Verwalten des eingehenden Zugriffs auf OneLake mit Ressourceninstanzregeln

Mithilfe von Ressourceninstanzregeln können Arbeitsbereichsadministratoren den Zugriff auf OneLake einschränken, indem eingehender Zugriff nur von vertrauenswürdigen Azure-Ressourceninstanzen wie einem Azure Databricks-Arbeitsbereich oder einem Azure SQL Server zugelassen wird. Setup ist einfach – es erfordert nur die Azure-Ressourcen-ID.

Vorhandene Optionen für eingehenden Schutz wie IP-Firewallregeln und private Links sind effektiv für die Verwaltung des Zugriffs basierend auf dem Netzwerkspeicherort, aber sie können komplexe Einrichtung erfordern, wenn Datenverkehr von Azure-Diensten stammt, die dynamische oder freigegebene ausgehende Adressen verwenden.

Ressourceninstanzregeln bieten eine einfachere Alternative – Administratoren fügen eine vertrauenswürdige Azure-Ressource anhand ihrer Ressourcen-ID hinzu, und Fabric überprüft die Ressourcenidentität für jede eingehende Anforderung. Dieser Ansatz funktioniert zusammen mit den vorhandenen Eingangs-Schutzfunktionen von Fabric.

In diesem Artikel wird erläutert, wie Ressourceninstanzregeln für OneLake funktionieren und wann man sie verwenden sollte. Weitere Informationen zu anderen Optionen für eingehenden Schutz finden Sie unter "Eingehender Netzwerkschutz" in Microsoft Fabric.

Funktionsweise von Ressourceninstanzregeln

Wenn Ressourceninstanzregeln für einen Arbeitsbereich aktiviert sind, ermöglicht OneLake eingehenden öffentlichen Netzwerkzugriff nur von Azure-Ressourceninstanzen, die explizit vom Arbeitsbereichadministrator hinzugefügt werden. Eingehende Anforderungen können auch zulässig sein, wenn sie von privaten Endpunkten des Arbeitsbereichs oder aus zulässigen öffentlichen IP-Bereichen stammen (sofern konfiguriert).

Beispiel:

Arbeitsbereich A ermöglicht nur den Zugriff von Azure Resource X.
Eine Anforderung von Azure Resource Y wird verweigert, da sie nicht in der genehmigten Liste enthalten ist.
Eine Anforderung von Azure Resource X ist zulässig, da sie einer genehmigten Ressourceninstanz entspricht.

Das Zulassen einer Ressourceninstanz über Ressourceninstanzregeln gewährt dieser Ressource keinen Zugriff auf alle Daten im Arbeitsbereich. Die Ressource muss weiterhin die entsprechenden Authentifizierungs-, Autorisierungs- und Berechtigungsanforderungen auf Elementebene für die OneLake-Daten erfüllen, auf die sie zugreifen möchte.

Wann Ressourceninstanzregeln verwendet werden sollen

Ressourceninstanzregeln sind nützlich, wenn Sie OneLake-Zugriff von von Azure gehosteten Diensten zulassen müssen. Die Konfiguration erfordert nur die Azure-Ressourcen-ID – keine IP-Adressnachverfolgung oder Netzwerkinfrastrukturänderungen erforderlich.

Zu den häufigen Szenarios gehören:

Zulassen des Zugriffs von bestimmten Azure-Ressourceninstanzen, deren ausgehende IP-Adressen dynamisch oder freigegeben sind.
Einschränken des Zugriffs basierend auf der Identität einer vertrauenswürdigen Azure-Ressource anstelle eines Netzwerkbereichs.
Kombinieren von ressourcenbasierten Zugriffsbeschränkungen mit privaten Arbeitsbereichslinks oder IP-Firewallregeln für mehrschichtigen Schutz.

Wenn Sie den Benutzerzugriff über Office-Netzwerke, VPN-Gateways oder öffentliche IP-Bereiche des Partners zulassen müssen, verwenden Sie Die Firewallregeln für Arbeitsbereiche.

Konfigurieren von Ressourceninstanzregeln

Sie können Regeln für Ressourceninstanzen durch dieselbe Arbeitsbereichsnetzwerkerfahrung verwalten, die Sie für andere Schutzfunktionen auf Arbeitsbereichsebene verwenden, oder mittels der Fabric-REST-APIs. Die verfügbare Konfigurationsmethode hängt von den Einstellungen für den eingehenden Zugriff auf Mandantenebene ab.

Voraussetzungen

Bevor Sie Ressourceninstanzregeln konfigurieren, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:

Ein Fabric-Administrator aktiviert die Mandanteneinstellung, die Netzwerk-Schutzmaßnahmen auf der Ebene von Arbeitsbereichen ermöglicht.
Sie verfügen über die Arbeitsbereichsadministratorrolle für den Arbeitsbereich, den Sie schützen möchten.
Die Azure-Ressource, die Sie zulassen möchten, muss ein unterstützter Ressourcentyp sein und muss in der Lage sein, eine überprüfbare Azure-Ressourcenidentität in Fabric darzustellen.

Zugriffsanforderungen für die Portal- und API-Konfiguration

Wie Sie die Regeln für Ressourceninstanzen konfigurieren, hängt von den eingehenden Netzwerk-Einstellungen Ihres Mandanten ab.

