Condividi tramite


Connettersi e gestire le aree di lavoro di Azure Synapse Analytics in Microsoft Purview

Questo articolo illustra come registrare le aree di lavoro di Azure Synapse Analytics. Descrive anche come autenticare e interagire con le aree di lavoro di Azure Synapse Analytics in Microsoft Purview. Per altre informazioni su Microsoft Purview, vedere l'articolo introduttivo.

Funzionalità supportate

Estrazione dei metadati Analisi completa Analisi incrementale Analisi con ambito Classificazione Applicazione di etichette Criteri di accesso Lignaggio Condivisione dei dati Visualizzazione dinamica
No No No Sì : pipeline No No

Attualmente, Azure Synapse database lake di Analytics non sono supportati.

Per le tabelle esterne, Azure Synapse Analytics attualmente non acquisisce la relazione di tali tabelle con i file originali.

Prerequisiti

Registrazione

La procedura seguente descrive come registrare le aree di lavoro di Azure Synapse Analytics in Microsoft Purview usando il portale di governance di Microsoft Purview.

Solo un utente che ha almeno un ruolo di lettore di dati nell'area di lavoro Azure Synapse Analytics e che è anche un amministratore dell'origine dati in Microsoft Purview può registrare un'area di lavoro Azure Synapse Analytics.

  1. Aprire il portale di governance di Microsoft Purview e selezionare l'account Microsoft Purview.

    In alternativa, passare alla portale di Azure, cercare e selezionare l'account Microsoft Purview e quindi selezionare il pulsante Portale di governance di Microsoft Purview.

  2. Nel riquadro sinistro selezionare Origini.

  3. Selezionare Registra.

  4. In Registra origini selezionare Azure Synapse Analytics (più).

  5. Selezionare Continua.

    Screenshot di una selezione di origini in Microsoft Purview, tra cui Azure Synapse Analytics.

  6. Nella pagina Registra origini (Azure Synapse Analytics) eseguire le operazioni seguenti:

    1. In Nome immettere un nome per l'origine dati da elencare nel catalogo dati.

    2. Facoltativamente, per la sottoscrizione di Azure scegliere una sottoscrizione a cui filtrare.

    3. In Nome area di lavoro selezionare l'area di lavoro con cui si sta lavorando.

      Le caselle per gli endpoint SQL vengono compilate automaticamente in base alla selezione dell'area di lavoro.

    4. In Selezionare una raccolta scegliere la raccolta con cui si sta lavorando oppure crearne una nuova.

    5. Selezionare Registra per completare la registrazione dell'origine dati.

    Screenshot della pagina per immettere i dettagli sull'origine Azure Synapse.

Analisi

Seguire questa procedura per analizzare le aree di lavoro di Azure Synapse Analytics per identificare automaticamente gli asset e classificare i dati. Per altre informazioni sull'analisi in generale, vedere Analisi e inserimento in Microsoft Purview.

  1. Configurare l'autenticazione per enumerare le risorse dedicate o serverless . Questo passaggio consentirà a Microsoft Purview di enumerare gli asset dell'area di lavoro ed eseguire analisi.
  2. Applicare le autorizzazioni per analizzare il contenuto dell'area di lavoro.
  3. Verificare che la rete sia configurata per consentire l'accesso a Microsoft Purview.

Autenticazione dell'enumerazione

Usare le procedure seguenti per configurare l'autenticazione. Per aggiungere i ruoli specificati, è necessario essere un proprietario o un amministratore dell'accesso utente.

Autenticazione per l'enumerazione di risorse di database SQL dedicate

  1. Nel portale di Azure passare alla risorsa dell'area di lavoro Azure Synapse Analytics.
  2. Nel riquadro sinistro selezionare Controllo di accesso (IAM).
  3. Selezionare il pulsante Aggiungi.
  4. Impostare il ruolo Lettore e immettere il nome dell'account Microsoft Purview, che rappresenta l'identità del servizio gestita.Set the Reader role and enter your Microsoft Purview account name, which represents its managed service identity (MSI).
  5. Selezionare Salva per completare l'assegnazione del ruolo.

Nota

Se si prevede di registrare ed analizzare più aree di lavoro di Azure Synapse Analytics nell'account Microsoft Purview, è anche possibile assegnare il ruolo da un livello superiore, ad esempio un gruppo di risorse o una sottoscrizione.

Autenticazione per l'enumerazione delle risorse del database SQL serverless

Sono disponibili tre posizioni in cui è necessario impostare l'autenticazione per consentire a Microsoft Purview di enumerare le risorse del database SQL serverless.

