Conexión y administración de áreas de trabajo de Azure Synapse Analytics en Microsoft Purview

  • Artículo

En este artículo se describe cómo registrar áreas de trabajo de Azure Synapse Analytics. También describe cómo autenticar e interactuar con áreas de trabajo de Azure Synapse Analytics en Microsoft Purview. Para obtener más información sobre Microsoft Purview, lea el artículo introductorio.

Funciones admitidas

Extracción de metadatos Examen completo Examen incremental Examen con ámbito Clasificación Etiquetar Directiva de acceso Linaje Uso compartido de datos Vista en vivo
No No No Sí: canalizaciones No No

Actualmente, no se admiten las bases de datos de lago de Azure Synapse Analytics.

En el caso de las tablas externas, Azure Synapse Analytics no captura actualmente la relación de esas tablas con sus archivos originales.

Requisitos previos

Registrarse

En el procedimiento siguiente se describe cómo registrar áreas de trabajo de Azure Synapse Analytics en Microsoft Purview mediante el portal de gobernanza de Microsoft Purview.

Solo un usuario que tenga al menos un rol de lector de datos en el área de trabajo de Azure Synapse Analytics y que también sea administrador de origen de datos en Microsoft Purview puede registrar un área de trabajo de Azure Synapse Analytics.

  1. Abra el portal de gobernanza de Microsoft Purview y seleccione su cuenta de Microsoft Purview.

    Como alternativa, vaya al Azure Portal, busque y seleccione la cuenta de Microsoft Purview y, a continuación, seleccione el botón Portal de gobernanza de Microsoft Purview.

  2. En el panel izquierdo, seleccione Orígenes.

  3. Seleccione Registrar.

  4. En Registrar orígenes, seleccione Azure Synapse Analytics (varios)..

  5. Seleccione Continuar.

    Captura de pantalla de una selección de orígenes en Microsoft Purview, incluido Azure Synapse Analytics.

  6. En la página Registrar orígenes (Azure Synapse Analytics), haga lo siguiente:

    1. En Nombre, escriba un nombre para que el origen de datos aparezca en el catálogo de datos.

    2. Opcionalmente, para la suscripción de Azure, elija una suscripción a la que filtrar.

    3. En Nombre del área de trabajo, seleccione el área de trabajo con la que está trabajando.

      Los cuadros de los puntos de conexión de SQL se rellenan automáticamente en función de la selección del área de trabajo.

    4. En Seleccionar una colección, elija la colección con la que está trabajando o cree una nueva.

    5. Seleccione Registrar para finalizar el registro del origen de datos.

    Captura de pantalla de la página para especificar detalles sobre el origen Azure Synapse.

Examinar

Siga estos pasos para examinar Azure Synapse áreas de trabajo de Analytics para identificar automáticamente los recursos y clasificar los datos. Para obtener más información sobre el examen en general, consulte Exámenes e ingesta en Microsoft Purview.

  1. Configure la autenticación para enumerar los recursos dedicados o sin servidor . Este paso permitirá a Microsoft Purview enumerar los recursos del área de trabajo y realizar exámenes.
  2. Aplique permisos para examinar el contenido del área de trabajo.
  3. Confirme que la red está configurada para permitir el acceso a Microsoft Purview.

Autenticación de enumeración

Use los procedimientos siguientes para configurar la autenticación. Debe ser propietario o administrador de acceso de usuario para agregar los roles especificados.

Autenticación para enumerar recursos de base de datos SQL dedicados

  1. En el Azure Portal, vaya al recurso del área de trabajo de Azure Synapse Analytics.
  2. En el panel izquierdo, seleccione Access Control (IAM).
  3. Seleccione el botón Agregar.
  4. Establezca el rol Lector y escriba el nombre de la cuenta de Microsoft Purview, que representa su identidad de servicio administrada (MSI).
  5. Seleccione Guardar para terminar de asignar el rol.

Nota:

Si tiene previsto registrar y examinar varias áreas de trabajo de Azure Synapse Analytics en su cuenta de Microsoft Purview, también puede asignar el rol desde un nivel superior, como un grupo de recursos o una suscripción.

Autenticación para enumerar recursos de base de datos SQL sin servidor

Hay tres lugares en los que debe establecer la autenticación para permitir que Microsoft Purview enumere los recursos de base de datos SQL sin servidor.