Wenn der zugriff auf Fabric auf Mandantenebene aktiviert ist, können Arbeitsbereichsadministratoren Ressourceninstanzregeln direkt im Fabric-Portal konfigurieren.
Wenn Ihr Mandant Zugriff über Private Link erfordert, können Sie die Netzwerkeinstellungen des Arbeitsbereichs im Portal nur von einem Netzwerk aus öffnen, das über den tenant Private Link verbunden ist.
Die REST-API bleibt über den unterstützten Endpunkt und Netzwerkpfad verfügbar, wodurch Sie eine Wiederherstellungsoption erhalten, wenn der Portalzugriff nicht verfügbar ist.

Fabric Portal
API

Wechseln Sie zum Arbeitsbereich, den Sie schützen möchten, und wählen Sie dann " Arbeitsbereichseinstellungen>eingehende Netzwerke" aus.
Wählen Sie im Arbeitsbereich eingehende Einstellungen die Option aus, mit der der Zugriff auf ausgewählte Netzwerke und genehmigte Ressourcen eingeschränkt wird.
Fügen Sie die Azure-Ressourceninstanzen hinzu, die für den Zugriff auf OneLake zulässig sein sollten. Wenn Sie eine Ressource hinzufügen, geben Sie die vollständige Azure Resource Manager (ARM)-Ressourcen-ID für diese Azure-Ressourceninstanz an.
Überprüfen Sie die ausgewählten Ressourcendetails, und speichern Sie dann die Konfiguration.

Sie können Ressourceninstanzregeln programmgesteuert mithilfe der Fabric-REST-API abrufen und konfigurieren.

Rufen Sie mithilfe des öffentlichen Fabric-API-Endpunkts (api.fabric.microsoft.com) die API zum Abrufen von Ressourceninstanzregeln auf, um konfigurierte Ressourceninstanzregeln für einen Arbeitsbereich abzurufen.

Anforderung:
```
GET https://api.fabric.microsoft.com/v1/workspaces/<workspace-id>/networking/communicationpolicy/inbound/azureresources
```

Rufen Sie die API "Ressourceninstanzregeln festlegen " auf, um Ressourceninstanzregeln für einen Arbeitsbereich zu konfigurieren.

Anforderung:

PUT https://api.fabric.microsoft.com/v1/workspaces/<workspace-id>/networking/communicationpolicy/inbound/azureresources

Anforderungstext:

{
  "rules": [
    {
      "displayName": "Name you choose to identify this resource"
 	 "resourceId": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/<resource-provider>/<resource-name>"
    }
  ]
}

Rufen Sie die Arbeitsbereiche auf– Legen Sie die Netzwerkkommunikationsrichtlinien-API fest, um die Regel für den öffentlichen Zugriff des Arbeitsbereichs festzulegen.

Anforderung:
```
PUT https://api.fabric.microsoft.com/v1/workspaces/<workspace-id>/networking/communicationPolicy
```
Anforderungstext:
```
{
  "inbound": {
    "publicAccessRules": {
      "defaultAction": "Deny"
    }
  }
}
```

Unterstützte Ressourcentypen

Nur Azure-Ressourcen, die sich mit einer überprüfbaren Ressourcenidentität (verwaltete Identität) authentifizieren können, und Ansprüche sind berechtigt, als vertrauenswürdige Ressourceninstanzen hinzugefügt zu werden. Die folgenden Azure-Ressourcentypen werden voraussichtlich funktionieren:

Azure-Dienst	Ressourcenname
Azure Databricks	Microsoft.Databricks/accessConnectors
Azure Data Factory	Microsoft.DataFactory/factories
Azure-Daten-Explorer	Microsoft.Kusto/Clusters
Azure Machine Learning	Microsoft.MachineLearningServices/Workspaces
Azure KI-Suche	Microsoft.Search/searchServices
Azure Stream Analytics	Microsoft. StreamAnalytics/streamingjobs
Azure-Ereignisraster	Microsoft. EventGrid/systemTopics
Azure-APIs für das Gesundheitswesen	Microsoft.HealthcareApis/workspaces
Azure Purview	Microsoft.Purview/accounts
Azure Data Share	Microsoft.DataShare/accounts
Azure Backup Vault	Microsoft.DataProtection/BackupVaults
Azure-Geräteregister	Microsoft.DeviceRegistry/schemaRegistries
Azure Cognitive Services (Intelligenzdienste von Azure)	Microsoft.CognitiveServices/accounts
Azure Logic Apps	Microsoft.Logic/workflows
Azure-Website-Wiederherstellung	Microsoft.RecoveryServices/vaults
Azure SQL Server	Microsoft.Sql/servers
Verwaltetes Azure-HSM	Microsoft.KeyVault/verwaltete HSMs
Azure Migrate	Microsoft.Migrate/migrateprojects

Überlegungen

Ressourceninstanzregeln gelten nur für eingehenden Zugriff auf den Arbeitsbereich.
Ressourceninstanzregeln beschränken, welche Ressourceninstanzen eine Verbindung mit OneLake herstellen können, aber sie erweitern nicht den Datenbereich, auf den die Ressource für den Zugriff autorisiert ist.
Ressourceninstanzen müssen innerhalb desselben Microsoft Entra-Mandanten wie der Arbeitsbereich registriert werden.
Sie können 25 Ressourceninstanzregeln pro Arbeitsbereich konfigurieren.
Ressourceninstanzregeln können in Verbindung mit dem Private Link des Arbeitsbereichs und den IP-Firewallregeln des Arbeitsbereichs verwendet werden.
Wenn Sie die Regeln falsch konfigurieren, können Sie den Zugriff auf den Arbeitsbereich blockieren. Verwenden Sie die API-basierte Verwaltung als Wiederherstellungspfad, wenn der Portalzugriff nicht verfügbar ist.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23