Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le regole dell'istanza delle risorse consentono agli amministratori dell'area di lavoro di limitare l'accesso alla rete pubblica a OneLake consentendo l'accesso in ingresso solo da istanze di risorse di Azure attendibili, ad esempio un'area di lavoro di Azure Databricks o un'istanza di Azure SQL Server. Il programma di installazione è semplice: richiede solo l'ID risorsa di Azure.
Le opzioni di protezione in ingresso esistenti, ad esempio le regole del firewall IP e i collegamenti privati, sono efficaci per la gestione dell'accesso in base al percorso di rete, ma possono richiedere una configurazione complessa quando il traffico proviene da servizi di Azure che usano indirizzi dinamici o condivisi in uscita.
Le regole dell'istanza di risorsa offrono un'alternativa più semplice: gli amministratori aggiungono una risorsa di Azure attendibile in base all'ID risorsa e Fabric verifica l'identità della risorsa in ogni richiesta in ingresso. Questo approccio funziona insieme alle funzionalità di protezione in ingresso di Fabric esistenti.
Questo articolo illustra come funzionano le regole dell'istanza di risorse per OneLake e quando usarle. Per altre informazioni sulle altre opzioni di protezione in ingresso, vedere Protezione della rete in ingresso in Microsoft Fabric.
Funzionamento delle regole dell'istanza di risorse
Quando le regole dell'istanza di risorsa sono abilitate in un'area di lavoro, OneLake consente l'accesso alla rete pubblica in ingresso solo dalle istanze di risorse di Azure aggiunte in modo esplicito dall'amministratore dell'area di lavoro. Le richieste in ingresso possono essere consentite anche quando provengono da endpoint privati dell'area di lavoro o da intervalli IP pubblici consentiti (se configurati).
Per esempio:
- L'area di lavoro A consente l'accesso solo da Azure Resource X.
- Una richiesta da Azure Resource Y viene negata perché non è presente nell'elenco approvato.
- Una richiesta da Azure Resource X è consentita perché corrisponde a un'istanza di risorsa approvata.
L'autorizzazione di un'istanza di risorsa tramite regole dell'istanza di risorse non concede a tale risorsa l'accesso a tutti i dati nell'area di lavoro. La risorsa deve comunque soddisfare i requisiti di autenticazione, autorizzazione e autorizzazione a livello di elemento applicabili per i dati di OneLake a cui tenta di accedere.
Quando usare le regole dell'istanza di risorsa
Le regole dell'istanza di risorse sono utili quando è necessario consentire l'accesso OneLake dai servizi ospitati in Azure. La configurazione richiede solo l'ID risorsa di Azure: non sono necessarie modifiche al rilevamento degli indirizzi IP o all'infrastruttura di rete.
Gli scenari comuni includono:
- Consentire l'accesso da istanze di risorse di Azure specifiche i cui indirizzi IP in uscita sono dinamici o condivisi.
- Limitazione dell'accesso in base all'identità di una risorsa di Azure attendibile anziché a un intervallo di rete.
- Combinazione di restrizioni di accesso basate sulle risorse con collegamenti privati dell'area di lavoro o regole del firewall IP per la protezione a più livelli.
Se è necessario consentire l'accesso utente da reti office, gateway VPN o intervalli IP pubblici partner, usare le regole del firewall IP dell'area di lavoro.
Configurare le regole dell'istanza di risorsa
È possibile gestire le regole di istanza delle risorse tramite la stessa esperienza di rete in ingresso dell'area di lavoro, usata per altre protezioni in ingresso a livello di area di lavoro, o tramite le API REST di Fabric. Il metodo di configurazione disponibile dipende dalle impostazioni di accesso in ingresso a livello di tenant.
Prerequisiti
Prima di configurare le regole dell'istanza di risorsa, verificare che siano soddisfatti i requisiti seguenti:
- Un amministratore di Fabric abilita l'impostazione del tenant che consente le protezioni di rete in ingresso a livello di area di lavoro.
- Si ha il ruolo di amministratore dell'area di lavoro per l'area di lavoro che si vuole proteggere.
