Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La protezione dell'accesso in uscita per l'area di lavoro aiuta a salvaguardare i dati controllando le connessioni in uscita degli elementi di Data Factory verso origini dati esterne. Quando questa funzionalità è abilitata, gli elementi di Data Factory sono limitati a stabilire connessioni in uscita, a meno che l'accesso non venga concesso in modo esplicito tramite le regole di connessione dati approvate.
Informazioni sulla protezione dell'accesso in uscita con Data Factory
L'amministratore dell'area di lavoro abilita innanzitutto la protezione dell'accesso in uscita per l'area di lavoro, che blocca tutte le connessioni in uscita dai flussi di dati per impostazione predefinita.
Successivamente, l'amministratore dell'area di lavoro configura le regole di connessione dati per i criteri di connessione cloud o gateway. Queste regole specificano quali origini esterne sono consentite, ad esempio SQL Server e Azure Data Lake Storage (ADLS) Gen2 Storage. Una volta impostati i criteri, i flussi di dati possono connettersi solo alle destinazioni approvate (in questo esempio, SQL Server e archiviazione ADLS Gen2), mentre tutte le altre connessioni in uscita rimangono bloccate.
Configurazione della protezione dell'accesso in uscita per Data Factory
È possibile creare un elenco consenti solo usando le regole di connessione dati; gli endpoint privati gestiti non sono supportati per i carichi di lavoro di Data Factory. Per configurare la protezione dell'accesso in uscita per Data Factory:
Seguire la procedura per abilitare la protezione dell'accesso in uscita.
Dopo aver abilitato la protezione dell'accesso in uscita, è possibile configurare le regole di connessione dati per i criteri di connessione cloud o gateway per consentire l'accesso in uscita ad altre aree di lavoro o risorse esterne in base alle esigenze.
Dopo la configurazione, gli elementi di Data Factory possono connettersi solo alle destinazioni approvate specificate nelle regole di connessione dati, mentre tutte le altre connessioni in uscita rimangono bloccate.
Tipi di elementi di Data Factory supportati
I tipi di elementi di Data Factory seguenti sono supportati con protezione per l'accesso in uscita:
- Dataflow Gen2 (con CI/CD)
- Pipelines
- Copia lavori
La sezione successiva illustra in che modo la protezione dell'accesso in uscita influisce su diversi scenari comuni di Data Factory.
Scenari comuni
La protezione dell'accesso in uscita dell'area di lavoro influisce sul modo in cui gli elementi di Data Factory si connettono ad altre aree di lavoro e a origini dati esterne. Questa sezione descrive gli scenari comuni che illustrano come la protezione dell'accesso in uscita influisce su queste connessioni.
Connettori Fabric interni
Le tabelle seguenti riepilogano il modo in cui la protezione dell'accesso in uscita dell'area di lavoro viene applicata ai connettori Fabric con e senza granularità a livello di area di lavoro.
Connettori di tessuto con granularità a livello di area di lavoro
Tipi di connettore di Fabric che supportano la granularità a livello di area di lavoro includono lakehouse, warehouse, SQL database di Fabric, flusso di dati, notebook e definizione job Spark. Per questi connettori Fabric, è possibile specificare quali aree di lavoro di destinazione sono consentite per ogni connettore.
| Area di lavoro di origine | Area di lavoro di destinazione | Tipo di connettore | Impostazione connettore | Result |
|---|---|---|---|---|
| A | A | Lakehouse | Consentito/Bloccato | La connessione a A è consentita perché si trova nella stessa area di lavoro |
| A | B | Lakehouse | Connettore consentito | La connessione è consentita a B e a tutti gli altri lakehouse all'interno del tenant |
| A | B | Lakehouse | Connettore bloccato (è consentita solo la area di lavoro B) | La connessione è consentita solo alle lakehouse nell'area di lavoro B |
| A | B | Lakehouse | Connettore bloccato (solo area di lavoro C) | La connessione all'area di lavoro B è bloccata |
Connettori fabric senza granularità a livello di area di lavoro
I connettori di Fabric che non supportano la granularità a livello di area di lavoro includono tutti i connettori Fabric tranne i tipi descritti nella sezione precedente, ad esempio Datamarts e KQL Database. Per questi connettori, l'elenco consenti si applica a tutti i tipi di elementi e consente o blocca tutte le connessioni senza eccezioni specifiche dell'area di lavoro.
| Area di lavoro di origine | Area di lavoro di destinazione | Tipo di connettore | Impostazione connettore (consentita/bloccata) | Result |
|---|---|---|---|---|
| A | Qualsiasi (incluso A) | Datamart | Consentito | La pipeline di dati può connettersi al datamart |
| A | Qualunque | Datamart | Bloccati | La pipeline di dati non può connettersi ad alcun datamart |
Origini dati esterne
Le tabelle seguenti illustrano il modo in cui la protezione dell'accesso in uscita dell'area di lavoro viene applicata ai connettori esterni che supportano eccezioni granulari degli endpoint. Configurando le eccezioni, gli amministratori possono consentire o bloccare destinazioni esterne specifiche.
