데이터 소유자의 리소스 그룹 및 구독 액세스 프로비저닝(미리 보기)

중요

이 기능은 현재 미리 보기로 제공됩니다. Microsoft Azure 미리 보기에 대한 추가 사용 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어가 포함되어 있습니다.

액세스 정책을 사용하면 데이터 사용 관리에 등록된 데이터 원본에 대한 Microsoft Purview의 액세스를 관리할 수 있습니다.

전체 리소스 그룹 또는 구독을 등록하고 해당 리소스 그룹 또는 구독의 모든 데이터 원본에 대한 액세스를 관리하는 단일 정책을 만들 수도 있습니다. 해당 단일 정책은 모든 기존 데이터 원본과 나중에 생성된 모든 데이터 원본을 포함합니다. 이 문서에서는 이 작업을 수행하는 방법을 설명합니다.

필수 구성 요소

이러한 데이터 원본만 리소스 그룹 또는 구독에 대한 액세스 정책에 대해 사용하도록 설정됩니다. 다음 가이드의 데이터 원본과 관련된 필수 구성 요소 섹션을 따릅니다.

(*) SQL 형식 데이터 원본에는 SQL 성능 모니터링보안 감사 작업만 완전히 지원됩니다. 읽기 작업에는 이 가이드의 뒷부분에 설명된 해결 방법이 필요합니다. 수정 작업은 현재 SQL 형식 데이터 원본에 대해 지원되지 않습니다.

구성

Microsoft Purview를 다른 구독에서 리소스 공급자로 등록

데이터 원본 및 Microsoft Purview 계정이 서로 다른 구독에 있는 경우에만 이 단계를 실행합니다. 리소스 공급자 등록 가이드에 따라 데이터 원본이 있는 각 구독에서 Microsoft Purview를 리소스 공급자로 등록합니다.

Microsoft Purview 리소스 공급자는 Microsoft.Purview입니다. Powershell을 사용하여 등록하려면 아래를 실행합니다.

Register-AzResourceProvider -ProviderNamespace Microsoft.Purview

정책 관리 작업에 대한 권한 구성

이 섹션에서는 다음 작업에 필요한 권한에 대해 설명합니다.

  • 데이터 사용 관리에 사용할 수 있는 데이터 리소스를 만듭니다. 이 단계는 Microsoft Purview에서 해당 리소스에 대한 정책을 만들기 전에 필요합니다.
  • Microsoft Purview에서 정책을 작성하고 게시합니다.

중요

현재 정책 작업과 관련된 Microsoft Purview 역할은 루트 컬렉션 수준에서 구성해야 합니다.

데이터 사용 관리에 사용할 수 있는 데이터 리소스를 만들 수 있는 권한

데이터 원본, 리소스 그룹 또는 구독에 대해 DUM(데이터 사용 관리) 토글을 사용하도록 설정하려면 동일한 사용자에게 리소스에 대한 특정 IAM 권한 및 특정 Microsoft Purview 권한이 모두 있어야 합니다.

  1. 사용자는 리소스의 ARM 경로 또는 해당 부모 경로(상속 사용)에 다음 IAM 역할 조합 중 하나를 가지고 있어야 합니다.

    • IAM 소유자
    • IAM 기여자 + IAM 사용자 액세스 관리자 모두

    가이드에 따라 Azure RBAC 역할 권한을 구성합니다. 다음 스크린샷에서는 데이터 리소스에 대한 Azure Portal 환경의 Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여 줍니다.

Azure Portal에서 Access Control 액세스하여 역할 할당을 추가하는 방법을 보여주는 스크린샷

  1. 또한 동일한 사용자에게 루트 컬렉션 수준의 Microsoft Purview DSA(데이터 원본 관리자) 역할이 있어야 합니다. Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요. 다음 스크린샷에서는 루트 컬렉션 수준에서 데이터 원본 관리자를 할당하는 방법을 보여줍니다.

루트 컬렉션 수준에서 데이터 원본 관리 할당하는 방법을 보여주는 스크린샷

정책 작성 및 게시 권한

Microsoft Purview에는 루트 컬렉션 수준의 다음 권한이 필요합니다.

  • 정책 작성자 역할은 정책을 만들거나 수정할 수 있습니다.
  • 데이터 원본 관리자 역할은 정책을 게시할 수 있습니다.

가이드에서 Microsoft Purview 역할 할당을 관리하는 방법에 대한 섹션을 확인하세요.

참고

권한과 관련된 알려진 문제

  • 사용자가 데이터 소유자 정책을 만들려면 Microsoft Purview 정책 작성자 역할 외에도 Azure Active Directory에서 디렉터리 읽기 권한자 권한이 필요할 수 있습니다. 이는 Azure 테넌트의 사용자에 대한 일반적인 권한입니다. Azure AD 디렉터리 읽기 권한자에 대한 권한을 확인할 수 있습니다.