- La risorsa di Azure che si vuole consentire deve essere un tipo di risorsa supportato e deve essere in grado di presentare un'identità delle risorse di Azure verificabile in Fabric.
Requisiti di accesso per la configurazione del portale e dell'API
La modalità di configurazione delle regole dell'istanza delle risorse dipende dalle impostazioni di rete in ingresso del tenant:
- Se l'accesso a Internet pubblico a livello di tenant a Fabric è abilitato, gli amministratori dell'area di lavoro possono configurare le regole dell'istanza delle risorse direttamente nel portale di Infrastruttura.
- Se il tenant richiede l'accesso tramite collegamento privato, è possibile aprire le impostazioni di rete dell'area di lavoro nel portale solo da una rete connessa tramite il collegamento privato del tenant.
- L'API REST rimane disponibile tramite l'endpoint e il percorso di rete supportati, che offre un'opzione di ripristino se l'accesso al portale non è disponibile.
Passare all'area di lavoro da proteggere e quindi selezionare Impostazioni >lavoroRete in ingresso.
Nelle impostazioni in ingresso dell'area di lavoro selezionare l'opzione che limita l'accesso alle reti selezionate e alle risorse approvate.
Aggiungere le istanze di risorse di Azure che devono essere autorizzate ad accedere a OneLake. Quando si aggiunge una risorsa, specificare l'ID risorsa completo di Azure Resource Manager (ARM) per l'istanza di quella risorsa Azure.
Esaminare i dettagli della risorsa selezionati e quindi salvare la configurazione.
Tipi di risorsa supportati
Solo le risorse di Azure che possono eseguire l'autenticazione usando un'identità di risorsa verificabile (identità gestita) e le attestazioni sono idonee per essere aggiunte come istanze di risorse attendibili. Dovrebbero funzionare i tipi di risorse di Azure seguenti:
| Servizio di Azure | Nome risorsa |
|---|---|
| Azure Databricks | Microsoft.Databricks/accessConnectors |
| Azure Data Factory | Microsoft.DataFactory/factories |
| Esplora dati di Azure | Microsoft.Kusto/clusters |
| Azure Machine Learning (Apprendimento Automatico di Azure) | Microsoft. MachineLearningServices/workspaces |
| Ricerca di intelligenza artificiale di Azure | Microsoft.Search/searchServices |
| Analisi di streaming di Azure | Microsoft. StreamAnalytics/streamingjobs |
| Griglia di eventi di Azure | Microsoft. EventGrid/systemTopics |
| API Azure per il settore sanitario | Microsoft.HealthcareApis/workspaces |
| Azure Purview | Microsoft.Purview/accounts |
| Condivisione dati di Azure | Microsoft.DataShare/accounts |
| deposito di Azure Backup | Microsoft. DataProtection/BackupVaults |
| Registro dispositivi di Azure | Microsoft.DeviceRegistry/schemaRegistries |
| Servizi cognitivi di Azure | Microsoft.CognitiveServices/accounts |
| App logiche di Azure | Microsoft.Logic/workflows |
| Azure Site Recovery (Ripristino del sito Azure) | Microsoft.RecoveryServices/vaults |
| Azure SQL Server | Microsoft.Sql/servers |
| Azure Managed HSM | Microsoft.KeyVault/managedHSMs |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Considerazioni
- Le regole dell'istanza di risorsa si applicano solo all'accesso in ingresso all'area di lavoro.
- Le regole dell'istanza di risorsa limitano le istanze di risorse che possono connettersi a OneLake, ma non espandono l'ambito dei dati a cui la risorsa è autorizzata ad accedere.
- Le istanze delle risorse devono essere registrate nello stesso tenant di Microsoft Entra dell'area di lavoro.
- È possibile configurare 25 regole dell'istanza di risorse per area di lavoro.
- Le regole dell'istanza di risorsa possono essere usate insieme alle regole del firewall IP dell'area di lavoro e del collegamento privato dell'area di lavoro.
- Se le regole non sono configurate correttamente, è possibile bloccare l'accesso all'area di lavoro. Usare la gestione basata su API come percorso di ripristino se l'accesso al portale non è disponibile.