다음을 통해 공유

작업 영역 관리 ID에 권한 부여

이 문서에서는 Azure Synapse 작업 영역에서 관리 ID에 권한을 부여하는 방법을 설명합니다. 권한은 차례로 Azure Portal을 통해 작업 영역의 전용 SQL 풀 및 Azure Data Lake Storage Gen2 계정에 대한 액세스를 허용합니다.

참고 항목

이 작업 영역 관리 ID는 이 문서의 나머지 부분을 통해 관리 ID라고 합니다.

Data Lake Storage 계정에 관리 ID 권한 부여

Azure Synapse 작업 영역을 만들려면 Data Lake Storage Gen2 계정이 필요합니다. Azure Synapse 작업 영역에서 Spark 풀을 성공적으로 시작하려면 Azure Synapse 관리 ID에 이 스토리지 계정에 대한 Storage Blob 데이터 기여자 역할이 있어야 합니다. Azure Synapse의 파이프라인 오케스트레이션도 이 역할의 이점을 얻습니다.

작업 영역을 만드는 동안 관리 ID에 권한 부여

Azure Synapse는 Azure Portal을 사용하여 Azure Synapse 작업 영역을 만든 후 관리 ID에 Storage Blob 데이터 기여자 역할을 부여하려고 시도합니다. 기본 사항 탭에서 Data Lake Storage 계정 세부 정보를 제공합니다.

작업 영역 생성 흐름의 기본 사항 탭 스크린샷.

계정 이름 및 파일 시스템 이름에서 Data Lake Storage Gen2 계정 및 파일 시스템을 선택합니다.

Data Lake Storage Gen2 계정 세부 정보를 제공하는 스크린샷

작업 영역 작성자가 Data Lake Storage 계정의 소유자경우 Azure Synapse는 관리 ID에 Storage Blob 데이터 기여자 역할을 할당합니다. 다음과 같은 메시지가 나타납니다.

성공적인 스토리지 Blob 데이터 기여자 할당의 스크린샷.

작업 영역 작성자가 Data Lake Storage 계정의 소유자가 아닌 경우 Azure Synapse는 관리 ID에 Storage Blob 데이터 기여자 역할을 할당하지 않습니다. 다음 메시지는 작업 영역 작성자에게 관리 ID에 Storage Blob 데이터 기여자 역할을 부여할 수 있는 충분한 권한이 없음을 알 수 있습니다.

오류 상자가 강조 표시된 실패한 스토리지 Blob 데이터 기여자 할당의 스크린샷.

Storage Blob 데이터 기여자가 관리 ID에 할당되지 않는 한 Spark 풀을 만들 수 없습니다.

작업 영역을 만든 후 관리 ID에 권한 부여

작업 영역을 만드는 동안 관리 ID에 Storage Blob Data 기여자를 할당하지 않으면 Data Lake Storage Gen2 계정의 소유자가 해당 역할을 ID에 수동으로 할당합니다. 다음 단계는 수동 할당을 수행하는 데 도움이 됩니다.

1단계: Data Lake Storage Gen2 계정으로 이동

Azure Portal에서 Data Lake Storage Gen2 스토리지 계정을 열고 왼쪽 탐색에서 컨테이너를 선택합니다. 컨테이너 또는 파일 시스템 수준에서 Storage Blob 데이터 기여자 역할만 할당하면 됩니다.

Data Lake Storage Gen2 계정 개요의 Azure Portal 스크린샷

2단계: 컨테이너 선택

관리 ID에는 작업 영역이 생성되었을 때 제공된 컨테이너(파일 시스템)에 대한 데이터 액세스 권한이 있어야 합니다. Azure Portal에서 이 컨테이너 또는 파일 시스템을 찾을 수 있습니다. Azure Portal에서 Azure Synapse 작업 영역을 열고 왼쪽 탐색 창에서 개요 탭을 선택합니다.

Data Lake Storage Gen2 파일 'contosocontainer'의 이름을 보여 주는 Azure Portal의 스크린샷

Storage Blob 데이터 참가자 역할을 관리 ID에 부여하려면 동일한 컨테이너 또는 파일 시스템을 선택합니다.

선택해야 하는 컨테이너 또는 파일 시스템을 보여주는 스크린샷입니다.

3단계: 액세스 제어 열기 및 역할 할당 추가

  1. 리소스 메뉴에서 액세스 제어(IAM)를 선택합니다.

  2. 추가>역할 할당 추가를 선택하여 역할 할당 추가 페이지를 엽니다.

  3. 다음 역할을 할당합니다. 세부 단계에 대해서는 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

    설정
    역할 Storage Blob 데이터 Contributor
    다음에 대한 액세스 할당 MANAGEDIDENTITY
    멤버 관리 ID 이름

    참고 항목

    관리 ID 이름은 작업 영역 이름이기도 합니다.

    Azure Portal의 역할 할당 추가 페이지 스크린샷.

  4. 저장을 선택하여 역할 할당을 추가합니다.

4단계: Storage Blob 데이터 참가자 역할이 관리 ID에 할당되었는지 확인

액세스 제어(IAM)를 선택한 다음, 역할 할당을 선택합니다.

역할 할당을 확인하는 데 사용되는 Azure Portal의 역할 할당 단추의 스크린샷.

Storage Blob 데이터 참가자 섹션 아래에 Storage Blob 데이터 참가자 역할이 할당된 관리 ID가 나열됩니다.

Data Lake Storage Gen2 계정 컨테이너 선택을 보여 주는 Azure Portal의 스크린샷.

Storage Blob 데이터 기여자 역할의 대체 기능

자신에게 Storage Blob 데이터 기여자 역할을 부여하는 대신 파일 하위 집합에 대해 보다 세분화된 권한을 부여할 수도 있습니다.

이 컨테이너의 일부 데이터에 액세스해야 하는 모든 사용자는 루트(컨테이너)까지의 모든 부모 폴더에 대한 EXECUTE 권한도 있어야 합니다.

자세한 내용은 Azure Storage Explorer를 사용하여 Azure Data Lake Storage에서 ACL을 관리하세요.

참고 항목

컨테이너 수준에 대한 실행 권한은 Data Lake Storage Gen2 내에서 설정되어야 합니다. 폴더에 대한 권한은 Azure Synapse 내에서 설정할 수 있습니다.

이 예제에서 data2.csv 쿼리하려면 다음 권한이 필요합니다.

  • 컨테이너에 대한 실행 권한
  • folder1에 대한 실행 권한
  • data2.csv에 대한 읽기 권한

데이터 레이크의 권한 구조를 보여 주는 다이어그램.

  1. 액세스하려는 데이터에 대한 모든 권한이 있는 관리 사용자로 Azure Synapse에 로그인합니다.

  2. 데이터 창에서 파일을 마우스 오른쪽 단추로 클릭하고 액세스 관리를 선택합니다.

    액세스 관리 옵션을 보여주는 스크린샷.

  3. 최소한 읽기 권한을 선택합니다. 사용자의 UPN 또는 개체 ID를 입력합니다(예: user@contoso.com). 추가를 선택합니다.

  4. 이 사용자에 대한 읽기 권한을 부여합니다.

    읽기 권한 부여를 보여 주는 스크린샷

참고 항목

게스트 사용자의 경우 이 단계는 Azure Synapse를 통해 직접 수행할 수 없으므로 Azure Data Lake에서 직접 수행해야 합니다.

관련 콘텐츠