Per impostare l'autenticazione per l'area di lavoro Azure Synapse Analytics:

  1. Nel portale di Azure passare alla risorsa dell'area di lavoro Azure Synapse Analytics.
  2. Nel riquadro sinistro selezionare Controllo di accesso (IAM).
  3. Selezionare il pulsante Aggiungi.
  4. Impostare il ruolo Lettore e immettere il nome dell'account Microsoft Purview, che rappresenta l'identità del servizio gestito.
  5. Selezionare Salva per completare l'assegnazione del ruolo.

Per impostare l'autenticazione per l'account di archiviazione:

  1. Nel portale di Azure passare al gruppo di risorse o alla sottoscrizione che contiene l'account di archiviazione associato all'area di lavoro Azure Synapse Analytics.
  2. Nel riquadro sinistro selezionare Controllo di accesso (IAM).
  3. Selezionare il pulsante Aggiungi.
  4. Impostare il ruolo lettore di dati del BLOB di archiviazione e immettere il nome dell'account Microsoft Purview (che rappresenta l'identità del servizio gestito) nella casella Seleziona .
  5. Selezionare Salva per completare l'assegnazione del ruolo.

Per impostare l'autenticazione per il database serverless di Azure Synapse Analytics:

  1. Passare all'area di lavoro Azure Synapse Analytics e aprire Synapse Studio.

  2. Nel riquadro sinistro selezionare Dati.

  3. Selezionare i puntini di sospensione (...) accanto a uno dei database e quindi avviare un nuovo script SQL.

  4. Eseguire il comando seguente nello script SQL per aggiungere l'identità del servizio gestito dell'account Microsoft Purview (rappresentata dal nome dell'account) nei database SQL serverless:

    CREATE LOGIN [PurviewAccountName] FROM EXTERNAL PROVIDER;
    

Applicare le autorizzazioni per analizzare il contenuto dell'area di lavoro

È necessario configurare l'autenticazione in ogni database SQL che si vuole registrare e analizzare dall'area di lavoro Azure Synapse Analytics. Selezionare uno degli scenari seguenti per la procedura per applicare le autorizzazioni.

Importante

I passaggi seguenti per i database serverless non si applicano ai database replicati. In Azure Synapse Analytics, i database serverless replicati dai database Spark sono attualmente di sola lettura. Per altre informazioni, vedere Operazione non consentita per un database replicato.

Usare un'identità gestita per i database SQL dedicati

Per eseguire i comandi nella procedura seguente, è necessario essere un amministratore Azure Synapse nell'area di lavoro. Per altre informazioni sulle autorizzazioni Azure Synapse Analytics, vedere Configurare il controllo di accesso per l'area di lavoro Azure Synapse Analytics.

  1. Passare all'area di lavoro Azure Synapse Analytics.

  2. Passare alla sezione Dati e quindi cercare uno dei database SQL dedicati.

  3. Selezionare i puntini di sospensione (...) accanto al nome del database e quindi avviare un nuovo script SQL.

  4. Eseguire il comando seguente nello script SQL per aggiungere l'identità del servizio gestito dell'account Microsoft Purview (rappresentata dal nome dell'account) nel db_datareader database SQL dedicato:

    CREATE USER [PurviewAccountName] FROM EXTERNAL PROVIDER
    GO
    
    EXEC sp_addrolemember 'db_datareader', [PurviewAccountName]
    GO
    
  5. Eseguire il comando seguente nello script SQL per verificare l'aggiunta del ruolo:

    SELECT p.name AS UserName, r.name AS RoleName
    FROM sys.database_principals p
    LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id
    LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
    WHERE p.authentication_type_desc = 'EXTERNAL'
    ORDER BY p.name;
    

Seguire gli stessi passaggi per ogni database da analizzare.

Usare un'identità gestita per i database SQL serverless

  1. Passare all'area di lavoro Azure Synapse Analytics.

  2. Passare alla sezione Dati e selezionare uno dei database SQL.

  3. Selezionare i puntini di sospensione (...) accanto al nome del database e quindi avviare un nuovo script SQL.

  4. Eseguire il comando seguente nello script SQL per aggiungere l'identità del servizio gestito dell'account Microsoft Purview (rappresentata dal nome dell'account) nei db_datareader database SQL serverless:

    CREATE USER [PurviewAccountName] FOR LOGIN [PurviewAccountName];
    ALTER ROLE db_datareader ADD MEMBER [PurviewAccountName]; 
    
  5. Eseguire il comando seguente nello script SQL per verificare l'aggiunta del ruolo:

    SELECT p.name AS UserName, r.name AS RoleName
    FROM sys.database_principals p
    LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id
    LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
    WHERE p.authentication_type_desc = 'EXTERNAL'
    ORDER BY p.name;
    

Seguire gli stessi passaggi per ogni database da analizzare.

Concedere l'autorizzazione per l'uso delle credenziali per le tabelle esterne

Se l'area di lavoro Azure Synapse Analytics include tabelle esterne, è necessario concedere l'autorizzazione Riferimenti all'identità gestita di Microsoft Purview per le credenziali con ambito della tabella esterna. Con l'autorizzazione Riferimenti, Microsoft Purview può leggere i dati da tabelle esterne.

  1. Eseguire il comando seguente nello script SQL per ottenere l'elenco delle credenziali con ambito database:

    Select name, credential_identity
    from sys.database_scoped_credentials;
    
  2. Per concedere l'accesso alle credenziali con ambito database, eseguire il comando seguente. Sostituire scoped_credential con il nome delle credenziali con ambito database.

    GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[scoped_credential] TO [PurviewAccountName];
    
  3. Per verificare l'assegnazione di autorizzazioni, eseguire il comando seguente nello script SQL:

    SELECT dp.permission_name, dp.grantee_principal_id, p.name AS grantee_principal_name
    FROM sys.database_permissions AS dp
    JOIN sys.database_principals AS p ON dp.grantee_principal_id = p.principal_id
    JOIN sys.database_scoped_credentials AS c ON dp.major_id = c.credential_id;
    

Configurare l'accesso al firewall per l'area di lavoro Azure Synapse Analytics

  1. Nella portale di Azure passare all'area di lavoro Azure Synapse Analytics.

  2. Nel riquadro sinistro selezionare Rete.

  3. Per Consenti ai servizi e alle risorse di Azure di accedere a questo controllo dell'area di lavoro , selezionare ON.

  4. Selezionare Salva.

Importante

Se non è possibile abilitare Consenti ai servizi e alle risorse di Azure di accedere a questa area di lavoro nelle aree di lavoro di Azure Synapse Analytics, si verificherà un errore di enumerazione del database serverless quando si configura un'analisi nel portale di governance di Microsoft Purview. In questo caso, è possibile scegliere l'opzione Invio manuale per specificare i nomi di database da analizzare e quindi procedere o configurare un'analisi usando un'API.

Creare ed eseguire un'analisi

  1. Nel riquadro sinistro del portale di governance di Microsoft Purview selezionare Mappa dati.

  2. Selezionare l'origine dati registrata.

  3. Selezionare Visualizza dettagli e quindi Nuova analisi. In alternativa, è possibile selezionare l'icona Analizza azione rapida nel riquadro di origine.

  4. Nel riquadro Analizza dettagli immettere un nome per l'analisi nella casella Nome .

Nota

Per il runtime di integrazione, se si usa il runtime di rete virtuale gestita, assicurarsi di aver creato gli enpoint privati gestiti necessari:

  • Per analizzare i pool serverless, creare un enpoint privato gestito di tipo sotto-risorsa sqlOnDemand per l'area di lavoro Synapse.
  • Per analizzare i pool dedicati, creare un enpoint privato gestito di tipo di sotto-risorsa sql per l'area di lavoro Synapse.
  • Se si analizzano sia i pool serverless che i pool dedicati, è possibile creare entrambi gli endpoint privati gestiti e nella procedura guidata selezionarne uno.
  1. Nell'elenco a discesa Credenziali selezionare le credenziali per connettersi alle risorse all'interno dell'origine dati.

  2. Per Metodo di selezione database selezionare Dall'area di lavoro Synapse o Immettere manualmente. Per impostazione predefinita, Microsoft Purview tenta di enumerare i database nell'area di lavoro ed è possibile selezionare quelli da analizzare.

    Screenshot del riquadro dei dettagli per l'analisi di origine Azure Synapse.

    Se viene visualizzato un errore che indica che Microsoft Purview non è riuscito a caricare i database serverless, è possibile selezionare Invio manualmente per specificare il tipo di database (dedicato o serverless) e il nome del database corrispondente.

    Screenshot della selezione per l'immissione manuale dei nomi di database durante la configurazione di un'analisi.

  3. Selezionare Test connessione per convalidare le impostazioni. Se viene visualizzato un errore, nella pagina del report passare il puntatore del mouse sullo stato della connessione per visualizzare i dettagli.

  4. Selezionare Continua.

  5. Selezionare Analizza set di regole di tipo Azure Synapse SQL. È anche possibile creare set di regole di analisi inline.

  6. Scegliere il trigger di analisi. È possibile pianificarlo per l'esecuzione settimanale/mensile o una volta.

  7. Esaminare l'analisi e quindi selezionare Salva per completare la configurazione.

Visualizzare le analisi e le esecuzioni di analisi

Per visualizzare le analisi esistenti:

  1. Passare al portale di governance di Microsoft Purview. Nel riquadro sinistro selezionare Mappa dati.
  2. Selezionare l'origine dati. È possibile visualizzare un elenco di analisi esistenti nell'origine dati in Analisi recenti oppure è possibile visualizzare tutte le analisi nella scheda Analisi .
  3. Selezionare l'analisi con i risultati che si desidera visualizzare. Il riquadro mostra tutte le esecuzioni di analisi precedenti, insieme allo stato e alle metriche per ogni esecuzione dell'analisi.
  4. Selezionare l'ID di esecuzione per controllare i dettagli dell'esecuzione dell'analisi.

Gestire le analisi

Per modificare, annullare o eliminare un'analisi:

  1. Passare al portale di governance di Microsoft Purview. Nel riquadro sinistro selezionare Mappa dati.

  2. Selezionare l'origine dati. È possibile visualizzare un elenco di analisi esistenti nell'origine dati in Analisi recenti oppure è possibile visualizzare tutte le analisi nella scheda Analisi .

  3. Selezionare l'analisi da gestire. È quindi possibile eseguire automaticamente le seguenti azioni:

    • Modificare l'analisi selezionando Modifica analisi.
    • Annullare un'analisi in corso selezionando Annulla esecuzione analisi.
    • Eliminare l'analisi selezionando Elimina analisi.

Nota

  • L'eliminazione dell'analisi non elimina gli asset del catalogo creati dalle analisi precedenti.
  • L'asset non verrà più aggiornato con le modifiche dello schema se la tabella di origine è stata modificata e la tabella di origine viene analizzata di nuovo dopo aver modificato la descrizione nella scheda Schema di Microsoft Purview.

Configurare un'analisi usando un'API

Di seguito è riportato un esempio di creazione di un'analisi per un database serverless tramite l'API REST Microsoft Purview. Sostituire i segnaposto tra parentesi graffe ({}) con le impostazioni effettive. Per altre informazioni , vedere Analisi - Creare o aggiornare.

PUT https://{purview_account_name}.purview.azure.com/scan/datasources/<data_source_name>/scans/{scan_name}?api-version=2022-02-01-preview

Nel codice seguente, collection_id non è il nome descrittivo della raccolta, un ID di cinque caratteri. Per la raccolta radice, collection_id è il nome della raccolta. Per tutte le sottoraccolte, è invece l'ID che è possibile trovare in una di queste posizioni:

  • URL nel portale di governance di Microsoft Purview. Selezionare la raccolta e controllare l'URL per trovare la posizione in cui è indicato collection=. Questo è il tuo ID. Nell'esempio seguente, la raccolta Investment ha l'ID 50h55c.

    Screenshot di un ID raccolta in un URL.

  • È possibile elencare i nomi di raccolta figlio della raccolta radice per elencare le raccolte e quindi usare il nome anziché il nome descrittivo.

{
    "properties":{
        "resourceTypes":{
            "AzureSynapseServerlessSql":{
                "scanRulesetName":"AzureSynapseSQL",
                "scanRulesetType":"System",
                "resourceNameFilter":{
                    "resources":[ "{serverless_database_name_1}", "{serverless_database_name_2}", ...]
                }
            }
        },
        "credential":{
            "referenceName":"{credential_name}",
            "credentialType":"SqlAuth | ServicePrincipal | ManagedIdentity (if UAMI authentication)"
        },
        "collection":{
            "referenceName":"{collection_id}",
            "type":"CollectionReference"
        },
        "connectedVia":{
            "referenceName":"{integration_runtime_name}",
            "integrationRuntimeType":"SelfHosted (if self-hosted IR) | Managed (if VNet IR)"
        }
    },
    "kind":"AzureSynapseWorkspaceCredential | AzureSynapseWorkspaceMsi (if system-assigned managed identity authentication)"
}

Per pianificare l'analisi, creare un trigger dopo la creazione dell'analisi. Per altre informazioni, vedere Trigger - Crea trigger.

Risoluzione dei problemi

In caso di problemi con l'analisi:

Passaggi successivi

Dopo aver registrato l'origine, usare le guide seguenti per altre informazioni su Microsoft Purview e sui dati: