Microsoft Purview DevOps 정책 만들기, 나열, 업데이트 및 삭제
DevOps 정책은 Microsoft Purview 액세스 정책의 한 유형입니다. 이를 사용하여 Microsoft Purview에서 데이터 사용 관리에 등록된 데이터 원본의 시스템 메타데이터에 대한 액세스를 관리할 수 있습니다.
Microsoft Purview 거버넌스 포털에서 직접 DevOps 정책을 구성할 수 있습니다. 저장되면 데이터 원본에 의해 자동으로 게시되고 적용됩니다. Microsoft Purview 정책은 azure Active Directory(Azure AD) 보안 주체에 대한 액세스만 관리합니다.
이 가이드에서는 SQL 성능 모니터 및 SQL 보안 감사자 역할에 대한 DevOps 정책 작업을 사용하여 데이터베이스 시스템 메타데이터에 대한 액세스를 프로비전하는 Microsoft Purview의 구성 단계를 설명합니다. DevOps 정책을 만들고, 나열하고, 업데이트하고, 삭제하는 방법을 보여 줍니다.
필수 구성 요소
활성 구독이 있는 Azure 계정입니다. 무료로 계정을 만듭니다.
새 계정 또는 기존 Microsoft Purview 계정. 이 빠른 시작 가이드에 따라 만듭니다.
구성
Microsoft Purview 정책 포털에서 정책을 작성하기 전에 해당 정책을 적용할 수 있도록 데이터 원본을 구성해야 합니다.
- 원본에 대한 정책별 필수 구성 요소를 따릅니다. Microsoft Purview에서 지원되는 데이터 원본 테이블을 확인하고 액세스 정책을 사용할 수 있는 원본에 대한 액세스 정책 열에서 링크를 선택합니다. "액세스 정책" 및 "필수 구성 요소" 섹션에 나열된 단계를 수행합니다.
- Microsoft Purview에서 데이터 원본을 등록합니다. 리소스에 대한 원본 페이지의 "필수 구성 요소" 및 "등록" 섹션을 따릅니다.
- 데이터 원본 등록에서 데이터 사용 관리 토글을 켭니다. 이 단계에 필요한 추가 권한을 포함하여 자세한 내용은 Microsoft Purview 원본에서 데이터 사용 관리 사용을 참조하세요.
새 DevOps 정책 만들기
DevOps 정책을 만들려면 먼저 루트 컬렉션 수준에서 Microsoft Purview 정책 작성자 역할이 있는지 확인합니다. 이 가이드에서 Microsoft Purview 역할 할당 관리에 대한 섹션을 확인합니다. 그런 다음, 다음 단계를 수행합니다.
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 창에서 데이터 정책을 선택합니다. 그런 다음 , DevOps 정책을 선택합니다.
새 정책 단추를 선택합니다.
정책 세부 정보 패널이 열립니다.
데이터 원본 형식에 대해 데이터 원본을 선택합니다. 데이터 원본 이름 아래에서 나열된 데이터 원본 중 하나를 선택합니다. 그런 다음 선택을 클릭하여 새 정책 창으로 돌아갑니다.
성능 모니터링 또는 보안 감사의 두 역할 중 하나를 선택합니다. 그런 다음 , 주체 추가/제거를 선택하여 제목 패널을 엽니다.
주체 선택 상자에 Azure AD 보안 주체(사용자, 그룹 또는 서비스 주체)의 이름을 입력합니다. Microsoft 365 그룹은 지원되지만 그룹 멤버 자격에 대한 업데이트는 Azure AD 반영되는 데 최대 1시간이 걸립니다. 만족할 때까지 제목을 계속 추가하거나 제거한 다음 저장을 선택합니다.
저장을 선택하여 정책을 저장합니다. 정책은 자동으로 게시됩니다. 적용은 5분 이내에 데이터 원본에서 시작됩니다.
DevOps 정책 나열
DevOps 정책을 나열하려면 먼저 루트 컬렉션 수준에서 정책 작성자, 데이터 원본 관리, 데이터 큐레이터 또는 데이터 읽기 권한자 중 하나가 있는지 확인합니다. 이 가이드에서 Microsoft Purview 역할 할당 관리에 대한 섹션을 확인합니다. 그런 다음, 다음 단계를 수행합니다.
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 창에서 데이터 정책을 선택합니다. 그런 다음 , DevOps 정책을 선택합니다.