Microsoft Purview에 액세스 제어 책임 위임

경고

  • 데이터 원본에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다.
  • 리소스가 데이터 사용 관리에 사용하도록 설정되면 모든 Microsoft Purview 루트 컬렉션 정책 작성자가 이에 대한 액세스 정책을 만들 수 있으며, 모든 Microsoft Purview 루트 컬렉션 데이터 원본 관리자나중에 언제든지 해당 정책을 게시할 수 있습니다.
  • 모든 Microsoft Purview 루트 컬렉션 관리자 루트 컬렉션 데이터 원본 관리자정책 작성자 역할을 할당할 수 있습니다.
  • Microsoft Purview 계정이 삭제되면 게시된 정책이 특정 데이터 원본에 종속된 시간 내에 적용되지 않습니다. 이는 보안 및 데이터 액세스 가용성 모두에 영향을 줄 수 있습니다.

이러한 경고를 고려한 권한에 대한 권장 모범 사례는 다음과 같습니다.

  • Microsoft Purview 루트 컬렉션 관리자, 루트 데이터 원본 관리자 또는 루트 정책 작성자 역할을 보유하는 사용자의 수를 최소화합니다.
  • 견제와 균형을 유지하려면 Microsoft Purview 정책 작성자데이터 원본 관리자 역할을 조직의 여러 사용자에게 할당합니다. 이를 통해 데이터 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)가 해당 정책을 검토하고 게시하여 명시적으로 승인해야 합니다.
  • Microsoft Purview 계정은 IAM의 기여자 및 소유자 역할을 통해 삭제할 수 있습니다. 이러한 권한은 Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하고 역할 할당을 선택하여 확인할 수 있습니다. 또한 ARM 잠금을 통해 Microsoft Purview 계정이 삭제되지 않도록 잠금을 배치할 수도 있습니다.

데이터 사용 관리에 대한 구독 또는 리소스 그룹 등록

나중에 액세스 정책을 정의하려면 구독 또는 리소스 그룹을 Microsoft Purview에 등록해야 합니다.

구독 또는 리소스 그룹을 등록하려면 이 가이드의 필수 구성 요소등록 섹션을 따릅니다.

리소스가 등록되면 데이터 사용 관리를 사용하도록 설정해야 합니다. 데이터 사용 관리에는 특정 권한이 필요하며 데이터 원본에 대한 액세스를 관리하기 위해 특정 Microsoft Purview 역할을 위임하므로 데이터의 보안에 영향을 줄 수 있습니다. 이 가이드에서 데이터 사용 관리와 관련된 보안 사례를 살펴봅니다. 데이터 사용 관리를 사용하도록 설정하는 방법

결국, 그림과 같이 리소스에 데이터 사용 관리 토글 사용이 설정됩니다.

스크린샷은 리소스 편집기에서 사용 탭을 전환하여 정책에 대한 리소스 그룹 또는 구독을 등록하는 방법을 보여 줍니다.

중요

  • 리소스 그룹 또는 구독에 대한 정책을 만들고 Arc 사용 SQL 서버에 적용하려면 데이터 사용 관리에 대해 해당 서버를 독립적으로 등록하여 앱 ID를 제공해야 합니다.

데이터 소유자 정책 만들기 및 게시

데이터 소유자 정책 작성 자습서새 정책 만들기정책 게시 섹션의 단계를 실행합니다. 결과는 이미지에 표시된 예제와 유사한 데이터 소유자 정책입니다. 리소스 그룹 finance-rg에 대한 보안 그룹 sg-Financemodify 액세스를 제공하는 정책입니다. 정책 사용자 환경에서 데이터 원본 상자를 사용합니다.

스크린샷은 리소스 그룹에 대한 액세스를 제공하는 샘플 데이터 소유자 정책을 보여줍니다.

중요

  • 게시는 백그라운드 작업입니다. 예를 들어 Azure Storage 계정은 변경 내용을 반영하는 데 최대 2시간이 걸릴 수 있습니다.
  • 정책을 변경해도 새 게시 작업이 필요하지 않습니다. 변경 내용은 다음 끌어오기를 통해 선택됩니다.

경고

알려진 문제

  • 리소스 그룹 또는 구독에서 읽기 작업으로 정책을 만들 때 SQL 형식 데이터 원본(예: Azure SQL DB, Azure Arc 지원 서버의 SQL 서버)에 암시적 연결 권한이 제공되지 않습니다. 이 시나리오를 지원하려면 SQL 형식 데이터 원본에서 직접 Azure AD 보안 주체에 대한 연결 권한을 로컬로 제공합니다.

추가 정보

  • 구독 또는 리소스 그룹 수준에서 정책을 만들면 주체가 Azure Storage 시스템 컨테이너(예: $logs)에 액세스할 수 있습니다. 원치 않는 경우 먼저 데이터 원본을 검색한 다음, 각각에 대해 더 세분화된 정책(즉, 컨테이너 또는 하위 컨테이너 수준)을 만듭니다.

제한

Storage 계정에서 적용할 수 있는 Microsoft Purview 정책에 대한 제한은 구독당 100MB이며 이는 대략 5,000개의 정책과 같습니다.

다음 단계

블로그, 데모 및 관련 자습서를 확인합니다.