신뢰할 수 있는 작업 영역 액세스
Fabric을 사용하면 방화벽 지원 ADLS(Azure Data Lake Storage) Gen2 계정에 안전한 방식으로 액세스할 수 있습니다. 작업 영역 ID가 있는 Fabric 작업 영역은 선택한 가상 네트워크 및 IP 주소에서 공용 네트워크 액세스를 사용하는 ADLS Gen2 계정에 안전하게 액세스할 수 있습니다. ADLS Gen2 액세스를 특정 Fabric 작업 영역으로 제한할 수 있습니다.
신뢰할 수 있는 작업 영역 액세스로 스토리지 계정에 액세스하는 Fabric 작업 영역에는 요청에 대한 적절한 권한 부여가 필요합니다. 권한 부여는 조직 계정 또는 서비스 주체에 대한 Microsoft Entra 자격 증명으로 지원됩니다. 리소스 인스턴스 규칙에 대한 자세한 내용은 Azure 리소스 인스턴스에서 액세스 권한 부여를 참조하세요.
특정 Fabric 작업 영역에서 방화벽 기반 스토리지 계정에 대한 액세스를 제한하고 보호하려면 특정 Fabric 작업 영역에서의 액세스를 허용하도록 리소스 인스턴스 규칙을 설정할 수 있습니다.
참고 항목
신뢰할 수 있는 작업 영역 액세스는 일반 공급에서 지원되지만, F SKU 용량에서만 사용할 수 있습니다. Fabric 구독 구입에 대한 자세한 내용은 Microsoft Fabric 구독 구입을 참조하세요. 신뢰할 수 있는 작업 영역 액세스는 평가판 용량에서 지원되지 않습니다.
이 문서는 다음을 수행하는 방법을 보여줍니다.
ADLS Gen2 스토리지 계정에서 신뢰할 수 있는 작업 영역 액세스를 구성합니다.
신뢰할 수 있는 작업 영역 액세스 기반 ADLS Gen2 스토리지 계정에 연결하는 Fabric 레이크하우스에서 OneLake 바로 가기를 만듭니다.
신뢰할 수 있는 작업 영역 액세스를 사용하는 방화벽 기반 ADLS Gen2 계정에 직접 연결하도록 데이터 파이프라인을 만듭니다.
T-SQL COPY 문을 사용하여 신뢰할 수 있는 작업 영역 액세스를 사용하는 방화벽 기반 ADLS Gen2 계정에서 웨어하우스로 데이터를 수집합니다.
ADLS Gen2에서 신뢰할 수 있는 작업 영역 액세스 구성
ARM 템플릿을 통한 리소스 인스턴스 규칙
해당 작업 영역 ID에 따라 스토리지 계정에 액세스하도록 특정 Fabric 작업 영역을 구성할 수 있습니다. 리소스 인스턴스 규칙을 사용하여 ARM 템플릿을 배포함으로써 리소스 인스턴스 규칙을 만들 수 있습니다. 리소스 인스턴스 규칙을 만들려면 다음을 수행합니다.
Azure Portal에 로그인하고, 사용자 지정 배포로 이동합니다.
편집기에서 사용자 고유의 템플릿 빌드를 선택합니다. 리소스 인스턴스 규칙을 만드는 샘플 ARM 템플릿은 ARM 템플릿 샘플을 참조하세요.
편집기에서 리소스 인스턴스 규칙을 만듭니다. 완료되면 검토 + 만들기를 선택합니다.
표시되는 기본 사항 탭에서 필요한 프로젝트 및 인스턴스 세부 정보를 지정합니다. 완료되면 검토 + 만들기를 선택합니다.
표시되는 검토 + 만들기 탭에서 요약을 검토한 다음, 만들기를 선택합니다. 배포를 위해 규칙이 제출됩니다.
배포가 완료되면 리소스로 이동할 수 있습니다.
참고 항목
- 패브릭 작업 영역에 대한 리소스 인스턴스 규칙은 ARM 템플릿 또는 PowerShell을 통해서만 만들 수 있습니다. Azure Portal을 통한 만들기는 지원되지 않습니다.
- Fabric 작업 영역 resourceId에 대해 subscriptionId "00000000-0000-0000-0000-000000000000"을 사용해야 합니다.
- 주소 표시줄 URL을 통해 Fabric 작업 영역의 작업 영역 ID를 가져올 수 있습니다.
다음은 ARM 템플릿을 통해 만들 수 있는 리소스 인스턴스 규칙의 예입니다. 전체 예제는 ARM 템플릿 샘플을 참조하세요.
