função RBAC no nível do contêiner ou por meio de acesso específico no nível da pasta.
• Configure uma regra de instância de recurso para a conta de armazenamento.

Steps

1. Faça logon no AzCopy com a entidade de segurança que tem acesso à conta de Armazenamento do Azure e ao item fabric. Selecione a assinatura que contém sua conta de Armazenamento do Azure habilitada para firewall.

azcopy login

2. Crie seu comando do AzCopy. Você precisa da origem da cópia, do destino e de pelo menos um parâmetro.
   • caminho de origem: um arquivo ou diretório em sua conta de Armazenamento do Azure habilitada para firewall.
   • destino-caminho: a zona de destino no OneLake para seus dados. Por exemplo, a pasta /Files em um lakehouse.
   • --trusted-microsoft-sufiixes: deve incluir "fabric.microsoft.com".

azcopy copy "https://<source-account-name>.blob.core.windows.net/<source-container>/<source-path>" "https://onelake.dfs.fabric.microsoft.com/<destination-workspace>/<destination-path>" --trusted-microsoft-suffixes "fabric.microsoft.com"

3. Execute o comando de cópia. O AzCopy usa a identidade com a qual você fez logon para acessar o OneLake e o Armazenamento do Azure. A operação de cópia é síncrona, portanto, quando o comando retorna, todos os arquivos são copiados. Para obter mais informações sobre como usar o AzCopy com o OneLake, consulte AzCopy.

Restrições e considerações

Cenários e limitações com suporte

• O acesso confiável ao espaço de trabalho é suportado para espaços de trabalho em qualquer capacidade de SKU do Fabric F.
• Você só pode usar o acesso de workspace confiável em atalhos do OneLake, pipelines, modelos semânticos, na instrução T-SQL COPY e no AzCopy. Para acessar com segurança as contas de armazenamento do Fabric Spark, confira Pontos de extremidade privados gerenciados para Fabric.
• Os pipelines não podem gravar em atalhos de tabela do OneLake em contas de armazenamento com acesso confiável ao espaço de trabalho. Essa limitação é temporária.
• Se você reutilizar conexões que oferecem suporte ao acesso confiável ao espaço de trabalho em itens do Fabric que não sejam atalhos, pipelines e modelos semânticos, ou em outros espaços de trabalho, elas poderão não funcionar.
• O acesso confiável ao espaço de trabalho não é compatível com solicitações entre locatários.

Métodos de autenticação e gerenciamento de conexões

• Conexões para acesso confiável ao workspace podem ser criadas em Gerenciar conexões e gateways; no entanto, a identidade do workspace é o único método de autenticação com suporte. A conexão de teste falhará se os métodos de autenticação da conta organizacional ou da entidade de serviço forem usados.
• Somente os métodos de autenticação de conta organizacional, entidade de serviço e identidade do espaço de trabalho podem ser usados ​​para autenticação em contas de armazenamento para acesso confiável ao espaço de trabalho em atalhos, pipelines e atalhos.
• Se quiser usar contas de entidade de serviço ou organizacionais como método de autenticação em conexões com uma conta de armazenamento habilitada para firewall, você pode usar experiências de criação de atalho ou pipeline, ou a experiência de relatórios rápidos do Power BI para criar a conexão. Posteriormente, você pode associar essa conexão a modelos semânticos e outros atalhos e pipelines.
• Se um modelo semântico usar conexões de nuvem pessoais, você só poderá usar a identidade do workspace como o método de autenticação para acesso confiável ao armazenamento. Recomendamos substituir conexões de nuvem pessoais por conexões de nuvem compartilhadas.
• As conexões com contas de Armazenamento habilitadas para firewall têm o status offline em Gerenciar conexões e gateways.

Atalhos de migração e preexistentes

• Se um espaço de trabalho com uma identidade de espaço de trabalho for migrado para uma capacidade não-Fabric ou para uma capacidade não-F SKU Fabric, o acesso confiável ao espaço de trabalho deixará de funcionar após uma hora.
• Os atalhos pré-existentes criados antes de 10 de outubro de 2023 não dão suporte ao acesso confiável ao workspace.
• Os atalhos preexistentes em um espaço de trabalho que atende aos pré-requisitos começarão automaticamente a oferecer suporte ao acesso seguro a serviços confiáveis.

Segurança, Rede e Configuração de Recursos

• O acesso ao workspace confiável só funciona quando o acesso público está habilitado em redes virtuais selecionadas e endereços IP ou quando o acesso público é desabilitado.
• As regras de instância de recurso para espaços de trabalho do Fabric devem ser criadas por meio de modelos do ARM. Não há suporte a regras de instância de recurso criadas por meio da interface do usuário do Portal do Azure.
• Um máximo de 200 regras de instância de recurso podem ser configuradas. Para obter mais informações, consulte Azure subscription limits and quotas - Azure Resource Manager.
• Se sua organização tiver uma política de acesso condicional do Microsoft Entra para identidades de carga de trabalho que incluam todas as entidades de serviço, o acesso confiável ao workspace não funcionará. Nesses casos, você precisa excluir identidades específicas do workspace do Fabric da política de acesso condicional para identidades de carga de trabalho.

Amostra de modelo do ARM

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Storage/storageAccounts",
            "apiVersion": "2023-01-01",
            "name": "<storage account name>",
            "id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
            "location": "<region>",
            "kind": "StorageV2",
            "properties": {
                "networkAcls": {
                    "resourceAccessRules": [
                        {
                            "tenantId": "<tenantid>",
                            "resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
                        }]
                }
            }
        }
    ]
}

Conteúdo relacionado

• Identidade do workspace
• Permitir acesso a partir de instâncias de recursos do Azure
• Acesso confiável com base em uma identidade gerenciada