Konzepte für Microsoft Purview-Datenbesitzerrichtlinien (Vorschau)
Wichtig
Dieses Feature ist derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
In diesem Artikel werden Konzepte im Zusammenhang mit der Verwaltung des Lese- oder Änderungszugriffs auf Ressourcen in Ihrem Datenbestand im Microsoft Purview-Governanceportal erläutert.
Hinweis
Diese Funktion bietet keine Zugriffssteuerung für Microsoft Purview selbst. Das Gewähren des Zugriffs auf interne Microsoft Purview-Rollen wird unter Zugriffssteuerung in Microsoft Purview beschrieben. Diese Funktion wird verwendet, um Zugriff auf Datenebene zu gewähren, d. h. Zugriff auf die Daten selbst in Datensystemen wie Azure Storage. Es ist nicht möglich, Zugriff auf Steuerungsebene zu gewähren. Der Zugriff auf Steuerungsebene bietet Sichtbarkeit und Die Möglichkeit, Ressourcen in Ihrem Abonnement zu verwalten. Sie können den Zugriff auf Steuerungsebene über die Identitäts- und Zugriffsverwaltung (IAM) verwalten.
Zugriffsrichtlinien in Microsoft Purview ermöglichen es Ihnen, den Zugriff auf verschiedene Datensysteme in Ihrem gesamten Datenbestand zu verwalten. Zum Beispiel:
Ein Benutzer benötigt Lesezugriff auf ein Azure Storage-Konto, das in Microsoft Purview registriert wurde. Sie können diesen Zugriff direkt in Microsoft Purview gewähren, indem Sie eine Datenzugriffsrichtlinie über die Datenrichtlinien-App im Microsoft Purview-Governanceportal erstellen.
Datenbesitzerrichtlinien können nur für Datensysteme erzwungen werden, die für die Richtlinienerzwingung in Microsoft Purview aktiviert wurden, d. h. wenn die Option Datenrichtlinienerzwingung in der Datenquellenregistrierung aktiviert ist.
Eine Datenbesitzerrichtlinie ist ein benannter Satz von Richtlinienanweisungen. Wenn eine Richtlinie auf einem oder mehreren Datensystemen unter der Governance von Microsoft Purview veröffentlicht wird, wird sie von diesen erzwungen. Eine Richtliniendefinition enthält einen Richtliniennamen, eine Beschreibung und eine Liste mit einer oder mehreren Richtlinienanweisungen.
Hinweis
Derzeit wird nur eine einzelne Richtlinienanweisungen pro Richtlinie unterstützt.
Eine Richtlinienanweisung ist eine lesbare Anweisung, die vorschreibt, wie die Datenquelle einen bestimmten Datenzugriffsvorgang behandeln soll. Die Richtlinienerklärung umfasst "Effect", "Action", "Data Resource" und "Subject".
Eine Aktion ist der Vorgang, der im Rahmen dieser Richtlinie zugelassen oder verweigert wird. Beispiel: Lesen oder Ändern. Diese allgemeinen logischen Aktionen sind einer (oder mehreren) Datenaktionen im Datensystem zugeordnet, in dem sie erzwungen werden.
Der Effekt gibt an, was sich ergeben soll, wenn eine Übereinstimmung mit der Datenressource und dem Betreff der Richtlinienanweisungen vorliegt. Derzeit wird nur der Wert Zulassen unterstützt.
Die Datenressource ist der vollqualifizierte Datenassetpfad zu dem Objekt, für das die Richtlinienanweisungen gelten. Es entspricht dem folgenden Format:
/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>
Azure Storage-Format für Datenressourcenpfad:
Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>
Azure SQL Db-Datenobjektpfadformat:
Microsoft.Sql/servers/<server-name>
Es handelt sich um eine Liste der Endbenutzeridentitäten aus Microsoft Entra ID, für die diese Richtlinienausweisung gilt. Jede Identität kann ein Dienstprinzipal, ein einzelner Benutzer, eine Gruppe oder eine verwaltete Dienstidentität (Managed Service Identity, MSI) sein.