Para establecer la autenticación para el área de trabajo de Azure Synapse Analytics:

  1. En el Azure Portal, vaya al recurso del área de trabajo de Azure Synapse Analytics.
  2. En el panel izquierdo, seleccione Access Control (IAM).
  3. Seleccione el botón Agregar.
  4. Establezca el rol Lector y escriba el nombre de la cuenta de Microsoft Purview, que representa su MSI.
  5. Seleccione Guardar para terminar de asignar el rol.

Para establecer la autenticación para la cuenta de almacenamiento:

  1. En el Azure Portal, vaya al grupo de recursos o la suscripción que contiene la cuenta de almacenamiento asociada al área de trabajo de Azure Synapse Analytics.
  2. En el panel izquierdo, seleccione Access Control (IAM).
  3. Seleccione el botón Agregar.
  4. Establezca el rol lector de datos storage blob y escriba el nombre de la cuenta de Microsoft Purview (que representa su MSI) en el cuadro Seleccionar .
  5. Seleccione Guardar para terminar de asignar el rol.

Para establecer la autenticación para la base de datos sin servidor de Azure Synapse Analytics:

  1. Vaya al área de trabajo de Azure Synapse Analytics y abra Synapse Studio.

  2. En el panel izquierdo, seleccione Datos.

  3. Seleccione los puntos suspensivos (...) junto a una de las bases de datos y, a continuación, inicie un nuevo script SQL.

  4. Ejecute el siguiente comando en el script SQL para agregar el MSI de la cuenta de Microsoft Purview (representada por el nombre de cuenta) en las bases de datos SQL sin servidor:

    CREATE LOGIN [PurviewAccountName] FROM EXTERNAL PROVIDER;

Aplicar permisos para examinar el contenido del área de trabajo

Debe configurar la autenticación en cada base de datos SQL que quiera registrar y examinar desde el área de trabajo de Azure Synapse Analytics. Seleccione en los siguientes escenarios los pasos para aplicar permisos.

Importante

Los pasos siguientes para las bases de datos sin servidor no se aplican a las bases de datos replicadas. En Azure Synapse Analytics, las bases de datos sin servidor que se replican desde bases de datos de Spark son actualmente de solo lectura. Para obtener más información, vea Operación no permitida para una base de datos replicada.

Uso de una identidad administrada para bases de datos SQL dedicadas

Para ejecutar los comandos en el procedimiento siguiente, debe ser un administrador Azure Synapse en el área de trabajo. Para obtener más información sobre los permisos de Azure Synapse Analytics, consulte Configuración del control de acceso para el área de trabajo de Azure Synapse Analytics.

  1. Vaya al área de trabajo de Azure Synapse Analytics.

  2. Vaya a la sección Datos y busque una de las bases de datos SQL dedicadas.

  3. Seleccione los puntos suspensivos (...) junto al nombre de la base de datos e inicie un nuevo script SQL.

  4. Ejecute el siguiente comando en el script SQL para agregar el MSI de la cuenta de Microsoft Purview (representada por el nombre de la cuenta) como db_datareader en la base de datos SQL dedicada:

    CREATE USER [PurviewAccountName] FROM EXTERNAL PROVIDER
GO

EXEC sp_addrolemember 'db_datareader', [PurviewAccountName]
GO

  5. Ejecute el siguiente comando en el script SQL para comprobar la adición del rol:

    SELECT p.name AS UserName, r.name AS RoleName
FROM sys.database_principals p
LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id
LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
WHERE p.authentication_type_desc = 'EXTERNAL'
ORDER BY p.name;

Siga los mismos pasos para cada base de datos que desee examinar.

Uso de una identidad administrada para bases de datos SQL sin servidor

  1. Vaya al área de trabajo de Azure Synapse Analytics.

  2. Vaya a la sección Datos y seleccione una de las bases de datos SQL.

  3. Seleccione los puntos suspensivos (...) junto al nombre de la base de datos e inicie un nuevo script SQL.

  4. Ejecute el siguiente comando en el script SQL para agregar el MSI de la cuenta de Microsoft Purview (representado por el nombre de cuenta) como db_datareader en las bases de datos SQL sin servidor:

    CREATE USER [PurviewAccountName] FOR LOGIN [PurviewAccountName];
ALTER ROLE db_datareader ADD MEMBER [PurviewAccountName];

  5. Ejecute el siguiente comando en el script SQL para comprobar la adición del rol:

    SELECT p.name AS UserName, r.name AS RoleName
FROM sys.database_principals p
LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id
LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
WHERE p.authentication_type_desc = 'EXTERNAL'
ORDER BY p.name;

Siga los mismos pasos para cada base de datos que desee examinar.

