Microsoft Purview에서 Azure SQL Database 검색 및 관리

이 문서에서는 Microsoft Purview에서 Azure SQL 데이터베이스 원본을 등록하는 프로세스를 간략하게 설명합니다. 여기에는 SQL 데이터베이스를 인증하고 상호 작용하는 지침이 포함되어 있습니다.

지원되는 기능

메타데이터 추출	전체 검사	증분 검사	범위가 지정된 검사	분류	레이블 지정	액세스 정책	계보	데이터 공유	라이브 보기
예	예	예	예	예	예	예	예(미리 보기)	아니요	예

참고

데이터 계보 추출은 현재 저장 프로시저 실행에 대해서만 지원됩니다. Azure SQL 테이블 또는 뷰가 복사 및 Data Flow 작업에서 원본/싱크로 사용되는 경우에도 Azure Data Factory 계보가 지원됩니다.

Azure SQL 데이터베이스를 검사할 때 Microsoft Purview는 다음 원본에서 기술 메타데이터 추출을 지원합니다.

• 서버
• Database
• 스키마
• 열을 포함한 테이블
• 열 포함 보기
• 저장 프로시저(계보 추출 사용)
• 저장 프로시저 실행(계보 추출 사용)

검사를 설정할 때 필요에 따라 테이블 및 뷰를 선택하여 데이터베이스 이름을 제공한 후 추가로 scope 수 있습니다.

알려진 제한

• Microsoft Purview는 스키마 탭에서 최대 800개의 열을 지원합니다. 열이 800개 이상인 경우 Microsoft Purview에 추가 열 자르기가 표시됩니다.
• 계보 추출 검사의 경우:
  • Azure의 논리 서버가 공용 액세스를 사용하지 않도록 설정하거나 Azure 서비스에서 액세스를 허용하지 않는 경우 계보 추출 검사는 현재 지원되지 않습니다.
  • 계보 추출 검사는 기본적으로 6시간마다 실행되도록 예약되어 있습니다. 빈도는 변경할 수 없습니다.
  • 계보는 저장 프로시저 실행이 한 테이블에서 다른 테이블로 데이터를 전송하는 경우에만 캡처됩니다. 임시 테이블에는 지원되지 않습니다.
  • 계보 추출은 함수 또는 트리거에 대해 지원되지 않습니다.
  • 다음과 같은 제한 사항으로 인해 현재 이러한 시나리오가 있는 경우 카탈로그에 중복 자산이 표시 될 수 있습니다.
    • 자산 및 정규화된 이름의 개체 이름은 저장 프로시저 문에 사용된 사례를 따르며, 원래 데이터 원본의 개체 사례와 일치하지 않을 수 있습니다.
    • SQL 뷰가 저장 프로시저에서 참조되면 현재 SQL 테이블로 캡처됩니다.

필수 구성 요소

• 활성 구독이 있는 Azure 계정입니다. 무료로 계정을 만듭니다.

• 활성 Microsoft Purview 계정입니다.

• 원본을 등록하고 Microsoft Purview 거버넌스 포털에서 관리할 수 있도록 데이터 원본 관리자 및 데이터 읽기 권한자 권한을 제공합니다. 자세한 내용은 Microsoft Purview 거버넌스 포털의 액세스 제어를 참조하세요.

데이터 원본 등록

검사하기 전에 Microsoft Purview에 데이터 원본을 등록하는 것이 중요합니다.

1. 다음을 통해 Microsoft Purview 거버넌스 포털을 엽니다.

   • Microsoft Purview 계정을 직접 https://web.purview.azure.com 탐색하고 선택합니다.
   • Azure Portal 열고 Microsoft Purview 계정을 검색하고 선택합니다. Microsoft Purview 거버넌스 포털 단추를 선택합니다.

2. 데이터 맵으로 이동합니다.

   

3. 컬렉션으로 이동하고 컬렉션 추가를 선택하여 컬렉션계층 구조를 만듭니다. 필요에 따라 개별 하위 컬렉션에 권한을 할당합니다.

   

4. 원본에서 적절한 컬렉션으로 이동한 다음 등록 아이콘을 선택하여 새 SQL 데이터베이스를 등록합니다.

   

5. Azure SQL 데이터베이스 데이터 원본을 선택한 다음, 계속을 선택합니다.

6. 이름에 데이터 원본에 적합한 이름을 제공합니다. Azure 구독, 서버 이름 및 컬렉션 선택에 대한 관련 이름을 선택한 다음 적용을 선택합니다.

   

7. 선택한 컬렉션 아래에 SQL 데이터베이스가 표시되는지 확인합니다.

   

방화벽 설정 업데이트

데이터베이스 서버에 방화벽이 사용하도록 설정된 경우 다음 방법 중 하나로 액세스를 허용하도록 방화벽을 업데이트해야 합니다.

• 방화벽을 통해 Azure 연결을 허용합니다. 가상 머신을 관리할 필요 없이 Azure 네트워킹을 통해 트래픽을 라우팅하는 간단한 옵션입니다.
• 네트워크의 컴퓨터에 자체 호스팅 통합 런타임을 설치하고 방화벽을 통해 액세스 권한을 부여합니다. Azure 내에 프라이빗 가상 네트워크가 설정되었거나 다른 닫힌 네트워크가 설정된 경우 해당 네트워크 내의 컴퓨터에서 자체 호스팅 통합 런타임을 사용하면 트래픽 흐름을 완전히 관리하고 기존 네트워크를 활용할 수 있습니다.
• 관리형 가상 네트워크를 사용합니다. Microsoft Purview 계정으로 관리형 가상 네트워크를 설정하면 닫힌 네트워크에서 Azure 통합 런타임을 사용하여 Azure SQL 연결할 수 있습니다.

방화벽에 대한 자세한 내용은 Azure SQL Database 방화벽 설명서를 참조하세요.

Azure 연결 허용

Azure 연결을 사용하도록 설정하면 방화벽 자체를 업데이트할 필요 없이 Microsoft Purview가 서버에 연결할 수 있습니다.

1. 데이터베이스 계정으로 이동합니다.
2. 개요 페이지에서 서버 이름을 선택합니다.
3. 보안>방화벽 및 가상 네트워크를 선택합니다.
4. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용에서예를 선택합니다.

Azure 내에서 연결을 허용하는 방법에 대한 자세한 내용은 방법 가이드를 참조하세요.

자체 호스팅 통합 런타임 설치

컴퓨터에 자체 호스팅 통합 런타임을 설치하여 프라이빗 네트워크의 리소스와 연결할 수 있습니다.

1. 개인 컴퓨터 또는 데이터베이스 서버와 동일한 가상 네트워크 내의 컴퓨터에 자체 호스팅 통합 런타임을 만들고 설치합니다.
2. 데이터베이스 서버의 네트워킹 구성을 확인하여 자체 호스팅 통합 런타임이 포함된 컴퓨터에서 프라이빗 엔드포인트에 액세스할 수 있는지 확인합니다. 아직 액세스할 수 없는 경우 컴퓨터의 IP 주소를 추가합니다.
3. 논리 서버가 프라이빗 엔드포인트 뒤에 있거나 가상 네트워크에 있는 경우 수집 프라이빗 엔드포인트를 사용하여 엔드 투 엔드 네트워크 격리를 보장할 수 있습니다.

검사에 대한 인증 구성

데이터 원본을 검사하려면 Azure SQL Database에서 인증 방법을 구성해야 합니다.

중요

자체 호스팅 통합 런타임을 사용하여 리소스에 연결하는 경우 시스템 할당 및 사용자 할당 관리 ID가 작동하지 않습니다. 서비스 주체 인증 또는 SQL 인증을 사용해야 합니다.

Microsoft Purview는 다음 옵션을 지원합니다.

• SAMI(시스템 할당 관리 ID)(권장) Microsoft Purview 계정과 직접 연결된 ID입니다. 이를 통해 사용자 또는 자격 증명 집합을 관리할 필요 없이 다른 Azure 리소스로 직접 인증할 수 있습니다.

  SAMI는 Microsoft Purview 리소스를 만들 때 만들어집니다. Azure에서 관리되며 Microsoft Purview 계정의 이름을 사용합니다. SAMI는 현재 Azure SQL 대한 자체 호스팅 통합 런타임과 함께 사용할 수 없습니다.

  자세한 내용은 관리 ID 개요를 참조하세요.

• UAMI(사용자 할당 관리 ID)( 미리 보기). SAMI와 마찬가지로 UAMI는 Microsoft Purview가 Azure Active Directory(Azure AD)에 대해 인증할 수 있는 자격 증명 리소스입니다.

  UAMI는 Azure 자체가 아닌 Azure의 사용자가 관리하므로 보안을 보다 세밀하게 제어할 수 있습니다. UAMI는 현재 Azure SQL 대한 자체 호스팅 통합 런타임과 함께 사용할 수 없습니다.

  자세한 내용은 사용자 할당 관리 ID 가이드를 참조하세요.

• 서비스 주체. 서비스 주체는 사용자와 직접 연결하지 않고 다른 그룹 또는 사용자와 같은 권한을 할당할 수 있는 애플리케이션입니다. 서비스 주체에 대한 인증에는 만료 날짜가 있으므로 임시 프로젝트에 유용할 수 있습니다.

  자세한 내용은 서비스 주체 설명서를 참조하세요.

• SQL 인증. 사용자 이름 및 암호를 사용하여 SQL 데이터베이스에 연결합니다. 자세한 내용은 SQL 인증 설명서를 참조하세요.

  로그인을 만들어야 하는 경우 이 가이드에 따라 SQL 데이터베이스를 쿼리합니다. 이 가이드를 사용하여 T-SQL을 사용하여 로그인을 만듭니다.

  참고

  페이지에서 Azure SQL 데이터베이스 옵션을 선택해야 합니다.

SQL 데이터베이스를 사용하여 인증하는 단계는 다음 탭에서 선택한 인증 방법을 선택합니다.

SQL 인증

참고

서버 수준 보안 주체 로그인(프로비저닝 프로세스에서 생성됨) 또는 master 데이터베이스의 loginmanager 데이터베이스 역할 멤버만 새 로그인을 만들 수 있습니다. Microsoft Purview 계정은 권한을 받은 후 약 15분 후에 리소스를 검색할 수 있어야 합니다.

1. Microsoft Purview가 데이터베이스를 검사하는 데 필요한 정보에 액세스할 수 있도록 최소 db_datareader 권한이 있는 SQL 로그인이 필요합니다. CREATE LOGIN의 지침에 따라 Azure SQL Database에 대한 로그인을 만들 수 있습니다. 다음 단계에 대한 사용자 이름 및 암호를 저장합니다.

2. Azure Portal 키 자격 증명 모음으로 이동합니다.

3. 설정>비밀을 선택한 다음 + 생성/가져오기를 선택합니다.

   

4. 이름 및 값의 경우 SQL 데이터베이스의 사용자 이름 및 암호(각각)를 사용합니다.

5. 만들기를 선택합니다.

6. 키 자격 증명 모음이 Microsoft Purview에 아직 연결되지 않은 경우 새 키 자격 증명 모음 연결을 만듭니다.

7. 키를 사용하여 검사를 설정하여 새 자격 증명을 만듭니다.

   

   

관리 ID

중요

자체 호스팅 통합 런타임을 사용하여 리소스에 연결하는 경우 시스템 할당 및 사용자 할당 관리 ID가 작동하지 않습니다. SQL 인증 또는 서비스 주체 인증을 사용해야 합니다.

데이터베이스 계정에서 Azure AD 인증 구성

관리 ID에는 데이터베이스, 스키마 및 테이블에 대한 메타데이터를 가져올 수 있는 권한이 필요합니다. 또한 분류를 위해 샘플링할 테이블을 쿼리할 수 있는 권한이 있어야 합니다.

1. 아직 구성하지 않은 경우 Azure SQL Azure AD 인증을 구성합니다.

2. Microsoft Purview의 정확한 관리 ID를 사용하여 Azure SQL Database에서 Azure AD 사용자를 만듭니다. Azure SQL Database에서 서비스 주체 사용자 만들기의 단계를 따릅니다.

3. ID에 적절한 권한(예: db_datareader)을 할당합니다. 사용자를 만들고 권한을 부여하는 예제 SQL 구문은 다음과 같습니다.

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   참고

   값은 [Username] Microsoft Purview의 관리 ID 이름입니다. 고정 데이터베이스 역할 및 해당 기능에 대해 자세히 확인할 수 있습니다.

포털 인증 구성

Microsoft Purview 계정의 시스템 할당 관리 ID 또는 사용자 할당 관리 ID 에 SQL 데이터베이스를 검사할 수 있는 권한을 부여하는 것이 중요합니다. 검사의 폭에 따라 구독, 리소스 그룹 또는 리소스 수준에서 SAMI 또는 UAMI를 추가할 수 있습니다.

참고

Azure 리소스에 관리 ID를 추가하려면 구독의 소유자여야 합니다.

1. Azure Portal 카탈로그에서 검사해야 하는 구독, 리소스 그룹 또는 리소스(예: SQL 데이터베이스)를 찾습니다.

2. 왼쪽 메뉴에서 액세스 제어(IAM)를 선택한 다음+역할 할당 추가를> 선택합니다.

   

3. 역할을읽기 권한자로 설정합니다. 선택 상자에 Microsoft Purview 계정 이름 또는 UAMI를 입력합니다. 그런 다음 저장 을 선택하여 Microsoft Purview 계정에 이 역할 할당을 제공합니다.

   

서비스 주체

새 서비스 주체 만들기

서비스 주체가 없는 경우 서비스 주체 가이드에 따라 서비스 주체를 만들 수 있습니다.

참고

서비스 주체를 만들려면 Azure AD 테넌트에서 애플리케이션을 등록해야 합니다. 필요한 액세스 권한이 없는 경우 Azure AD 전역 관리자 또는 애플리케이션 관리자가 이 작업을 수행할 수 있습니다.

SQL 데이터베이스에 대한 서비스 주체 액세스 권한 부여

서비스 주체는 데이터베이스, 스키마 및 테이블에 대한 메타데이터를 가져올 수 있는 권한이 필요합니다. 또한 분류를 위해 샘플링할 테이블을 쿼리할 수 있는 권한이 있어야 합니다.

1. 아직 구성하지 않은 경우 Azure SQL Azure AD 인증을 구성합니다.

2. 서비스 주체를 사용하여 Azure SQL Database에서 Azure AD 사용자를 만듭니다. Azure SQL Database에서 서비스 주체 사용자 만들기의 단계를 따릅니다.

3. ID에 적절한 권한(예: db_datareader)을 할당합니다. 사용자를 만들고 권한을 부여하는 예제 SQL 구문은 다음과 같습니다.

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   참고

   값은 [Username] 사용자 고유의 서비스 주체 이름입니다. 고정 데이터베이스 역할 및 해당 기능에 대해 자세히 확인할 수 있습니다.

자격 증명 만들기

1. Azure Portal 키 자격 증명 모음으로 이동합니다.

2. 설정>비밀을 선택한 다음 + 생성/가져오기를 선택합니다.

   

3. 이름에 대해 비밀에 원하는 이름을 지정합니다.

4. 값의 경우 서비스 주체의 비밀 값을 사용합니다. 서비스 주체에 대한 비밀을 이미 만든 경우 비밀의 개요 페이지에서 클라이언트 자격 증명 에서 해당 값을 찾을 수 있습니다.

   비밀을 만들어야 하는 경우 서비스 주체 가이드의 단계를 수행할 수 있습니다.

   

5. 만들기를 선택하여 비밀을 만듭니다.

6. 키 자격 증명 모음이 Microsoft Purview에 아직 연결되지 않은 경우 새 키 자격 증명 모음 연결을 만듭니다.

7. 새 자격 증명을 만듭니다.

   

8. 서비스 주체 ID의 경우 서비스 주체의 애플리케이션(클라이언트) ID를 사용합니다.

   

9. 비밀 이름의 경우 이전 단계에서 만든 비밀의 이름을 사용합니다.

   

검사 만들기

1. Microsoft Purview 계정을 열고 Microsoft Purview 거버넌스 포털 열기를 선택합니다.

2. 데이터 맵>원본으로 이동하여 컬렉션 계층 구조를 봅니다.

3. 이전에 등록한 SQL 데이터베이스 아래에서 새 검사 아이콘을 선택합니다.

   

Azure SQL Database의 데이터 계보에 대한 자세한 내용은 이 문서의 계보 추출(미리 보기) 섹션을 참조하세요.

검사 단계는 다음 탭에서 인증 방법을 선택합니다.

SQL 인증

1. 이름에 검사의 이름을 입력합니다.

2. 데이터베이스 선택 방법에서 수동으로 입력을 선택합니다.

3. 데이터베이스 이름 및 자격 증명의 경우 이전에 만든 값을 입력합니다.

   

4. 연결 선택에서 검사에 적합한 컬렉션을 선택합니다.

5. 연결 테스트를 선택하여 연결의 유효성을 검사합니다. 연결이 성공하면 계속을 선택합니다.

관리 ID

1. 이름에 검사의 이름을 입력합니다.

2. 자격 증명에서 SAMI 또는 UAMI를 선택하고 검사에 적합한 컬렉션을 선택합니다.

   

3. 연결 테스트를 선택합니다. 연결이 성공하면 계속을 선택합니다.

   

서비스 주체

1. 이름에 검사의 이름을 입력합니다.

2. 검사에 적합한 컬렉션을 선택하고 이전에 자격 증명 아래에서 만든 자격 증명을 선택합니다.

   

3. 연결 테스트를 선택합니다. 연결이 성공하면 계속을 선택합니다.

검사 범위 지정 및 실행

1. 목록에서 적절한 항목을 선택하여 특정 데이터베이스 개체에 검사를 scope 수 있습니다.

   

2. 검사 규칙 집합을 선택합니다. 시스템 기본값을 사용하거나, 기존 사용자 지정 규칙 집합 중에서 선택하거나, 인라인으로 새 규칙 집합을 만들 수 있습니다. 완료되면 계속 을 선택합니다.

   

   새 검사 규칙 집합을 선택하면 원본 유형, 규칙 집합의 이름 및 설명을 입력할 수 있도록 창이 열립니다. 완료되면 계속 을 선택합니다.

   

   분류 규칙 선택에서 검사 규칙 집합에 포함할 분류 규칙을 선택한 다음 만들기를 선택합니다.

   

   그러면 새 검사 규칙 집합이 사용 가능한 규칙 집합 목록에 표시됩니다.

   

3. 검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.

4. 검사를 검토한 다음 저장 및 실행을 선택합니다.

검사 보기

검사 상태 검사 컬렉션의 데이터 원본으로 이동한 다음 세부 정보 보기를 선택합니다.

검사 세부 정보는 검사 및 분류된 자산 수와 함께 마지막 실행 상태 검사 진행률을 나타냅니다. 마지막 실행 상태진행 중으로 업데이트된 다음 전체 검사가 성공적으로 실행된 후 완료됨으로 업데이트됩니다.

검사 관리

검사를 실행한 후 실행 기록을 사용하여 관리할 수 있습니다.

1. 최근 검사에서 검사를 선택합니다.

   

2. 실행 기록에는 검사를 다시 실행하거나 편집하거나 삭제하는 옵션이 있습니다.

   

   지금 검사 실행을 선택하여 검사를 다시 실행하면 증분 검사 또는 전체 검사를 선택할 수 있습니다.

   

검사 문제 해결

검사에 문제가 있는 경우 다음 팁을 시도해 보세요.

• 모든 필수 구성 요소를 따랐는지 확인합니다.
• 방화벽, Azure 연결 또는 통합 런타임 설정을 확인하여 네트워크를 확인합니다.
• 인증이 제대로 설정되었는지 확인합니다.

자세한 내용은 Microsoft Purview에서 연결 문제 해결을 참조하세요.

액세스 정책 설정

이 데이터 리소스에서 지원되는 Microsoft Purview 정책은 다음과 같습니다.

• DevOps 정책
• 데이터 소유자 정책
• 셀프 서비스 정책

Azure SQL Database의 액세스 정책 필수 구성 요소

• 이 기능에 대해 현재 사용 가능한 지역 중 하나에서 새 Azure SQL Database instance 만들거나 기존 데이터베이스를 사용합니다. 이 가이드에 따라 Azure SQL 데이터베이스 instance 만들 수 있습니다.

지역 지원

모든 Microsoft Purview 지역이 지원됩니다.

Microsoft Purview 정책 적용은 Azure SQL Database에 대해 다음 지역에서만 사용할 수 있습니다.

퍼블릭 클라우드:

• 미국 동부
• 미국 동부 2
• 미국 중남부
• 미국 중서부
• 미국 서부 3
• 캐나다 중부
• 브라질 남부
• 서유럽
• 북유럽
• 프랑스 중부
• 영국 남부
• 남아프리카 공화국 북부
• 인도 중부
• 동남 아시아
• 동아시아
• 오스트레일리아 동부

소버린 클라우드:

• USGov 버지니아
• 중국 북부 3

Microsoft Purview의 정책에 대한 Azure SQL 데이터베이스 instance 구성

Azure SQL Database와 연결된 논리 서버가 Microsoft Purview의 정책을 적용하려면 Azure Active Directory 관리자를 구성해야 합니다. Azure Portal Azure SQL Database instance 호스트하는 논리 서버로 이동합니다. 측면 메뉴에서 Azure Active Directory를 선택합니다. 관리자 이름을 원하는 Azure Active Directory 사용자 또는 그룹으로 설정한 다음 저장을 선택합니다.

그런 다음 측면 메뉴에서 ID를 선택합니다. 시스템 할당 관리 ID에서 상태 켜기로 전환한 다음 저장을 선택합니다.

정책에 대한 Microsoft Purview 계정 구성

Microsoft Purview에서 데이터 원본 등록

데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.

참고

Microsoft Purview 정책은 데이터 리소스 ARM 경로를 사용합니다. 데이터 리소스가 새 리소스 그룹 또는 구독으로 이동되면 등록을 해제한 다음 Microsoft Purview에 다시 등록해야 합니다.

데이터 원본에서 데이터 사용 관리를 사용하도록 권한 구성

리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 사용 관리를 사용하도록 설정하려면 사용 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 사용 관리를 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.

• 리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.

  • IAM 소유자
  • IAM 기여자와 IAM 사용자 액세스 관리자 모두

  Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.

  

  참고

  데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Azure AD 확인합니다.

• 또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.

  다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.

  

액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성

정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.

• 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
• 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

정책 작성자 역할은 루트 컬렉션 수준에서 구성해야 합니다.

또한 정책의 제목을 만들거나 업데이트할 때 Azure AD 사용자 또는 그룹을 쉽게 검색하려면 Azure AD 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.

데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성

데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 구성해야 합니다.

Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임

데이터 사용 관리에 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.

참고

모든 Microsoft Purview 루트 컬렉션 관리자는 루트 정책 작성자 역할에 새 사용자를 할당할 수 있습니다. 모든 컬렉션 관리자는 컬렉션 의 데이터 원본 관리자 역할에 새 사용자를 할당할 수 있습니다. Microsoft Purview 컬렉션 관리자, 데이터 원본 관리자 또는 정책 작성자 역할을 보유하는 사용자를 최소화하고 신중하게 검사합니다.

게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.

데이터 원본 등록 및 데이터 사용 관리 사용

액세스 정책을 만들려면 Azure SQL 데이터베이스 리소스를 Microsoft Purview에 등록해야 합니다. 리소스를 등록하려면 이 문서의 "필수 구성 요소" 및 "데이터 원본 등록" 섹션을 따릅니다.

데이터 원본을 등록한 후에는 데이터 사용 관리를 사용하도록 설정해야 합니다. 데이터 원본에서 정책을 만들려면 필수 구성 요소입니다. 데이터 사용 관리는 데이터 원본에 대한 액세스를 관리하는 특정 Microsoft Purview 역할에 위임하기 때문에 데이터의 보안에 영향을 줄 수 있습니다. Microsoft Purview 원본에서 데이터 사용 관리 사용의 보안 사례를 살펴봅니다.

데이터 원본에 데이터 사용 관리 옵션이 사용으로 설정된 후에는 다음 스크린샷과 같이 표시됩니다.

Azure SQL Database에 대한 Azure Portal 돌아가서 이제 Microsoft Purview에서 제어되는지 확인합니다.

1. 이 링크를 통해 Azure Portal 로그인

2. 구성하려는 Azure SQL 서버를 선택합니다.

3. 왼쪽 창에서 Azure Active Directory 로 이동합니다.

4. Microsoft Purview 액세스 정책까지 아래로 스크롤합니다.

5. Microsoft Purview 거버넌스 확인 단추를 선택합니다. 요청이 처리되는 동안 기다립니다. 몇 분 정도 걸릴 수 있습니다.

   

6. Microsoft Purview 거버넌스 상태에 가 표시되는지 확인합니다 Governed. 올바른 상태 반영하려면 Microsoft Purview에서 데이터 사용 관리를 사용하도록 설정한 후 몇 분 정도 걸릴 수 있습니다.

참고

이 Azure SQL 데이터베이스 데이터 원본에 대한 데이터 사용 관리를 사용하지 않도록 설정하면 Microsoft Purview 거버넌스 상태가 로 자동으로 Not Governed업데이트되는 데 최대 24시간이 걸릴 수 있습니다. Microsoft Purview 거버넌스 확인을 선택하여 이 작업을 가속화할 수 있습니다. 다른 Microsoft Purview 계정의 데이터 원본에 대한 데이터 사용 관리를 사용하도록 설정하기 전에 Purview 거버넌스 상태가 로 Not Governed표시되는지 확인합니다. 그런 다음, 새 Microsoft Purview 계정으로 위의 단계를 반복합니다.

정책 만들기

Azure SQL Database에 대한 액세스 정책을 만들려면 다음 가이드를 따릅니다.

• Azure SQL Database에서 시스템 상태, 성능 및 감사 정보에 대한 액세스를 프로비전합니다. 이 가이드를 사용하여 단일 SQL 데이터베이스에 DevOps 정책을 적용합니다.
• 단일 Azure SQL 데이터베이스에 대한 읽기/수정 액세스를 프로비전합니다. 이 가이드를 사용하여 구독의 단일 SQL 데이터베이스 계정에 대한 액세스를 프로비전합니다.
• Azure SQL Database에 대한 셀프 서비스 액세스 정책입니다. 이 가이드를 사용하여 데이터 소비자가 셀프 서비스 워크플로를 사용하여 데이터 자산에 대한 액세스를 요청할 수 있습니다.

리소스 그룹 또는 Azure 구독 내의 모든 데이터 원본을 포함하는 정책을 만들려면 Microsoft Purview에서 여러 Azure 원본 검색 및 관리를 참조하세요.

계보 추출(미리 보기)

참고

현재 계보는 자체 호스팅 통합 런타임 또는 관리형 VNET 런타임 및 Azure SQL 프라이빗 엔드포인트를 사용하여 지원되지 않습니다. Azure 서비스가 Azure SQL Database의 네트워크 설정에서 서버에 액세스할 수 있도록 설정해야 합니다. 계보 추출 검사의 알려진 제한 사항에 대해 자세히 알아봅니다.

Microsoft Purview는 Azure SQL Database의 계보를 지원합니다. 검사를 설정할 때 계보 추출 토글을 켜면 계보를 추출합니다.

계보 추출을 사용하여 검사를 설정하기 위한 필수 구성 요소

1. 이 문서의 검사에 대한 인증 구성 섹션의 단계에 따라 Microsoft Purview에서 SQL 데이터베이스를 검사할 수 있도록 권한을 부여합니다.

2. Azure AD 계정으로 Azure SQL Database에 로그인하고 Microsoft Purview 관리 ID에 권한을 할당 db_owner 합니다.

   참고

   계보는 XEvent 세션을 기반으로 하므로 'db_owner' 권한이 필요합니다. 따라서 Microsoft Purview는 SQL에서 XEvent 세션을 관리할 수 있는 권한이 필요합니다.

   다음 예제 SQL 구문을 사용하여 사용자를 만들고 권한을 부여합니다. 을 계정 이름으로 대체 <purview-account> 합니다.

   Create user <purview-account> FROM EXTERNAL PROVIDER
   GO
   EXEC sp_addrolemember 'db_owner', <purview-account> 
   GO
   

3. SQL 데이터베이스에서 다음 명령을 실행하여 master 키를 만듭니다.

   Create master key
   Go
   

4. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용이 Azure SQL 리소스에 대한 네트워킹/방화벽에서 사용하도록 설정되어 있는지 확인합니다.

계보 추출이 켜져 있는 검사 만들기

1. 검사를 설정하기 위한 창에서 계보 추출 사용 토글을 켭니다.

   

2. 이 문서의 검사 만들기 섹션의 단계에 따라 인증 방법을 선택합니다.

3. 검사를 성공적으로 설정하면 계보 추출이라는 새 검사 유형이 6시간마다 증분 검사를 실행하여 Azure SQL Database에서 계보를 추출합니다. 계보는 SQL 데이터베이스의 저장 프로시저 실행에 따라 추출됩니다.

   

Azure SQL 데이터베이스 자산 검색 및 런타임 계보 보기

데이터 카탈로그를 탐색하거나 데이터 카탈로그를 검색하여 Azure SQL Database에 대한 자산 세부 정보를 볼 수 있습니다. 다음 단계에서는 런타임 계보 세부 정보를 보는 방법을 설명합니다.

1. 자산의 계보 탭으로 이동합니다. 해당하는 경우 자산 계보가 여기에 표시됩니다.

   

   해당하는 경우 더 드릴다운하여 열 수준 계보와 함께 저장 프로시저 내의 SQL 문 수준에서 계보를 볼 수 있습니다. 검사에 자체 호스팅 Integration Runtime 사용하는 경우 버전 5.25.8374.1부터 검사 중에 계보 드릴다운 정보를 검색하는 것이 지원됩니다.

   

   지원되는 Azure SQL 데이터베이스 계보 시나리오에 대한 자세한 내용은 이 문서의 지원되는 기능 섹션을 참조하세요. 일반적인 계보에 대한 자세한 내용은 Microsoft Purview의 데이터 계보 및 Microsoft Purview 데이터 카탈로그 계보 사용자 가이드를 참조하세요.

2. 저장 프로시저 자산으로 이동합니다. 속성 탭에서 관련 자산으로 이동하여 저장 프로시저의 최신 실행 세부 정보를 가져옵니다.

   

3. 실행 옆에 있는 저장 프로시저 하이퍼링크를 선택하여 Azure SQL 저장 프로시저 실행 개요를 확인합니다. 속성 탭으로 이동하여 저장 프로시저의 향상된 런타임 정보(예: executedTime, rowCount 및 클라이언트 연결)를 확인합니다.

   

계보 추출 문제 해결

다음 팁은 계보와 관련된 문제를 해결하는 데 도움이 될 수 있습니다.

• 계보 추출이 성공한 후 계보가 캡처되지 않으면 검사를 설정한 이후 저장 프로시저가 한 번 이상 실행되지 않았을 수 있습니다.
• 검사 성공 후 발생하는 저장 프로시저 실행에 대해 계보가 캡처됩니다. 과거 저장 프로시저 실행의 계보는 캡처되지 않습니다.
• 데이터베이스가 많은 저장 프로시저 실행으로 많은 워크로드를 처리하는 경우 계보 추출은 가장 최근의 실행만 필터링합니다. 저장 프로시저는 6시간 창에서 일찍 실행되거나 쿼리 부하가 많은 실행 인스턴스는 추출되지 않습니다. 저장 프로시저 실행에서 계보가 누락된 경우 지원에 문의하세요.
• 저장 프로시저에 drop 또는 create 문이 포함된 경우 현재 계보에서 캡처되지 않습니다.

다음 단계

Microsoft Purview 및 데이터에 대해 자세히 알아보려면 다음 가이드를 사용합니다.

• Microsoft Purview 데이터 소유자 정책에 대한 개념
• Microsoft Purview DevOps 정책에 대한 개념
• Microsoft Purview 데이터 에스테이트 인사이트 애플리케이션 이해
• Microsoft Purview 데이터 카탈로그 계보 사용자 가이드
• Microsoft Purview 데이터 카탈로그 검색