"resourceAccessRules": [
{ "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}
]
PowerShell 스크립트를 통한 리소스 인스턴스 규칙
다음 스크립트를 사용하여 PowerShell을 통해 리소스 인스턴스 규칙을 만들 수 있습니다.
$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId
신뢰할 수 있는 서비스 예외
선택한 가상 네트워크 및 IP 주소에서 공용 네트워크 액세스를 사용하는 ADLS Gen2 계정에 대해 신뢰할 수 있는 서비스 예외를 선택하면 작업 영역 ID가 있는 Fabric 작업 영역에서 스토리지 계정에 액세스할 수 있습니다. 신뢰할 수 있는 서비스 예외 확인란을 선택하면 작업 영역 ID를 보유한 테넌트의 Fabric 용량에 있는 모든 작업 영역이 스토리지 계정에 저장된 데이터에 액세스할 수 있습니다.
이 구성은 권장되지 않으며 나중에 지원이 중단될 수 있습니다. 리소스 인스턴스 규칙을 사용하여 특정 리소스에 액세스 권한을 부여하는 것이 좋습니다.
신뢰할 수 있는 서비스 액세스를 위해 스토리지 계정을 구성할 수 있는 사람은 누구인가요?
스토리지 계정의 기여자(Azure RBAC 역할)는 리소스 인스턴스 규칙 또는 신뢰할 수 있는 서비스 예외를 구성할 수 있습니다.
Fabric에서 신뢰할 수 있는 작업 영역 액세스를 사용하는 방법
현재 신뢰할 수 있는 작업 영역 액세스를 사용하여 안전한 방식으로 Fabric에서 데이터에 액세스하는 세 가지 방법이 있습니다.
Fabric 레이크하우스에서 새 ADLS 바로 가기를 만들어 Spark, SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.
신뢰할 수 있는 작업 영역 액세스를 활용하여 방화벽 기반 ADLS Gen2 계정에 직접 액세스하는 데이터 파이프라인을 만들 수 있습니다.
신뢰할 수 있는 작업 영역 액세스를 활용하여 Fabric 웨어하우스로 데이터를 수집하는 T-SQL Copy 문을 사용할 수 있습니다.
다음 섹션에서는 이러한 설정을 추가하는 방법을 보여줍니다.
신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 OneLake 바로 가기 만들기
Fabric에 구성된 작업 영역 ID와 ADLS Gen2 스토리지 계정에서 사용하는 신뢰할 수 있는 작업 영역 액세스를 통해 OneLake 바로 가기를 만들어 Fabric에서 데이터에 액세스할 수 있습니다. Fabric 레이크하우스에서 새 ADLS 바로 가기를 만들면 Spark, SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.
필수 조건
- Fabric 용량과 연결된 Fabric 작업 영역. 작업 영역 ID를 참조하세요.
- Fabric 작업 영역과 연결된 작업 영역 ID를 만듭니다.
- 바로 가기의 인증에 사용되는 사용자 계정 또는 서비스 주체에는 스토리지 계정에 Azure RBAC 역할이 있어야 합니다. 보안 주체는 스토리지 계정 범위에서 Storage Blob 데이터 소유자, Storage Blob 데이터 기여자, 또는 Storage Blob 데이터 판독기 역할을 가져야 하며, 컨테이너 내 폴더 수준에서 액세스가 부여된 스토리지 계정 범위의 Storage Blob 위임자 역할도 가능합니다. 폴더 수준의 액세스는 컨테이너 수준에서 RBAC 역할을 통해 또는 특정 폴더 수준 액세스를 통해 제공할 수 있습니다.
- 스토리지 계정에 대한 리소스 인스턴스 규칙을 구성합니다.
참고 항목
- 필수 조건을 충족하는 작업 영역의 기존 바로 가기가 신뢰할 수 있는 서비스 액세스를 자동으로 지원하기 시작합니다.
- 스토리지 계정에 대해 DFS URL ID를 사용해야 합니다. 예를 들어 다음과 같습니다:
https://StorageAccountName.dfs.core.windows.net
단계
먼저 레이크하우스에서 새 바로 가기를 만듭니다.
새 바로 가기 마법사가 열립니다.
외부 원본에서 Azure Data Lake Storage Gen2를 선택합니다.
신뢰할 수 있는 작업 영역 액세스로 구성된 스토리지 계정의 URL을 제공하고 연결 이름을 선택합니다. 인증 종류의 경우 조직 계정 또는 서비스 주체를 선택합니다.
완료되면 다음을 선택합니다.
바로 가기 이름 및 하위 경로를 제공합니다.
완료되면 만들기를 선택합니다.
Lakehouse 바로 가기가 만들어지고 바로 가기에서 스토리지 데이터를 미리 볼 수 있어야 합니다.