Lesen von Datenasset zulassen: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData to group Finance-analyst
In der obigen Richtlinienanweisung lautet die Auswirkung Zulassen, die Aktion ist Lesen, die Datenressource ist der Azure Storage-Container FinData, und der Betreff ist Microsoft Entra Gruppe Finance-analyst. Wenn ein Benutzer, der zu dieser Gruppe gehört, versucht, Daten aus dem Speichercontainer FinData zu lesen, wird die Anforderung zugelassen.
Die in einer Richtlinienanweisungen angegebene Datenressource ist standardmäßig hierarchisch. Dies bedeutet, dass die Richtlinienanweisungen für das Datenobjekt selbst und für alle untergeordneten Objekte gelten, die im Datenobjekt enthalten sind. Beispielsweise gilt eine Richtlinienanweisungen für den Azure Storage-Container für alle darin enthaltenen Blobs.
Eine Datenquelle kombiniert alle anwendbaren lokalen Richtlinien mit allen Richtlinien von Microsoft Purview und bietet eine konsolidierte Entscheidung, wenn ein Benutzer versucht, auf ein Medienobjekt zuzugreifen. Die Kombinationsstrategie wählt die restriktivste Richtlinie aus.
Angenommen, es werden zwei verschiedene Richtlinien für einen Azure Storage-Container FinData wie folgt angenommen:
Richtlinie 1 – Zulassen von Lesevorgängen für Datenasset /subscription/..../containers/FinData zur Gruppe "Finance-analyst"
Richtlinie 2– Verweigern des Lesevorgangs für Datenasset /subscription/..../containers/FinData für Die Gruppe "Finance-contractors"
Nehmen wir dann an, dass der Benutzer "user1", der Teil von zwei Gruppen ist: Finance-analyst und Finance-contractors, einen Aufruf der Bloblese-API ausführt. Da beide Richtlinien anwendbar sind, wählt Azure Storage die restriktivste, d. h. Leseverweigerung. Daher wird die Zugriffsanforderung verweigert.
Eine neu erstellte Richtlinie ist im Entwurfsmodus vorhanden und nur in Microsoft Purview sichtbar. Der Akt der Veröffentlichung initiiert die Durchsetzung einer Richtlinie in den angegebenen Datensystemen. Es handelt sich um eine asynchrone Aktion, die je nach Datenquellentyp zwischen 5 Minuten und 2 Stunden wirksam werden kann. Weitere Informationen finden Sie in den Anleitungen zu den einzelnen Datenquellentypen in den Richtlinien für Datenbesitzer.
Eine Richtlinie, die in einer Datenquelle veröffentlicht wird, kann Richtlinienanweisungen enthalten, die auf eine andere Datenquelle verweisen. Solche Verweise werden ignoriert, da das betreffende Objekt in der Datenquelle, in der die Richtlinie angewendet wird, nicht vorhanden ist.
Lesen Sie die Anleitungen zum Erstellen von Richtlinien in Microsoft Purview, die in bestimmten Datensystemen erzwungen werden. Über die Benutzeroberfläche hinaus können Sie jetzt die Datenbesitzerrichtlinien-API ausprobieren.
- Dokumentation: Aktivieren der Richtlinienerzwingung für eine Datenquelle
- Dokumentation: Bereitstellen des Zugriffs auf Azure Storage-Datasets
- Dokumentation: Bereitstellen des Zugriffs auf alle Datenquellen in einem Abonnement oder einer Ressourcengruppe
- Dokumentation: Bereitstellen des Zugriffs auf Azure SQL-Datenbankressourcen
- Dokumentation: Bereitstellen des Zugriffs auf SQL Server 2022(Arc-fähige) Ressourcen
- Blog: Gewähren des Zugriffs auf Datenressourcen in Ihrem Unternehmen über die API