Administrer indgående adgang til OneLake med Resource Instance Rules (forhåndsvisning)

Resource Instance Rules tillader arbejdsområdeadministratorer at begrænse offentlig netværksadgang til OneLake ved kun at tillade indgående adgang fra betroede Azure-ressourceinstanser, såsom et Azure Databricks-arbejdsområde eller en Azure SQL Server. Opsætningen er simpel — den kræver kun Azure resource ID.

Eksisterende indgående beskyttelsesmuligheder som IP-firewallregler og Private Links er effektive til at håndtere adgang baseret på netværksplacering, men de kan kræve kompleks opsætning, når trafikken stammer fra Azure-tjenester, der bruger dynamiske eller delte udgående adresser.

Resource Instance Rules tilbyder et enklere alternativ — administratorer tilføjer en betroet Azure-ressource via dens ressource-ID, og Fabric verificerer ressourceidentiteten på hver indgående anmodning. Denne tilgang fungerer sammen med eksisterende beskyttelsesfunktioner mod indgående tekstiler.

Denne artikel forklarer, hvordan Resource Instance Rules fungerer for OneLake, og hvornår de skal bruges. For at lære om andre indgående beskyttelsesmuligheder, se Indgående netværksbeskyttelse i Microsoft Fabric.

Note

Resource Instance Rules for OneLake er i øjeblikket i offentlig forhåndsvisning. Funktioner og adfærd kan ændre sig før den generelle tilgængelighed.

Hvordan ressourceinstansregler fungerer

Når Resource Instance Rules er aktiveret på et arbejdsområde, tillader OneLake kun indgående offentlig netværksadgang fra Azure-ressourceinstanser, der eksplicit er tilføjet af arbejdsområdets administrator. Indgående forespørgsler kan også være tilladt, når de stammer fra private arbejdsområders endepunkter eller fra tilladte offentlige IP-områder (hvis konfigureret).

Eksempel:

  • Workspace A tillader kun adgang fra Azure Resource X.
  • En anmodning fra Azure Resource Y afvises, fordi den ikke er på den godkendte liste.
  • En anmodning fra Azure Resource X er tilladt, fordi den matcher en godkendt ressourceinstans.

At tillade en ressourceinstans gennem Resource Instance Rules giver ikke den ressourceadgang til alle data i arbejdsområdet. Ressourcenen skal stadig opfylde de gældende krav til autentificering, autorisation og elementniveau for de OneLake-data, den forsøger at få adgang til.

Hvornår skal man bruge Resource Instance Rules

Resource Instance Rules er nyttige, når du skal tillade OneLake adgang fra Azure-hostede tjenester. Konfiguration kræver kun Azure-ressource-ID — ingen IP-adressesporing eller ændringer i netværksinfrastrukturen er nødvendige.

Almindelige scenarier omfatter:

  • Tillader adgang fra specifikke Azure-ressourceinstanser, hvis udgående IP-adresser er dynamiske eller delte.
  • Begrænsning af adgangen baseret på identiteten af en betroet Azure-ressource i stedet for et netværksområde.
  • Kombinerer ressourcebaserede adgangsbegrænsninger med private arbejdsområder eller IP-firewallregler for lagdelt beskyttelse.

Hvis du har brug for at tillade brugeradgang fra kontornetværk, VPN-gateways eller partnerens offentlige IP-områder, brug arbejdsområdets IP-firewallregler.

Konfigurer ressourceinstansregler

Du kan administrere Resource Instance Rules gennem den samme arbejdsområdes indgående netværksoplevelse, som du bruger til andre arbejdsområde-niveau indgående beskyttelser, eller ved at bruge Fabric REST API'erne. Den tilgængelige konfigurationsmetode afhænger af dine lejerniveau-indstillinger for indgående adgang.

Forudsætninger

Før du konfigurerer Resource Instance Rules, skal du sikre dig, at følgende krav er opfyldt:

  • En Fabric-administrator aktiverer lejeindstillingen, der tillader beskyttelse på arbejdsområde-niveau af indgående netværk.
  • Du har admin-rollen for det arbejdsområde, du vil beskytte.
  • Den Azure-ressource, du vil tillade, skal være en understøttet ressourcetype og kunne præsentere en verificerbar Azure-ressourceidentitet for Fabric.