Concesión de permiso para usar credenciales para tablas externas

Si el área de trabajo de Azure Synapse Analytics tiene tablas externas, debe conceder el permiso Referencias de identidad administrada de Microsoft Purview en las credenciales con ámbito de la tabla externa. Con el permiso Referencias, Microsoft Purview puede leer datos de tablas externas.

  1. Ejecute el siguiente comando en el script SQL para obtener la lista de credenciales con ámbito de base de datos:

    Select name, credential_identity
from sys.database_scoped_credentials;

  2. Para conceder acceso a las credenciales con ámbito de base de datos, ejecute el siguiente comando. Reemplace por scoped_credential el nombre de la credencial con ámbito de base de datos.

    GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[scoped_credential] TO [PurviewAccountName];

  3. Para comprobar la asignación de permisos, ejecute el siguiente comando en el script SQL:

    SELECT dp.permission_name, dp.grantee_principal_id, p.name AS grantee_principal_name
FROM sys.database_permissions AS dp
JOIN sys.database_principals AS p ON dp.grantee_principal_id = p.principal_id
JOIN sys.database_scoped_credentials AS c ON dp.major_id = c.credential_id;

Configuración del acceso de firewall para el área de trabajo de Azure Synapse Analytics

  1. En el Azure Portal, vaya al área de trabajo de Azure Synapse Analytics.

  2. En el panel izquierdo, seleccione Redes.

  3. En Permitir que los servicios y recursos de Azure accedan a este control de área de trabajo , seleccione ACTIVADO.

  4. Seleccione Guardar.

Importante

Si no puede habilitar Permitir que los servicios y recursos de Azure accedan a este área de trabajo en las áreas de trabajo de Azure Synapse Analytics, obtendrá un error de enumeración de base de datos sin servidor al configurar un examen en el portal de gobernanza de Microsoft Purview. En este caso, puede elegir la opción Entrar manualmente para especificar los nombres de base de datos que desea examinar y, a continuación, continuar o configurar un examen mediante una API.

Creación y ejecución de un examen

  1. En el portal de gobernanza de Microsoft Purview, en el panel izquierdo, seleccione Mapa de datos.

  2. Seleccione el origen de datos que registró.

  3. Seleccione Ver detalles y, a continuación, seleccione Nuevo examen. Como alternativa, puede seleccionar el icono Scan quick action (Examinar acción rápida ) en el icono de origen.

  4. En el panel Detalles del examen, en el cuadro Nombre , escriba un nombre para el examen.

Nota:

En el caso del entorno de ejecución de integración, si usa Managed VNet Runtime, asegúrese de que ha creado los puntos de conexión privados administrados necesarios:

  • Para examinar los grupos sin servidor, cree un punto de entrada privado administrado de tipo de sub resource sqlOnDemand para el área de trabajo de Synapse.
  • Para examinar grupos dedicados, cree un punto de entrada privado administrado de tipo de sub-recurso sql para el área de trabajo de Synapse.
  • Si va a examinar grupos sin servidor y dedicados, no creará puntos de conexión privados administrados y, en el asistente, seleccione uno.

  1. En la lista desplegable Credencial , seleccione la credencial para conectarse a los recursos del origen de datos.

  2. En Método de selección de base de datos, seleccione Desde el área de trabajo de Synapse o Escriba manualmente. De forma predeterminada, Microsoft Purview intenta enumerar las bases de datos en el área de trabajo y puede seleccionar las que desea examinar.

    Captura de pantalla del panel de detalles del examen de origen de Azure Synapse.

    Si recibe un error que indica que Microsoft Purview no pudo cargar las bases de datos sin servidor, puede seleccionar Entrar manualmente para especificar el tipo de base de datos (dedicada o sin servidor) y el nombre de la base de datos correspondiente.

    Captura de pantalla de la selección para escribir manualmente los nombres de base de datos al configurar un examen.

  3. Seleccione Probar conexión para validar la configuración. Si recibe algún error, en la página del informe, mantenga el puntero sobre el estado de la conexión para ver los detalles.

  4. Seleccione Continuar.

  5. Seleccione Examinar conjuntos de reglas de tipo Azure Synapse SQL. También puede crear conjuntos de reglas de examen insertados.

