Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a crear un acceso directo Azure Data Lake Storage (ADLS) Gen2 dentro del almacén de lago de Microsoft Fabric. Al crear accesos directos a cuentas de almacenamiento de Azure Data Lake Storage (ADLS) Gen2, la ruta de acceso de destino puede apuntar a cualquier carpeta dentro del espacio de nombres jerárquico. Como mínimo, la ruta de acceso de destino debe incluir un nombre de contenedor.
Para obtener información general sobre los accesos directos, consulte Accesos directos de OneLake. Para crear combinaciones de teclas mediante programación, consulte API de REST para combinaciones de teclas de OneLake.
Requisitos previos
- Una casa de lago. Si no tiene uno, cree uno siguiendo estos pasos: Crear un lakehouse con OneLake.
- Debe tener habilitados espacios de nombres jerárquicos en la cuenta de almacenamiento de ADLS Gen 2.
Crear un acceso directo
Abra un lago de datos.
Haga clic con el botón derecho del ratón en un directorio dentro de la Vista de lago del almacén de lago.
Seleccione Nuevo acceso directo.
En Orígenes externos, seleccione Azure Data Lake Storage Gen2.
Escriba la configuración de conexión según la tabla siguiente:
Campo Descripción Valor URL Cadena de conexión para el contenedor Delta. https://StorageAccountName.dfs.core.windows.netConnection Las conexiones definidas previamente para la ubicación de almacenamiento especificada aparecen en la lista desplegable. Si no existe ninguna conexión, crea una nueva. Cree una nueva conexión. Nombre de la conexión El nombre de la conexión de Azure Data Lake Storage Gen2. Nombre de la conexión. Tipo de autenticación Modelo de autorización. Los modelos admitidos son: cuenta organizativa, clave de cuenta, firma de acceso compartido (SAS), entidad de servicio e identidad del área de trabajo. Para obtener más información, consulte Autorización. Depende del modelo de autorización. Una vez que seleccione un tipo de autenticación, rellene las credenciales necesarias. Seleccione Siguiente.
Ve a la ubicación de destino del acceso directo.
Si acabas de usar la cuenta de almacenamiento en la dirección URL de conexión, todos los contenedores disponibles aparecen en la vista de navegación izquierda. Si especificaste un contenedor en la dirección URL de conexión, solo el contenedor especificado y su contenido aparecen en la vista de navegación.
Para navegar por la cuenta de almacenamiento, seleccione una carpeta o la flecha de expansión junto a una carpeta.
En esta vista, puedes seleccionar una o varias ubicaciones de destino de acceso directo. Elija ubicaciones de destino activando la casilla situada junto a una carpeta en la vista de navegación izquierda.
Seleccione Siguiente.
La página de revisión te permite comprobar todas las selecciones. Aquí puedes ver todos los accesos directos que se crearán. En la columna de acción, puede seleccionar el icono de lápiz para editar el nombre del acceso directo. Usted puede seleccionar el icono de la papelera para eliminar el acceso directo.
Seleccione Crear.
El almacén de lago se actualiza automáticamente. El acceso directo aparece en panel Explorador situado a la izquierda.
Acceso
Los accesos directos de ADLS deben apuntar al punto de conexión DFS de la cuenta de almacenamiento.
Ejemplo: https://accountname.dfs.core.windows.net/
Si la cuenta de almacenamiento está protegida por un firewall de almacenamiento, puedes configurar el acceso de servicio de confianza. Para más información, consulte Acceso al área de trabajo de confianza.
Authorization
Los accesos directos de ADLS usan un modelo de autorización delegado. En este modelo, el creador del acceso directo especifica una credencial para el acceso directo de ADLS y todo el acceso a ese acceso directo se autoriza con esa credencial. Los métodos abreviados de ADLS admiten los siguientes tipos de autorización delegados:
- Cuenta organizativa : debe tener el rol Lector de datos de Storage Blob, Colaborador de datos de Storage Blob o Propietario de datos de Storage Blob en la cuenta de almacenamiento; o el rol Delegator en la cuenta de almacenamiento más el acceso a archivos o directorios concedidos dentro de la cuenta de almacenamiento.
- Entidad de servicio: debe tener el rol Lector de datos de Storage Blob, Colaborador de datos de Storage Blob o Propietario de datos de Storage Blob en la cuenta de almacenamiento; o el rol Delegador en la cuenta de almacenamiento más el acceso a archivos o directorios concedidos dentro de la cuenta de almacenamiento.
- Identidad del área de trabajo : debe tener el rol Lector de datos de Storage Blob, Colaborador de datos de Storage Blob o Propietario de datos de Storage Blob en la cuenta de almacenamiento; o el rol Delegator en la cuenta de almacenamiento más el acceso a archivos o directorios concedidos dentro de la cuenta de almacenamiento.
- Firma de acceso compartido (SAS): debe incluir al menos los permisos siguientes: Lectura, Lista y Ejecución.
Los tipos de autorización delegados de Id. de Microsoft Entra (cuenta de organización, entidad de servicio o identidad del área de trabajo) requieren la acción Generar una clave de delegación de usuarios en el nivel de cuenta de almacenamiento. Esta acción se incluye como parte de los roles Lector de datos de Storage Blob, Colaborador de datos de Storage Blob, Propietario de datos de Storage Blob y Delegador. Si no desea otorgar permisos de lector, colaborador o propietario para toda la cuenta de almacenamiento, asígneles el rol de Delegador en su lugar. A continuación, defina derechos de acceso a datos detallados mediante listas de control de acceso (ACL) en Azure Data Lake Storage.
Importante
El requisito generar una clave de delegación de usuarios no se aplica actualmente cuando se configura una identidad para el área de trabajo y el tipo de autenticación de acceso directo de ADLS es Cuenta organizacional, Principal de servicio o Identidad del área de trabajo. Sin embargo, este comportamiento se restringirá en el futuro. Se recomienda asegurarse de que todas las identidades delegadas tengan la acción Generar una clave de delegación de usuarios para asegurarse de que el acceso de los usuarios no se ve afectado cuando cambia este comportamiento.
Limitaciones
Las limitaciones siguientes se aplican a los accesos directos de ADLS:
- Las rutas de acceso directo de ADLS no pueden contener caracteres reservados de la sección 2.2 de RFC 3986. Para ver los caracteres permitidos, consulte la sección 2.3 de RFC 3968.
- Los atajos de ADLS no admiten la API de copia de blobs.
- La función copiar no funciona en accesos directos que apuntan directamente a contenedores de ADLS. Se recomienda crear accesos directos de ADLS en un directorio que sea al menos un nivel por debajo de un contenedor.
- Los accesos directos de OneLake no admiten conexiones a cuentas de almacenamiento de ADLS Gen2 que usen puntos de conexión privados administrados. Para más información, vea Puntos de conexión privados administrados para Fabric.
- No se pueden crear más accesos directos dentro de los accesos directos de ADLS.
- Los accesos directos de ADLS gen 2 no se admiten para las cuentas de almacenamiento que usan el uso compartido de datos de Microsoft Purview.