Adgangskrav til portal- og API-konfiguration

Hvordan du konfigurerer Resource Instance Rules afhænger af din lejers indstillinger for indgående netværk:

  • Hvis lejerniveau offentlig internetadgang til Fabric er aktiveret, kan workspace-administratorer konfigurere Resource Instance Rules direkte i Fabric-portalen.
  • Hvis din lejer kræver adgang via Private Link, kan du kun åbne arbejdsområdenetværksindstillinger i portalen fra et netværk, der er forbundet via tenant Private Link.
  • REST API'en forbliver tilgængelig via det understøttede endepunkt og netværkssti, hvilket giver dig en gendannelsesmulighed, hvis portaladgang ikke er tilgængelig.

  1. Gå til det arbejdsområde, du vil beskytte, og vælg derefter Arbejdsområdeindstillinger>Indgående netværk.

    Skærmbillede, der viser arbejdsområdets indstilling for indgående netværk for udvalgte netværk og private links.

  2. I indstillingerne for arbejdsområdet for indgående adgang skal du vælge den mulighed, der begrænser adgangen til udvalgte netværk og godkendte ressourcer.

    Skærmbillede, der viser arbejdsområdets indstilling for indgående netværk for udvalgte ressourcer.

  3. Tilføj de Azure-ressourceinstanser, der burde have adgang til OneLake. Når du tilføjer en ressource, skal du angive det fulde Azure Resource Manager (ARM) resource ID for den Azure resource instance.

    Skærmbillede, der viser det første skridt med at tilføje Azure-ressourceinstanser til listen over indgående adgang.

  4. Gennemgå de valgte ressourcedetaljer, og gem derefter konfigurationen.

    Skærmbillede, der viser andet trin med at tilføje Azure-ressourceinstanser og gemme konfigurationen for indgående adgang.

Understøttede ressourcetyper

Kun Azure-ressourcer, der kan autentificeres ved hjælp af en verificerbar ressourceidentitet (managed identity) og krav, er berettigede til at blive tilføjet som betroede ressourceinstanser. Følgende Azure-ressourcetyper forventes at virke:

Azure-tjeneste Ressourcenavn
Azure Databricks Microsoft.Databricks/accessConnectors
Azure Data Factory Microsoft.DataFactory/fabrikker
Azure Data Explorer Microsoft.Kusto/clusters
Azure Machine Learning Microsoft.MachineLearningServices/arbejdsområder
Azure AI Search Microsoft.Search/searchServices
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs
Azure Event Grid Microsoft.EventGrid/systemTopics
Azure Healthcare APIs Microsoft.HealthcareApis/arbejdsområder
Azure Purview Microsoft.Ansvarsområde/konti
Azure Data Share Microsoft.DataShare/konti
Azure Backup Vault Microsoft.DataProtection/BackupVaults
Azure Device Registry Microsoft.DeviceRegistry/schemaRegistries
Azure Cognitive Services Microsoft.CognitiveServices/accounts
Azure Logic Apps Microsoft.Logic/arbejdsprocesser
Azure Site Recovery Microsoft.RecoveryServices/vaults
Azure SQL Server Microsoft.Sql/servere
Azure Managed HSM Microsoft.KeyVault/managedHSMs
Azure Migrate Microsoft.Migrate/migrateprojects

Overvejelser

  • Resource Instance Rules gælder kun for indgående adgang til arbejdsområdet.
  • Resource Instance Rules begrænser, hvilke ressourceinstanser der kan forbinde til OneLake, men de udvider ikke det dataomfang, som ressourcen har tilladelse til at tilgå.
  • Ressourceinstanser skal være registreret inden for samme Microsoft Entra-lejer som arbejdsområdet.
  • Du kan konfigurere 25 Resource Instance Rules pr. arbejdsområde.
  • Resource Instance Rules kan bruges sammen med arbejdsområdes Private Link og arbejdsområdes IP firewall-regler.
  • Hvis du konfigurerer reglerne forkert, kan du blokere adgangen til arbejdsområdet. Brug API-baseret administration som en genoprettelsesvej, hvis portaladgang ikke er tilgængelig.

Relateret indhold

  • Last updated on