本文介绍如何创建启用了数据外泄保护的工作区,以及如何管理此工作区的已批准Microsoft Entra 租户。
注释
创建工作区后,无法更改托管虚拟网络和数据外泄保护功能的工作区配置。
先决条件
- 在 Azure 中创建工作区资源的权限。
- 用于创建托管的专用终结点的 Synapse 工作区权限。
- 注册了网络资源提供程序的订阅。 了解详细信息。
按照 快速入门:创建 Synapse 工作区 中列出的步骤,开始创建您的工作区。 在创建工作区之前,请使用以下信息向工作区添加数据外泄保护。
创建工作区时添加数据外泄保护
- 在“网络”选项卡上,选中“启用托管虚拟网络”复选框。
- 对于“仅允许出站数据流量到已批准的目标”选项,请选择“是”。
- 为此工作区选择批准的 Microsoft Entra 租户。
- 查看配置并创建工作区。
为此工作区管理批准的 Microsoft Entra 租户。
- 在工作区的 Azure 门户中,导航到“批准的 Microsoft Entra 租户”。 工作区的已批准Microsoft Entra 租户列表将在此处列出。 默认包含工作区的租户,但不列出。
- 使用“+添加”将新租户包含在已批准的列表中。
- 若要从批准的列表中删除Microsoft Entra 租户,请选择该租户,然后选择“删除”,然后选择“保存”。
连接到批准的 Microsoft Entra 租户中的 Azure 资源
可以创建托管的专用终结点,以连接到工作区批准的 Microsoft Entra 租户中驻留的 Azure 资源。 按照指南中列出的步骤 创建托管专用终结点。
重要
非工作区租户中的资源不能设阻止防火墙规则,这样 SQL 池才能连接这些资源。 工作区的托管虚拟网络中的资源(例如 Spark 群集)可以通过托管的专用链接连接到受防火墙保护的资源。
已知的限制
用户可以提供环境配置文件,以便从公共存储库(如 PyPI)安装 Python 包。 在具有数据外泄保护功能的工作区中,将阻止与出站存储库的连接。 因此,不支持从公共存储库(如 PyPI)安装的 Python 库。
或者,用户可以在其主 Azure Data Lake Storage 帐户中上传工作区包或创建专用通道。 有关详细信息,请访问 Azure Synapse Analytics 中的包管理
后续步骤
- 详细了解 Synapse 工作区中的数据外泄保护
- 详细了解托管工作区虚拟网络
- 详细了解托管专用终结点
- 创建托管的专用终结点以连接到您的数据源