DevOps 정책 창에는 생성된 모든 정책이 나열됩니다.
DevOps 정책 업데이트
DevOps 정책을 업데이트하려면 먼저 루트 컬렉션 수준에서 Microsoft Purview 정책 작성자 역할이 있는지 확인합니다. 이 가이드에서 Microsoft Purview 역할 할당 관리에 대한 섹션을 확인합니다. 그런 다음, 다음 단계를 수행합니다.
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 창에서 데이터 정책을 선택합니다. 그런 다음 , DevOps 정책을 선택합니다.
DevOps 정책 창의 데이터 리소스 경로에서 선택하여 정책 중 하나에 대한 정책 세부 정보를 엽니다.
정책 세부 정보에 대한 창에서 편집을 선택합니다.
변경한 다음 저장을 선택합니다.
DevOps 정책 삭제
DevOps 정책을 삭제하려면 먼저 루트 컬렉션 수준에서 Microsoft Purview 정책 작성자 역할이 있는지 확인합니다. 이 가이드에서 Microsoft Purview 역할 할당 관리에 대한 섹션을 확인합니다. 그런 다음, 다음 단계를 수행합니다.
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 창에서 데이터 정책을 선택합니다. 그런 다음 , DevOps 정책을 선택합니다.
정책 중 하나에 대한 확인란을 선택한 다음 삭제를 선택합니다.
DevOps 정책 테스트
정책을 만든 후에는 주체로 선택한 Azure AD 사용자가 정책 scope 데이터 원본에 연결할 수 있습니다. 테스트하려면 SSMS(SQL Server Management Studio) 또는 SQL 클라이언트를 사용하고 DMV(동적 관리 뷰) 및 DMF(동적 관리 함수)를 쿼리해 봅니다. 다음 섹션에서는 몇 가지 예를 나열합니다. 더 많은 예제를 보려면 Microsoft Purview DevOps 정책을 사용하여 수행할 수 있는 작업에서 인기 있는 DMV 및 DMF의 매핑을 참조하세요.
더 많은 문제 해결이 필요한 경우 이 가이드의 다음 단계 섹션을 참조하세요.
SQL 성능 모니터 액세스 테스트
SQL 성능 모니터 역할에 대한 정책의 주체를 제공한 경우 다음 명령을 실행할 수 있습니다.
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
SQL 보안 감사자 액세스 테스트
SQL 보안 감사자 역할에 대한 정책의 주체를 제공한 경우 SSMS 또는 SQL 클라이언트에서 다음 명령을 실행할 수 있습니다.
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
사용자 데이터에 대한 액세스 권한이 없는지 확인
다음 명령을 사용하여 데이터베이스 중 하나의 테이블에 액세스합니다.
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
테스트하는 Azure AD 보안 주체는 거부되어야 합니다. 즉, 데이터가 내부자 위협으로부터 보호됩니다.
역할 정의 세부 정보
다음 표에서는 Microsoft Purview 데이터 정책 역할을 SQL 데이터 원본의 특정 작업에 매핑합니다.
| Microsoft Purview 정책 역할 | 데이터 원본의 작업 |
|---|---|
| SQL 성능 모니터 | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
| SQL 보안 감사자 | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
다음 단계
다음 블로그, 비디오 및 관련 문서를 확인합니다.
- 블로그: Azure SQL Database에 대한 Microsoft Purview DevOps 정책이 이제 일반 공급됨
- 블로그: SQL 상태, 성능 및 보안 정보에 대한 액세스를 관리하기 위한 저렴한 솔루션
- 블로그: Microsoft Purview DevOps 정책은 IT 작업에 대한 대규모 액세스 프로비저닝을 사용하도록 설정합니다.
- 블로그: Microsoft Purview DevOps 정책 API가 이제 공개됨
- 비디오: 정책의 필수 구성 요소: "데이터 사용 관리" 옵션
- 비디오: DevOps 정책의 빠른 개요
- 비디오: DevOps 정책에 대한 심층 분석
- 문서: Microsoft Purview DevOps 정책 개념 가이드
- 문서: Azure Arc 지원 SQL Server 대한 Microsoft Purview DevOps 정책
- 문서: Azure SQL Database에 대한 Microsoft Purview DevOps 정책
- 문서: 전체 리소스 그룹 또는 구독에 대한 Microsoft Purview DevOps 정책
- 문서: SQL 데이터 원본에 대한 Microsoft Purview 정책 문제 해결
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기