Fabric 항목에서 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대해 OneLake 바로 가기 사용
Fabric의 OneCopy를 사용하면 모든 Fabric 워크로드에서 신뢰할 수 있는 액세스 권한으로 OneLake 바로 가기에 액세스할 수 있습니다.
Spark: Spark를 사용하여 OneLake 바로 가기에서 데이터에 액세스할 수 있습니다. Spark에서 바로 가기를 사용하면 OneLake에서 폴더로 표시됩니다. 데이터에 액세스하려면 폴더 이름을 참조하기만 하면 됩니다. Spark Notebook에서 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대해 OneLake 바로 가기를 사용할 수 있습니다.
SQL 분석 엔드포인트: 레이크하우스의 "테이블" 섹션에서 만든 바로 가기는 SQL 분석 엔드포인트에서도 사용할 수 있습니다. SQL 분석 엔드포인트를 열고 다른 테이블과 마찬가지로 데이터를 쿼리할 수 있습니다.
파이프라인: 데이터 파이프라인은 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대해 관리형 바로 가기에 액세스할 수 있습니다. 데이터 파이프라인은 OneLake 바로 가기를 통해 스토리지 계정에서 읽거나 스토리지 계정에 쓰는 데 사용할 수 있습니다.
데이터 흐름 v2: 데이터 흐름 Gen2를 사용하여 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 관리형 바로 가기에 액세스할 수 있습니다. 데이터 흐름 Gen2는 OneLake 바로 가기를 통해 스토리지 계정에서 읽거나 쓸 수 있습니다.
의미 체계 모델 및 보고서: 레이크하우스의 SQL 분석 엔드포인트와 연결된 기본 의미 체계 모델은 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 관리형 바로 가기를 읽을 수 있습니다. 기본 의미 체계 모델에서 관리형 테이블을 보려면 SQL 분석 엔드포인트 항목으로 이동하여 보고를 선택하고 의미 체계 모델 자동 업데이트를 선택합니다.
신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 테이블 바로 가기를 참조하는 새 의미 체계 모델을 만들 수도 있습니다. SQL 분석 엔드포인트로 이동하여 보고를 선택하고 새 의미 체계 모델을 선택합니다.
기본 의미 체계 모델 및 사용자 지정 의미 체계 모델을 기반으로 보고서를 만들 수 있습니다.
KQL 데이터베이스: KQL 데이터베이스에서 ADLS Gen2에 대한 OneLake 바로 가기를 만들 수도 있습니다. 신뢰할 수 있는 작업 영역 액세스를 사용하여 관리되는 바로 가기를 만드는 단계는 동일합니다.
신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정에 대한 데이터 파이프라인 만들기
Fabric에 구성된 작업 영역 ID와 ADLS Gen2 스토리지 계정에서 사용하는 신뢰할 수 있는 액세스를 통해 데이터 파이프라인을 만들어 Fabric에서 데이터에 액세스할 수 있습니다. 새 데이터 파이프라인을 만들어 Fabric 레이크하우스에 데이터를 복사한 다음, Spark, SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.
필수 조건
- Fabric 용량과 연결된 Fabric 작업 영역. 작업 영역 ID를 참조하세요.
- Fabric 작업 영역과 연결된 작업 영역 ID를 만듭니다.
- 연결을 만드는 데 사용되는 사용자 계정 또는 서비스 주체에는 스토리지 계정에 Azure RBAC 역할이 있어야 합니다. 보안 주체는 스토리지 계정 범위에서 스토리지 Blob 데이터 기여자, 스토리지 Blob 데이터 소유자 또는 스토리지 Blob 데이터 리더 역할을 보유해야 합니다.
- 스토리지 계정에 대한 리소스 인스턴스 규칙을 구성합니다.
단계
먼저 레이크하우스에서 데이터 가져오기를 선택합니다.
새 데이터 파이프라인을 선택합니다. 파으프라인 이름을 입력하고 만들기를 선택합니다.
데이터 원본으로 Azure Data Lake Gen2를 선택합니다.
신뢰할 수 있는 작업 영역 액세스로 구성된 스토리지 계정의 URL을 제공하고 연결 이름을 선택합니다. 인증 종류의 경우 조직 계정 또는 서비스 주체를 선택합니다.
완료되면 다음을 선택합니다.
레이크하우스에 복사해야 하는 파일을 선택합니다.
완료되면 다음을 선택합니다.
검토 + 저장 화면에서 즉시 데이터 전송 시작을 선택합니다. 완료되면 저장 + 실행을 선택합니다.
