我正在使用Power BI数据流来访问Blob存储中的电子表格。我已经为自己和Power BI Service用户在存储帐户上配置了IAM权限。网络配置设置为“ 允许信任的Microsoft服务访问该存储帐户”和“ Microsoft网络路由端点”首选项。
首次测试:允许从所有网络访问的存储帐户
我能够从Power BI服务访问电子表格并执行转换。
第二项测试:存储帐户仅允许选择的网络
在这种情况下,我为需要访问存储帐户的其他服务添加了一组CIDR块。我还使用deprecated list和新的json list添加了Power BI服务和PowerQueryOnline服务的白名单。
从Power BI Service数据流运行相同的连接时,我现在收到“无效凭据”错误消息。打开存储帐户的日志记录并运行另一个成功的测试后,请求似乎来自私有IP地址(10.0.1.6),而不是任何公共范围。
2.0;2020-09-18T12:57:17.0000567Z;ListFilesystems;OAuthSuccess;200;4;4;bearer;restrictiedmobacc;restrictiedmobacc;blob;"https://restrictiedmobacc.dfs.core.windows.net/?resource=account";"/restrictiedmobacc";7a6efbbd-e01f-004c-31bb-8d39a9000000;0;10.0.1.6;2018-06-17;2185;0;184;108;0;;;"gzip, deflate";Monday, 01-Jan-01 00:00:00 GMT;;"Microsoft.Data.Mashup (https://go.microsoft.com/fwlink/?LinkID=304225)";;"f5d7d551-0291-e765-f20d-09a337164e19";"31cae3e8-e77a-4db2-9050-a69c0555d912";"2f6a613f-ba8c-4432-bdb8-9a0ea0a9f51d";"b52893c8-bc2e-47fc-918b-77022b299bbc";"https://storage.azure.com";"https://sts.windows.net/2f6a613f-ba8c-4432-bdb8-9a0ea0a9f51d/";"<MY EMAIL ADDRESS>";;"{"action":"Microsoft.Storage/storageAccounts/blobServices/containers/read", "roleAssignmentId":"9fe216db-d682-462c-b408-4133a454ef1a", "roleDefinitionId":"8e3af657-a8ff-443c-a75c-2fe8c4bcb635", "principals": [{"id": "31cae3e8-e77a-4db2-9050-a69c0555d912", "type":"User"}], "denyAssignmentId":""}"
我不知所措,下一步是要求该存储帐户不能公开使用。我有read,您可以使用内部部署数据网关,以便将地址范围锁定到该设备,但是我真的不想沿着那条路线走。
答案 0 :(得分:0)
您是否尝试过在VNet中为Azure存储启用服务终结点? 服务端点将流量从VNet通过最佳路径路由到Azure存储服务。
您还可以检查是否将以下链接列入了白名单,您将在此链接中找到它们:
https://docs.microsoft.com/en-us/power-bi/admin/power-bi-whitelist-urls
K,
阿卜杜勒
答案 1 :(得分:0)
与Microsoft支持人员交谈后,我被告知
无法将Power BI Service与启用了受限网络访问的存储帐户连接。
但是,在对Azure Data Factory进行一些阅读之后,我注意到了一条声明...
“与存储帐户部署在同一区域中的服务使用专用IP地址进行通信。因此,您不能基于其公共出站IP地址范围来限制对特定Azure服务的访问。”
因此,我使用英国南部的Power BI服务在英国西部创建了一个存储帐户。查看存储帐户上的日志,现在可以看到来自Power BI的请求超出了51.0.0.0/8范围,而不是私有地址。通过将51.0.0.0/8添加到允许的CIDR,Power BI Service数据流现在可以访问存储在Datalake中的电子表格。