다음을 통해 공유


Microsoft Purview에서 Azure Arc 지원 SQL Server 연결 및 관리

이 문서에서는 Azure Arc 지원 SQL Server instance 등록하는 방법을 보여 줍니다. 또한 Microsoft Purview에서 Azure Arc 지원 SQL Server 인증하고 상호 작용하는 방법을 보여 줍니다. Microsoft Purview에 대한 자세한 내용은 소개 문서를 참조하세요.

지원되는 기능

메타데이터 추출 전체 검사 증분 검사 범위가 지정된 검사 분류 레이블 지정 액세스 정책 계보 데이터 공유 라이브 보기
(미리 보기) (미리 보기) (미리 보기) (미리 보기) 아니요 제한** 아니요 아니요

** 데이터 세트가 Azure Data Factory 복사 작업에서 원본/싱크로 사용되는 경우 계보가 지원됩니다.

지원되는 SQL Server 버전은 2012 이상입니다. SQL Server Express LocalDB는 지원되지 않습니다.

Azure Arc 지원 SQL Server 검사하는 경우 Microsoft Purview는 다음 기술 메타데이터 추출을 지원합니다.

  • 인스턴스
  • 데이터베이스
  • 스키마
  • 열을 포함한 테이블
  • 열을 포함한 뷰

검사를 설정할 때 데이터베이스 이름을 지정하여 하나의 데이터베이스를 검사하도록 선택할 수 있습니다. 필요에 따라 테이블 및 뷰를 선택하여 검사를 추가로 scope 수 있습니다. 데이터베이스 이름을 제공하지 않으면 전체 Azure Arc 지원 SQL Server instance 검사됩니다.

필수 구성 요소

등록

이 섹션에서는 Microsoft Purview 거버넌스 포털을 사용하여 Microsoft Purview에서 Azure Arc 지원 SQL Server instance 등록하는 방법을 설명합니다.

등록 인증

자체 호스팅 통합 런타임을 사용하여 Azure Arc 지원 SQL Server 검사하기 위한 인증을 설정하는 두 가지 방법이 있습니다.

  • Windows 인증
  • SQL Server 인증

SQL Server 배포에 대한 인증을 구성하려면 다음을 수행합니다.

  1. SQL Server Management Studio(SSMS)에서 서버 속성으로 이동한 다음, 왼쪽 창에서 보안을 선택합니다.

  2. 서버 인증에서:

    • Windows 인증 Windows 인증 모드 또는 SQL Server 및 Windows 인증 모드를 선택합니다.
    • SQL Server 인증의 경우 SQL Server 및 Windows 인증 모드를 선택합니다.

    인증 모드를 선택하는 옵션이 있는 서버 속성 창 보안 페이지를 보여 주는 스크린샷

서버 인증을 변경하려면 SQL Server instance 다시 시작하고 SQL Server 에이전트 합니다. SSMS에서 SQL Server instance 이동하여 오른쪽 클릭 옵션 창에서 다시 시작을 선택합니다.

새 로그인 및 사용자 만들기

새 로그인을 만들고 사용자가 SQL Server instance 검사하려면 다음 단계를 사용합니다.

는 master 데이터베이스에 있으므로 sys.databases 계정은 master 데이터베이스에 액세스할 수 있어야 합니다. 서버에서 모든 SQL 데이터베이스를 찾으려면 Microsoft Purview 스캐너를 열거 sys.databases 해야 합니다.

참고

이 코드를 사용하여 다음 단계를 모두 실행할 수 있습니다.

  1. SSMS로 이동하여 서버에 연결한 다음, 왼쪽 창에서 보안을 선택합니다.

  2. 로그인을 선택하고 길게 누르거나 마우스 오른쪽 단추로 클릭한 다음 새 로그인을 선택합니다. Windows 인증 적용된 경우 Windows 인증 선택합니다. SQL Server 인증이 적용되는 경우 SQL Server 인증을 선택합니다.

    새 로그인 및 사용자를 만들기 위한 선택 항목을 보여 주는 스크린샷

  3. 왼쪽 창에서 서버 역할을 선택하고 공용 역할이 할당되었는지 확인합니다.

  4. 왼쪽 창에서 사용자 매핑 을 선택하고 맵의 모든 데이터베이스를 선택한 다음 db_datareader 데이터베이스 역할을 선택합니다.