파이프라인 상태가 큐 대기에서 성공으로 변경되면 레이크하우스로 이동하여 데이터 테이블이 생성되었는지 확인합니다.
T-SQL COPY 문을 사용하여 웨어하우스로 데이터 수집
Fabric에서 구성된 작업 영역 ID와 ADLS Gen2 스토리지 계정에서 사용하는 신뢰할 수 있는 액세스를 통해 COPY T-SQL 문을 사용하여 Fabric 웨어하우스로 데이터를 수집할 수 있습니다. 데이터가 웨어하우스로 수집되면 SQL 및 Power BI를 사용하여 데이터 분석을 시작할 수 있습니다.
제한 사항 및 고려 사항
- 신뢰할 수 있는 작업 영역 액세스는 모든 Fabric F SKU 용량의 작업 영역에 대해 지원됩니다.
- OneLake 바로 가기, 데이터 파이프라인 및 T-SQL COPY 문에서만 신뢰할 수 있는 작업 영역 액세스를 사용할 수 있습니다. Fabric Spark에서 스토리지 계정에 안전하게 액세스하려면 Fabric용 관리형 프라이빗 엔드포인트를 참조하세요.
- 작업 영역 ID가 있는 작업 영역이 비Fabric 용량 또는 비F SKU Fabric 용량으로 마이그레이션되는 경우 신뢰할 수 있는 작업 영역 액세스는 1시간 후에 작동이 중지됩니다.
- 2023년 10월 10일 이전에 만든 기존 바로 가기는 신뢰할 수 있는 작업 영역 액세스를 지원하지 않습니다.
- 신뢰할 수 있는 작업 영역 액세스에 대한 연결은 연결 및 게이트웨이 관리에서 만들거나 수정할 수 없습니다.
- 방화벽 기반 스토리지 계정에 대한 연결은 연결 및 게이트웨이 관리에서 오프라인 상태가 됩니다.
- 바로 가기 및 파이프라인 이외의 Fabric 항목 또는 다른 작업 영역에서 신뢰할 수 있는 작업 영역 액세스를 지원하는 연결을 다시 사용하는 경우 작동하지 않을 수 있습니다.
- 신뢰할 수 있는 작업 영역 액세스를 위해 스토리지 계정에 인증할 때 조직 계정 또는 서비스 주체만 사용해야 합니다.
- 파이프라인은 신뢰할 수 있는 작업 영역 액세스 권한이 있는 스토리지 계정의 OneLake 테이블 바로 가기에 쓸 수 없습니다. 이것은 일시적인 제한 사항입니다.
- 최대 200개 리소스 인스턴스 규칙을 구성할 수 있습니다. 자세한 내용은 Azure 구독 한도 및 할당량 - Azure Resource Manager를 참조하세요.
- 신뢰할 수 있는 작업 영역 액세스는 선택한 가상 네트워크 및 IP 주소에서 공용 액세스를 사용하는 경우에만 작동합니다.
- Fabric 작업 영역에 대한 리소스 인스턴스 규칙은 ARM 템플릿을 통해서만 만들어야 합니다. Azure Portal UI를 통해 만든 리소스 인스턴스 규칙은 지원되지 않습니다.
- 필수 조건을 충족하는 작업 영역의 기존 바로 가기가 신뢰할 수 있는 서비스 액세스를 자동으로 지원하기 시작합니다.
- 조직이 모든 서비스 주체를 포함하는 워크로드 ID에 대한 Entra 조건부 액세스 정책을 보유하는 경우 신뢰할 수 있는 작업 영역 액세스가 작동하지 않습니다. 이러한 경우 워크로드 ID에 대한 조건부 액세스 정책에서 특정 Fabric 작업 영역 ID를 제외해야 합니다.
- 서비스 주체를 사용하여 바로 가기를 만드는 경우 신뢰할 수 있는 작업 영역 액세스가 지원되지 않습니다.
- 신뢰할 수 있는 작업 영역 액세스는 테넌트 간 요청과 호환되지 않습니다.
신뢰할 수 있는 작업 영역 액세스 관련 문제 해결
방화벽으로 보호되는 ADLS Gen2 스토리지 계정을 대상으로 하는 레이크하우스의 바로 가기에 액세스할 수 없는 경우 레이크하우스가 있는 작업 영역에서 관리자, 구성원 또는 기여자 역할이 없는 사용자와 레이크하우스가 공유되었기 때문일 수 있습니다. 이것은 알려진 문제입니다. 해결 방법은 레이크하우스를 작업 영역에 관리자, 구성원 또는 기여자 역할이 없는 사용자와 공유하지 않는 것입니다.
ARM 템플릿 샘플
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}