Microsoft Purview 거버넌스 포털 내의 액세스 제어
Microsoft Purview 거버넌스 포털은 Microsoft Purview 데이터 맵 컬렉션을 사용하여 원본, 자산 및 기타 아티팩트 간에 액세스를 구성하고 관리합니다. 이 문서에서는 Microsoft Purview 거버넌스 포털의 계정에 대한 컬렉션 및 액세스 관리에 대해 설명합니다.
중요
이 문서에서는 Microsoft Purview 거버넌스 포털에 필요한 권한 및 Microsoft Purview 데이터 맵, Data Catalog, 데이터 정책, Data Estate Insights 등과 같은 애플리케이션을 참조합니다. Microsoft Purview 규정 준수 센터에 대한 사용 권한 정보를 찾고 있는 경우 Microsoft Purview 규정 준수 포털 사용 권한에 대한 문서를 따르세요. 데이터 시스템의 데이터 자체에 대한 액세스 권한을 부여하려는 경우 Microsoft Purview 데이터 소유자 정책을 사용할 수 있습니다. 특정 데이터베이스의 시스템 메타데이터에 대한 액세스 권한을 부여하려는 경우 Microsoft Purview DevOps 정책을 사용할 수 있습니다.
Microsoft Purview 거버넌스 포털에 액세스할 수 있는 권한
Microsoft Purview 거버넌스 포털에 액세스하는 두 가지 기본 방법이 있으며 다음 중 하나에 대한 특정 권한이 필요합니다.
- 에서 직접 Microsoft Purview 거버넌스 포털에 https://web.purview.azure.com액세스하려면 Microsoft Purview 데이터 맵 컬렉션에 대한 읽기 권한자 역할 이상이 필요합니다.
- Microsoft Purview 계정을 검색하고, 열고, Microsoft Purview 거버넌스 포털 열기를 선택하여 Azure Portal 통해 Microsoft Purview 거버넌스 포털에 액세스하려면 IAM(Access Control)에서 최소한 읽기 권한자 역할이 필요합니다.
참고
서비스 주체를 사용하여 계정을 만든 경우 Microsoft Purview 거버넌스 포털에 액세스할 수 있도록 루트 컬렉션에 대한 사용자 컬렉션 관리자 권한을 부여해야 합니다.
컬렉션
컬렉션은 Microsoft Purview 데이터 맵 자산, 원본 및 기타 아티팩트들을 검색 가능성을 위해 계층 구조로 그룹화하고 액세스 제어를 관리하는 데 사용하는 도구입니다. Microsoft Purview 거버넌스 포털의 리소스에 대한 모든 액세스는 Microsoft Purview 데이터 맵 컬렉션에서 관리됩니다.
역할
Microsoft Purview 거버넌스 포털은 미리 정의된 역할 집합을 사용하여 계정 내에서 액세스할 수 있는 사용자를 제어합니다. 이러한 역할은 현재 다음과 같습니다.
- 컬렉션 관리자 - Microsoft Purview 거버넌스 포털에서 다른 사용자에게 역할을 할당하거나 컬렉션을 관리해야 하는 사용자를 위한 역할입니다. 컬렉션 관리자는 사용자가 관리자인 컬렉션의 역할에 사용자를 추가할 수 있습니다. 컬렉션, 세부 정보를 편집하고 하위 컬렉션을 추가할 수도 있습니다. 루트 컬렉션의 컬렉션 관리자도 Microsoft Purview 거버넌스 포털에 대한 권한을 자동으로 부여합니다. 루트 컬렉션 관리자를 변경해야 하는 경우 아래 섹션의 단계를 수행할 수 있습니다.
- 데이터 큐레이터 - 데이터 카탈로그에 대한 액세스를 제공하여 자산을 관리하고, 사용자 지정 분류를 구성하고, 용어집 용어를 만들고 관리하고, 데이터 자산 인사이트를 볼 수 있습니다. 데이터 큐레이터는 자산을 만들고, 읽고, 수정하고, 이동하고, 삭제할 수 있습니다. 자산에 주석을 적용할 수도 있습니다.
- 데이터 판독기 - 데이터 자산, 분류, 분류 규칙, 컬렉션 및 용어집 용어집 용어에 대한 읽기 전용 액세스를 제공하는 역할입니다.
- 데이터 원본 관리자 - 사용자가 데이터 원본 및 검사를 관리할 수 있는 역할입니다. 사용자에게 지정된 데이터 원본의 데이터 원본 관리자 역할에만 부여된 경우 기존 검사 규칙을 사용하여 새 검사를 실행할 수 있습니다. 새 검사 규칙을 만들려면 사용자에게 데이터 판독 기 또는 데이터 큐레이터 역할로도 부여되어야 합니다.
- 인사이트 읽기 권한자 - 인사이트 판독기에도 적어도 데이터 판독기 역할이 있는 컬렉션에 대한 인사이트 보고서에 대한 읽기 전용 액세스를 제공하는 역할입니다. 자세한 내용은 인사이트 권한을 참조하세요.
- 정책 작성자 - 사용자가 Microsoft Purview 내의 데이터 정책 앱을 통해 Microsoft Purview 정책을 보고, 업데이트하고, 삭제할 수 있는 역할입니다.
- 워크플로 관리자 - 사용자가 Microsoft Purview 거버넌스 포털의 워크플로 작성 페이지에 액세스하고 액세스 권한이 있는 컬렉션에 워크플로를 게시할 수 있는 역할입니다. 워크플로 관리자는 작성에만 액세스할 수 있으므로 Purview 거버넌스 포털에 액세스할 수 있도록 컬렉션에 대한 데이터 읽기 권한자 이상의 권한이 필요합니다.
참고
현재 Microsoft Purview 정책 작성자 역할은 정책을 만들기에 충분하지 않습니다. Microsoft Purview 데이터 원본 관리자 역할도 필요합니다.
누가 어떤 역할에 할당되어야 하나요?
| 사용자 시나리오 | 적절한 역할 |
|---|---|
| 난 그냥 자산을 찾을 필요가, 난 아무것도 편집하고 싶지 않아 | 데이터 판독기 |
| 자산에 대한 정보를 편집하고 관리해야 합니다. | 데이터 큐레이터 |
| 사용자 지정 분류를 만들고 싶습니다. | 데이터 큐레이터 또는 데이터 원본 관리자 |
| 비즈니스 용어집을 편집해야 합니다. | 데이터 큐레이터 |
| 데이터 자산의 거버넌스 상태를 이해하려면 Data Estate Insights를 확인해야 합니다. | 데이터 큐레이터 |
| 애플리케이션의 서비스 주체가 데이터를 Microsoft Purview 데이터 맵 푸시해야 합니다. | 데이터 큐레이터 |
| Microsoft Purview 거버넌스 포털을 통해 검사를 설정해야 합니다. | 원본이 등록된 컬렉션 또는 데이터 큐레이터 및 데이터 원본 관리자의 데이터 큐레이터입니다. |
| 서비스 주체 또는 그룹이 카탈로그 정보에 액세스할 수 없도록 허용하지 않고 Microsoft Purview 데이터 맵 검사를 설정하고 모니터링할 수 있도록 설정해야 합니다. | 데이터 원본 관리자 |
| Microsoft Purview 거버넌스 포털에서 사용자를 역할에 배치해야 합니다. | 컬렉션 관리자 |
| 액세스 정책을 만들고 게시해야 합니다. | 데이터 원본 관리자 및 정책 작성자 |
| 거버넌스 포털에서 Microsoft Purview 계정에 대한 워크플로를 만들어야 합니다. | 워크플로 관리자 |
| Microsoft Purview에 등록된 원본의 데이터를 공유해야 합니다. | 데이터 판독기 |
| Microsoft Purview에서 공유 데이터를 받아야 합니다. | 데이터 판독기 |
| 내가 속한 컬렉션에 대한 인사이트를 확인해야 합니다. | 인사이트 읽기 권한자 또는 데이터 큐레이터 |
| SHIR(자체 호스팅 통합 런타임)을 만들거나 관리해야 합니다. | 데이터 원본 관리자 |
| 관리되는 프라이빗 엔드포인트를 만들어야 합니다. | 데이터 원본 관리자 |
참고
*데이터 큐레이터 - 데이터 큐레이터는 루트 수집 수준에서 데이터 큐레이터가 할당된 경우에만 인사이트를 읽을 수 있습니다. **정책에 대한 데이터 원본 관리자 권한 - 데이터 원본 관리자도 데이터 정책을 게시할 수 있습니다.
Microsoft Purview 거버넌스 포털의 역할 및 컬렉션을 사용하는 방법 이해
모든 액세스 제어는 Microsoft Purview 데이터 맵 컬렉션을 통해 관리됩니다. 컬렉션은 Microsoft Purview 거버넌스 포털에서 찾을 수 있습니다. Azure Portal 계정을 열고 개요 페이지에서 Microsoft Purview 거버넌스 포털 타일을 선택합니다. 여기에서 왼쪽 메뉴의 데이터 맵으로 이동한 다음, '컬렉션' 탭을 선택합니다.
Microsoft Purview(이전의 Azure Purview) 계정이 만들어지면 계정 자체와 이름이 같은 루트 컬렉션으로 시작합니다. 계정 작성자는 이 루트 컬렉션에서 컬렉션 관리, 데이터 원본 관리, 데이터 큐레이터 및 데이터 읽기 권한자로 자동으로 추가되며 이 컬렉션을 편집하고 관리할 수 있습니다.
원본, 자산 및 개체를 이 루트 컬렉션에 직접 추가할 수 있지만 다른 컬렉션도 추가할 수 있습니다. 컬렉션을 추가하면 계정 전체에서 데이터에 액세스할 수 있는 사용자를 더 자세히 제어할 수 있습니다.
다른 모든 사용자는 Microsoft Purview 거버넌스 포털 내에서만 정보에 액세스할 수 있습니다( 또는 사용자가 있는 그룹)에게 위의 역할 중 하나가 제공된 경우에만 액세스할 수 있습니다. 즉, 계정을 만들 때 작성자 외에는 컬렉션에서 위의 역할 중 하나 이상에 추가될 때까지 해당 API에 액세스하거나 사용할 수 없습니다.
사용자는 컬렉션 관리자 또는 권한 상속을 통해서만 컬렉션에 추가할 수 있습니다. 부모 컬렉션의 사용 권한은 해당 하위 컬렉션에 의해 자동으로 상속됩니다. 그러나 모든 컬렉션에 대한 사용 권한 상속을 제한 하도록 선택할 수 있습니다. 이렇게 하면 해당 하위 컬렉션은 더 이상 부모로부터 권한을 상속하지 않으며 부모 컬렉션에서 자동으로 상속되는 컬렉션 관리자는 제거할 수 없지만 직접 추가해야 합니다.
구독과 연결된 Azure Active Directory의 사용자, 보안 그룹 및 서비스 주체에 역할을 할당할 수 있습니다.
사용자에게 권한 할당
Microsoft Purview(이전의 Azure Purview) 계정을 만든 후 가장 먼저 해야 할 일은 컬렉션을 만들고 해당 컬렉션 내의 역할에 사용자를 할당하는 것입니다.
참고
서비스 주체를 사용하여 계정을 만든 경우 Microsoft Purview 거버넌스 포털에 액세스하고 사용자에게 권한을 할당하려면 루트 컬렉션에 대한 사용자 컬렉션 관리자 권한을 부여해야 합니다.
컬렉션 만들기
컬렉션은 Microsoft Purview 데이터 맵 원본의 구조에 맞게 사용자 지정할 수 있으며 이러한 리소스에 대해 구성된 스토리지 저장소처럼 작동할 수 있습니다. 필요할 수 있는 컬렉션에 대해 생각할 때 사용자가 정보에 액세스하거나 검색하는 방법을 고려합니다. 원본이 부서별로 분할되어 있나요? 해당 부서 내에 일부 자산만 검색해야 하는 특수 그룹이 있나요? 모든 사용자가 검색할 수 있는 몇 가지 원본이 있나요?
이렇게 하면 데이터 맵을 가장 효과적으로 구성하는 데 필요할 수 있는 컬렉션 및 하위 컬렉션을 알 수 있습니다.
새 컬렉션을 드롭다운에서 부모 컬렉션을 선택할 수 있는 데이터 맵에 직접 추가하거나 부모에서 하위 컬렉션으로 추가할 수 있습니다. 데이터 맵 보기에서 컬렉션에서 정렬한 모든 원본 및 자산을 볼 수 있으며 목록에서 원본의 컬렉션이 나열됩니다.
자세한 지침과 정보는 컬렉션 만들기 및 관리에 대한 가이드를 참조하세요.
컬렉션 예제
컬렉션, 권한 및 작동 방식을 기본으로 이해했으므로 예제를 살펴보겠습니다.
이는 organization 데이터를 구조화할 수 있는 한 가지 방법입니다. 루트 컬렉션(이 예제에서는 Contoso)부터 컬렉션은 지역으로 구성된 다음 부서 및 하위 파트로 구성됩니다. 데이터 원본 및 자산을 이러한 컬렉션에 추가하여 이러한 지역 및 부서별로 데이터 리소스를 구성하고 해당 줄을 따라 액세스 제어를 관리할 수 있습니다. 엄격한 액세스 지침이 있는 한 하위 부분인 Revenue가 있으므로 권한을 엄격하게 관리해야 합니다.
데이터 판독기 역할은 카탈로그 내의 정보에 액세스할 수 있지만 관리하거나 편집할 수는 없습니다. 따라서 위의 예제에서는 루트 컬렉션의 그룹에 데이터 판독기 권한을 추가하고 상속을 허용하면 해당 그룹 읽기 권한자의 모든 사용자에게 Microsoft Purview 데이터 맵 원본 및 자산에 대한 권한을 부여합니다. 이렇게 하면 해당 그룹의 모든 사용자가 이러한 리소스를 검색할 수 있지만 편집할 수는 없습니다. Revenue 그룹의 상속을 제한하면 해당 자산에 대한 액세스가 제어됩니다. 수익 정보에 액세스해야 하는 사용자는 Revenue 컬렉션에 별도로 추가할 수 있습니다. 데이터 큐레이터 및 데이터 원본 관리 역할과 마찬가지로 해당 그룹에 대한 사용 권한은 할당된 컬렉션에서 시작하여 상속을 제한하지 않은 하위 데이터 정렬로 흘러내리게 됩니다. 아래에서는 Americas 하위 컬렉션의 컬렉션 수준에서 여러 그룹에 대한 권한을 할당했습니다.
역할에 사용자 추가
역할 할당은 컬렉션을 통해 관리됩니다. 컬렉션 관리자 역할이 있는 사용자만 해당 컬렉션에 대한 다른 사용자에게 권한을 부여할 수 있습니다. 새 권한을 추가해야 하는 경우 컬렉션 관리자는 Microsoft Purview 거버넌스 포털에 액세스하고 데이터 맵으로 이동한 다음 컬렉션 탭으로 이동하여 사용자를 추가해야 하는 컬렉션을 선택합니다. 역할 할당 탭에서 권한이 필요한 사용자를 추가하고 관리할 수 있습니다.
전체 지침은 역할 할당을 추가하기 위한 방법 가이드를 참조하세요.
관리자 변경
루트 컬렉션 관리자를 변경해야 하거나 애플리케이션에서 계정을 만든 후 관리자를 추가해야 하는 경우가 있을 수 있습니다. 기본적으로 계정을 만드는 사용자는 자동으로 컬렉션 관리자를 루트 컬렉션에 할당합니다. 루트 컬렉션 관리자를 업데이트하려면 다음 네 가지 옵션이 있습니다.
Azure Portal 루트 컬렉션 관리자를 관리할 수 있습니다.
- Azure Portal 로그인하고 Microsoft Purview 계정을 검색합니다.
- Microsoft Purview 계정 페이지의 왼쪽 메뉴에서 루트 컬렉션 권한을 선택합니다.
- 루트 컬렉션 관리자 추가를 선택하여 관리자를 추가합니다.
- Microsoft Purview 거버넌스 포털에서 루트 컬렉션으로 수행할 모든 루트 컬렉션 관리자 보기를 선택할 수도 있습니다.
다른 역할 과 마찬가지로 Microsoft Purview 거버넌스 포털을 통해 권한을 할당 할 수 있습니다.
REST API를 사용하여 컬렉션 관리자를 추가할 수 있습니다. REST API를 사용하여 컬렉션 관리자를 추가하는 지침은 컬렉션 용 REST API 설명서 에서 찾을 수 있습니다. 자세한 내용은 REST API 참조를 참조하세요.
아래 Azure CLI 명령을 사용할 수도 있습니다. object-id는 선택 사항입니다. 자세한 내용과 예제는 CLI 명령 참조 페이지를 참조하세요.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
다음 단계
이제 컬렉션 및 액세스 제어에 대한 기본 이해가 있으므로 아래 가이드에 따라 해당 컬렉션을 만들고 관리하거나 Microsoft Purview 데이터 맵 원본 등록을 시작합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기