  6. Elija el desencadenador de examen. Puede programar que se ejecute semanalmente o mensualmente o una vez.

  7. Revise el examen y, a continuación, seleccione Guardar para completar la configuración.

Visualización de los exámenes y las ejecuciones de examen

Para ver los exámenes existentes:

  1. Vaya al portal de gobernanza de Microsoft Purview. En el panel izquierdo, seleccione Mapa de datos.
  2. Seleccione el origen de datos. Puede ver una lista de exámenes existentes en ese origen de datos en Exámenes recientes o puede ver todos los exámenes en la pestaña Exámenes .
  3. Seleccione el examen que tiene los resultados que desea ver. En el panel se muestran todas las ejecuciones de examen anteriores, junto con el estado y las métricas de cada ejecución de examen.
  4. Seleccione el identificador de ejecución para comprobar los detalles de la ejecución del examen.

Administrar los exámenes

Para editar, cancelar o eliminar un examen:

  1. Vaya al portal de gobernanza de Microsoft Purview. En el panel izquierdo, seleccione Mapa de datos.

  2. Seleccione el origen de datos. Puede ver una lista de exámenes existentes en ese origen de datos en Exámenes recientes o puede ver todos los exámenes en la pestaña Exámenes .

  3. Seleccione el examen que desea administrar. Después, podrá:

    • Edite el examen seleccionando Editar examen.
    • Para cancelar un examen en curso, seleccione Cancelar ejecución del examen.
    • Para eliminar el examen, seleccione Eliminar examen.

Nota:

  • La eliminación del examen no elimina los recursos de catálogo creados a partir de exámenes anteriores.
  • El recurso ya no se actualizará con los cambios de esquema si la tabla de origen ha cambiado y vuelve a examinar la tabla de origen después de editar la descripción en la pestaña Esquema de Microsoft Purview.

Configuración de un examen mediante una API

Este es un ejemplo de creación de un examen para una base de datos sin servidor mediante la API REST de Microsoft Purview. Reemplace los marcadores de posición entre llaves ({}) por la configuración real. Obtenga más información en Exámenes: Creación o actualización.

PUT https://{purview_account_name}.purview.azure.com/scan/datasources/<data_source_name>/scans/{scan_name}?api-version=2022-02-01-preview

En el código siguiente, collection_id no es el nombre descriptivo de la colección, un identificador de cinco caracteres. Para la colección raíz, collection_id es el nombre de la colección. Para todas las subcolecciones, es en su lugar el identificador que puede encontrar en uno de estos lugares:

  • Dirección URL en el portal de gobernanza de Microsoft Purview. Seleccione la colección y compruebe la dirección URL para buscar dónde dice collection=. Ese es tu identificador. En el ejemplo siguiente, la colección Investment tiene el identificador 50h55c.

    Captura de pantalla de un identificador de colección en una dirección URL.

  • Puede enumerar los nombres de colección secundarios de la colección raíz para enumerar las colecciones y, a continuación, usar el nombre en lugar del nombre descriptivo.

{
    "properties":{
        "resourceTypes":{
            "AzureSynapseServerlessSql":{
                "scanRulesetName":"AzureSynapseSQL",
                "scanRulesetType":"System",
                "resourceNameFilter":{
                    "resources":[ "{serverless_database_name_1}", "{serverless_database_name_2}", ...]
                }
            }
        },
        "credential":{
            "referenceName":"{credential_name}",
            "credentialType":"SqlAuth | ServicePrincipal | ManagedIdentity (if UAMI authentication)"
        },
        "collection":{
            "referenceName":"{collection_id}",
            "type":"CollectionReference"
        },
        "connectedVia":{
            "referenceName":"{integration_runtime_name}",
            "integrationRuntimeType":"SelfHosted (if self-hosted IR) | Managed (if VNet IR)"
        }
    },
    "kind":"AzureSynapseWorkspaceCredential | AzureSynapseWorkspaceMsi (if system-assigned managed identity authentication)"
}

Para programar el examen, cree un desencadenador para él después de la creación del examen. Para obtener más información, vea Desencadenadores- Crear desencadenador.

Solución de problemas

Si tiene algún problema con el examen:

Siguientes pasos

Ahora que ha registrado el origen, use las siguientes guías para obtener más información sobre Microsoft Purview y sus datos: