Microsoft Purview DevOps 정책을 사용하여 수행할 수 있는 작업은 무엇인가요?
이 문서에서는 Microsoft Purview 거버넌스 포털을 사용하여 데이터 자산의 데이터 원본에 대한 액세스를 관리하는 방법을 설명합니다. DevOps 정책의 기본 개념에 중점을 둡니다. 즉, 구성 단계를 가져오기 위해 다른 문서를 따르기 전에 알아야 할 DevOps 정책에 대한 배경 정보를 제공합니다.
참고
이 기능은 Microsoft Purview 거버넌스 포털의 내부 액세스 제어와 다릅니다.
시스템 메타데이터에 대한 액세스는 IT 및 DevOps 직원이 중요한 데이터베이스 시스템이 정상이고 기대에 부합하며 안전하도록 하는 데 매우 중요합니다. Microsoft Purview DevOps 정책을 통해 효율적이고 대규모로 액세스 권한을 부여하고 취소할 수 있습니다.
Microsoft Purview의 루트 컬렉션 수준에서 정책 작성자 역할을 보유하는 모든 사용자는 DevOps 정책을 만들고, 업데이트하고, 삭제할 수 있습니다. DevOps 정책이 저장되면 자동으로 게시됩니다.
액세스 정책 및 DevOps 정책
Microsoft Purview 액세스 정책을 사용하면 고객이 클라우드의 중앙 위치에서 전체 데이터 자산의 데이터 시스템에 대한 액세스를 관리할 수 있습니다. 이러한 정책을 Microsoft Purview Studio를 통해 만들 수 있는 액세스 권한 부여로 간주하여 코드가 필요하지 않다고 생각할 수 있습니다. 사용자 및 그룹과 같은 Azure Active Directory(Azure AD) 보안 주체 목록을 데이터 원본 또는 그 안의 자산에 대한 특정 유형의 액세스를 허용하거나 거부해야 하는지 여부를 결정합니다. Microsoft Purview는 이러한 정책을 기본적으로 적용되는 데이터 원본에 전달합니다.
DevOps 정책은 특별한 유형의 Microsoft Purview 액세스 정책입니다. 사용자 데이터 대신 데이터베이스 시스템 메타데이터에 대한 액세스 권한을 부여합니다. IT 운영 및 보안 감사 담당자에 대한 액세스 프로비저닝을 간소화합니다. DevOps 정책은 액세스 권한만 부여합니다. 액세스를 거부하지 않습니다.
DevOps 정책의 요소
DevOps 정책을 정의하는 세 가지 요소는 다음과 같습니다.
제목
액세스 권한이 부여된 Azure AD 사용자, 그룹 또는 서비스 주체 목록입니다.
데이터 리소스
정책이 적용되는 scope. 데이터 리소스 경로는 구독 > 리소스 그룹 > 데이터 원본의 구성입니다.
Microsoft Purview DevOps 정책은 현재 SQL 형식 데이터 원본을 지원합니다. 개별 데이터 원본 및 전체 리소스 그룹 및 구독에서 구성할 수 있습니다. 데이터 사용 관리 옵션이 켜져 있는 상태에서 Microsoft Purview에 데이터 리소스를 등록한 후에만 DevOps 정책을 만들 수 있습니다.
역할
역할은 정책이 데이터 리소스에 대해 허용하는 작업 집합에 매핑됩니다. DevOps 정책은 SQL 성능 모니터 및 SQL 보안 감사자 역할을 지원합니다. 이러한 두 역할은 모두 SQL 시스템 메타데이터에 대한 액세스를 제공하며, 특히 DMV(동적 관리 뷰) 및 DMF(동적 관리 함수)에 대한 액세스를 제공합니다. 그러나 이러한 역할이 부여하는 DMV 및 DMF 집합은 다릅니다. 이 문서의 뒷부분에서 몇 가지 인기 있는 예제를 제공합니다.
Microsoft Purview DevOps 정책 만들기, 나열, 업데이트 및 삭제 문서에서는 각 데이터 원본 형식에 대한 역할 정의를 자세히 설명합니다. 즉, Microsoft Purview의 역할과 해당 유형의 데이터 원본에서 허용되는 작업에 대한 매핑을 제공합니다. 예를 들어 SQL 성능 모니터 및 SQL Security 감사자의 역할 정의에는 서버의 연결 작업과 데이터 원본 쪽의 데이터베이스 수준이 포함됩니다.
기본적으로 DevOps 정책은 주체에 역할의 관련 권한을 할당하고 데이터 리소스 경로의 scope 적용됩니다.
정책의 계층적 적용
데이터 리소스에 대한 DevOps 정책은 데이터 리소스 자체 및 데이터 리소스에 포함된 모든 자식 리소스에 적용됩니다. 예를 들어 Azure 구독의 DevOps 정책은 모든 리소스 그룹, 각 리소스 그룹 내의 모든 정책 사용 데이터 원본 및 각 데이터 원본 내의 모든 데이터베이스에 적용됩니다.
개념 및 이점을 보여 주는 예제 시나리오
Bob과 Alice는 회사에서 DevOps 프로세스에 관여합니다. 중요한 DevOps 프로세스가 중단되지 않도록 성능을 모니터링하려면 수십 개의 SQL Server 인스턴스 온-프레미스 및 Azure SQL 논리 서버에 로그인해야 합니다. 해당 관리자인 Mateo는 이러한 모든 SQL 데이터 원본을 리소스 그룹 1에 넣습니다. 그런 다음 Azure AD 그룹을 만들고 Alice와 Bob을 포함합니다. 다음으로 Microsoft Purview DevOps 정책(다음 다이어그램의 정책 1)을 사용하여 논리 서버를 호스트하는 리소스 그룹 1에 대한 이 Azure AD 그룹 액세스 권한을 부여합니다.
.
이점은 다음과 같습니다.
- Mateo는 각 서버에 로컬 로그인을 만들 필요가 없습니다.
- Microsoft Purview의 정책은 로컬 권한 있는 액세스를 제한하여 보안을 개선합니다. 최소 권한 원칙을 지원합니다. 이 시나리오에서 Mateo는 Bob과 Alice가 시스템 상태 및 성능을 모니터링하는 작업을 수행하는 데 필요한 최소 액세스 권한만 부여합니다.
- 새 서버가 리소스 그룹에 추가되면 Mateo는 새 서버에 적용되도록 Microsoft Purview에서 정책을 업데이트할 필요가 없습니다.
- Alice 또는 Bob이 organization 나가고 작업이 백필되면 Mateo는 Azure AD 그룹을 업데이트합니다. 서버 또는 Microsoft Purview에서 만든 정책을 변경할 필요가 없습니다.
- 언제든지 Mateo 또는 회사의 감사자가 Microsoft Purview Studio에서 직접 부여한 모든 권한을 볼 수 있습니다.
| 원리 | 혜택 |
|---|---|
| 단순화 | 역할 정의 SQL 성능 모니터 및 SQL 보안 감사자는 일반적인 IT 및 DevOps 가상 사용자가 작업을 실행하는 데 필요한 권한을 캡처합니다. |
| 각 데이터 원본 형식에 대한 권한 전문 지식이 필요하지 않습니다. | |
| 작업 감소 | 그래픽 인터페이스를 사용하면 데이터 개체 계층 구조를 빠르게 이동할 수 있습니다. |
| Microsoft Purview는 전체 Azure 리소스 그룹 및 구독에 대한 정책을 지원합니다. | |
| 보안 강화 | 액세스 권한은 중앙에서 부여되며 쉽게 검토하고 취소할 수 있습니다. |
| 권한 있는 계정이 데이터 원본에서 직접 액세스를 구성할 필요가 없습니다. | |
| DevOps 정책은 데이터 리소스 범위 및 역할 정의를 통해 최소 권한 원칙을 지원합니다. | |
DevOps 정책 API
많은 정교한 고객은 UI를 통해서가 아니라 스크립트를 통해 Microsoft Purview와 상호 작용하는 것을 선호합니다. Microsoft Purview DevOps 정책은 이제 전체 만들기, 읽기, 업데이트 및 삭제(CRUD) 기능을 제공하는 REST API를 지원합니다. 이 기능에는 목록, SQL 성능 모니터 대한 정책 및 SQL 보안 감사자 정책이 포함됩니다. 자세한 내용은 API 사양을 참조하세요.
.
인기 있는 DMV 및 DMF 매핑
SQL 동적 메타데이터에는 700개 이상의 DMV 및 DMF 목록이 포함됩니다. 다음 표에서는 가장 인기 있는 몇 가지 사항을 보여 줍니다. 이 표는 DMV 및 DMF를 Microsoft Purview DevOps 정책의 역할 정의에 매핑합니다. 또한 참조 콘텐츠에 대한 링크를 제공합니다.
| DevOps 역할 | 범주 | 예제 DMV 또는 DMF |
|---|---|---|
| SQL 성능 모니터 | 시스템 매개 변수를 쿼리하여 시스템 이해 | sys.configurations |
| sys.dm_os_sys_info | ||
| 성능 병목 상태 식별 | sys.dm_os_wait_stats | |
| 현재 실행 중인 쿼리 분석 | sys.dm_exec_query_stats | |
| 차단 문제 분석 | sys.dm_tran_locks | |
| sys.dm_exec_requests | ||
| sys.dm_os_waiting_tasks | ||
| 메모리 사용량 분석 | sys.dm_os_memory_clerks | |
| 파일 사용량 및 성능 분석 | sys.master_files | |
| sys.dm_io_virtual_file_stats | ||
| 인덱스 사용량 및 조각화 분석 | sys.indexes | |
| sys.dm_db_index_usage_stats | ||
| sys.dm_db_index_physical_stats | ||
| 활성 사용자 연결 및 내부 작업 관리 | sys.dm_exec_sessions | |
| 프로시저 실행 통계 가져오기 | sys.dm_exec_procedure_stats | |
| 쿼리 저장소 사용 | sys.query_store_plan | |
| sys.query_store_query | ||
| sys.query_store_query_text | ||
| 오류 로그 가져오기(아직 지원되지 않음) | sys.sp_readerrorlog | |
| SQL 보안 감사자 | 감사 세부 정보 가져오기 | sys.dm_server_audit_status |
| SQL 성능 모니터 및 SQL 보안 감사자 모두 | sys.dm_audit_actions | |
| sys.dm_audit_class_type_map | ||
Microsoft Purview 역할을 통해 액세스 권한을 부여할 때 IT 지원 담당자가 수행할 수 있는 작업에 대한 자세한 내용은 다음 리소스를 참조하세요.
- SQL 성능 모니터: Microsoft Purview를 사용하여 Azure SQL 및 SQL Server 성능 데이터에 대한 대규모 액세스를 제공합니다.
- SQL 보안 감사자: 보안 관련 동적 관리 뷰 및 기능
다음 단계
DevOps 정책을 시작하려면 다음 리소스를 참조하세요.
- Azure SQL Database: 빠른 시작 가이드에 대한 DevOps 정책을 사용해 보세요.
- 다른 비디오, 블로그 및 문서를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기