Connettore esterno con un'eccezione granulare per gli endpoint
Per i connettori esterni che supportano la granularità a livello di endpoint, ad esempio l'archiviazione ADLS Gen2, è possibile specificare singoli endpoint di destinazione come eccezioni alle restrizioni di accesso in uscita.
| Area di lavoro Dataflow | Destinazione | Tipo di connettore | Impostazione connettore | Result |
|---|---|---|---|---|
| A | SQL Server 1 | SQL Server | Bloccato a livello di connettore | La connessione viene bloccata a SQL Server 1 |
| A | SQL Server 1 | SQL Server | Bloccato a livello di connettore con eccezione per SQL Server 1 | La connessione è consentita a SQL Server 1 |
| A | SQL Server 1 | SQL Server | Consentito a livello di connettore | La connessione è consentita a tutte le istanze di SQL Server |
Connettività dell'origine dati esterna tramite un'eccezione granulare degli endpoint
Per i connettori esterni che supportano eccezioni endpoint granulari per Azure Cosmos DB, è possibile consentire o bloccare le connessioni alle Azure Cosmos DB destinazioni.
| Area di lavoro Dataflow | destinazione Azure Cosmos DB | Tipo di connettore | Impostazione connettore (consentita/bloccata) | Result |
|---|---|---|---|---|
| A | Qualunque | Azure Cosmos DB | Consentito | Il flusso di dati può connettersi a qualsiasi Azure Cosmos DB |
| A | Qualunque | Azure Cosmos DB | Bloccati | Il flusso di dati non può connettersi ad alcun Azure Cosmos DB |
Gateway e connessioni di rete
La tabella seguente riepiloga il modo in cui la protezione dell'accesso in uscita dell'area di lavoro si applica alle connessioni gateway dati locali e di rete virtuale.
Connessioni di rete virtuale e gateway in loco per i dati
Quando si consente un gateway, i flussi di dati possono connettersi a qualsiasi origine dati accessibile tramite tale gateway. Tutte le connessioni in uscita effettuate tramite il gateway consentito sono consentite.
| Area di lavoro Dataflow | Tipo di connessione | Tipo di destinazione | Impostazione di connessione (consentita/bloccata) | Result |
|---|---|---|---|---|
| A | VNet/OPDG | Qualunque | Consentito | Il flusso di dati si connette a tutte le reti virtuali (VNet) e ai gateway dati locali (OPDG) |
| A | VNet/OPDG | Qualunque | Bloccato (nessuna eccezione) | Il flusso di dati non può connettersi a nessuna rete virtuale o OPDG |
| A | VNet/OPDG | VNet V1 | Bloccato; solo VNet V1 è un'eccezione | Il flusso di dati si connette solo alle origini dietro la rete virtuale V1 |
| A | VNet/OPDG | OPDG O1 | Bloccato; solo OPDG O1 è un'eccezione | Il flusso di dati si connette solo alle origini dietro OPDG O1 |
Considerazioni e limitazioni
Solo i connettori Fabric seguenti supportano la granularità a livello di area di lavoro:
- Lakehouse
- Magazzino
- Database SQL di Fabric
- Dataflows
- Notebook
- Definizione di lavoro Spark
Annotazioni
Altri connettori Fabric come Datamarts e Database KQL non supportano la granularità a livello di area di lavoro.
Pipelines: la pipeline supporta solo i seguenti connettori Fabric.
- FabricDataPipeline
- CopiaLavoro
- UserDataFunction
- PowerBIDataset
- Notebook
- Definizione di lavoro Spark
Attività Pipeline: L'attività di Teams e l'attività di Outlook di Office 365 non supportano la protezione dell'accesso in uscita.
Dataflows: per i flussi di dati, le destinazioni Data Warehouse tra aree di lavoro non sono supportate.
Lakehouses con modelli semantici predefiniti: la protezione dell'accesso in uscita dell'area di lavoro non è supportata per i lakehouse con modelli semantici predefiniti.
- Per garantire che Lakehouse sia compatibile con la protezione dell'accesso in uscita, è consigliabile abilitare la protezione dell'accesso in uscita nell'area di lavoro prima di creare un Lakehouse per garantire la compatibilità.
- L'abilitazione della protezione dell'accesso in uscita in un'area di lavoro esistente che già contiene un Lakehouse (e il modello semantico associato) non è supportata.
Gestione temporanea dell'area di lavoro nelle pipeline: gli scenari di staging interni che usano la gestione temporanea dell'area di lavoro non funzionano. Usare invece un ambiente di staging esterno. Le impostazioni di staging sono configurabili nelle impostazioni di copia della pipeline.
Per altre limitazioni, vedere Panni preliminari sulla protezione dell'accesso in uscita diWorkspace - Microsoft Fabric.