    사용자 매핑을 보여 주는 스크린샷

  5. 확인을 선택하여 저장합니다.

  6. SQL Server 인증이 적용되는 경우 새 로그인을 만드는 즉시 암호를 변경해야 합니다.

    1. 만든 사용자를 선택하고 길게 누르거나 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 새 암호를 입력하고 확인합니다.
    3. 이전 암호 지정 확인란을 선택하고 이전 암호를 입력합니다.
    4. 확인을 선택합니다.

    암호 변경에 대한 선택 항목을 보여 주는 스크린샷

SQL Server 로그인 암호를 키 자격 증명 모음에 저장하고 Microsoft Purview에서 자격 증명을 만듭니다.

  1. Azure Portal 키 자격 증명 모음으로 이동합니다. 설정>비밀을 선택합니다.

  2. + 생성/가져오기를 선택합니다. 이름에 SQL Server 로그인의 암호를 입력합니다.

  3. 만들기를 선택합니다.

  4. 키 자격 증명 모음이 Microsoft Purview에 아직 연결되지 않은 경우 새 키 자격 증명 모음 연결을 만듭니다.

  5. 사용자 이름 및 암호를 사용하여 검사를 설정하여 새 자격 증명을 만듭니다.

    새 자격 증명을 만들 때 올바른 인증 방법을 선택해야 합니다. Windows 인증 적용된 경우 Windows 인증 선택합니다. SQL Server 인증이 적용되는 경우 SQL Server 인증을 선택합니다.

등록 단계

  1. Microsoft Purview 계정으로 이동합니다.

  2. 왼쪽 창 의 원본 및 검사 에서 통합 런타임을 선택합니다. 자체 호스팅 통합 런타임이 설정되어 있는지 확인합니다. 설정되지 않은 경우 온-프레미스 네트워크에 액세스할 수 있는 온-프레미스 또는 Azure 가상 머신에서 검사하기 위한 자체 호스팅 통합 런타임을 만드는 단계를 수행 합니다.

  3. 왼쪽 창에서 데이터 맵 을 선택합니다.

  4. 등록을 선택하세요.

  5. Azure Arc 지원 SQL Server 선택한 다음, 계속을 선택합니다.

    SQL 데이터 원본 선택을 보여 주는 스크린샷

  6. 서버를 식별하는 데 사용할 수 있는 짧은 이름인 친숙한 이름을 제공합니다. 또한 서버 엔드포인트를 제공합니다.

  7. 마침을 선택하여 데이터 원본을 등록합니다.

검사

다음 단계를 사용하여 Azure Arc 지원 SQL Server 인스턴스를 검사하여 자산을 자동으로 식별하고 데이터를 분류합니다. 일반적인 검사에 대한 자세한 내용은 Microsoft Purview의 검사 및 수집을 참조하세요.

새 검사를 만들고 실행하려면 다음을 수행합니다.

  1. Microsoft Purview 거버넌스 포털의 왼쪽 창에서 데이터 맵 탭을 선택합니다.

  2. 등록한 Azure Arc 지원 SQL Server 원본을 선택합니다.

  3. 새 검사를 선택합니다.

  4. 자격 증명을 선택하여 데이터 원본에 연결합니다. 자격 증명은 인증 방법 아래에 그룹화되고 나열됩니다.

    검사에 대한 자격 증명 선택을 보여 주는 스크린샷.

  5. 목록에서 적절한 항목을 선택하여 특정 테이블에 검사를 scope 수 있습니다.

    검사 범위를 지정하기 위해 선택한 자산을 보여 주는 스크린샷

  6. 검사 규칙 집합을 선택합니다. 시스템 기본값, 기존 사용자 지정 규칙 집합 또는 인라인으로 새 규칙 집합 만들기 중에서 선택할 수 있습니다.

    검사 규칙 집합 선택을 보여 주는 스크린샷

  7. 검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.

    되풀이 검사 트리거 설정을 보여 주는 스크린샷

  8. 검사를 검토한 다음 저장 및 실행을 선택합니다.

검사 및 검사 실행 보기

기존 검사를 보려면 다음을 수행합니다.

  1. Microsoft Purview 거버넌스 포털로 이동합니다. 왼쪽 창에서 데이터 맵을 선택합니다.
  2. 데이터 원본을 선택합니다. 최근 검사에서 해당 데이터 원본에 대한 기존 검사 목록을 보거나 검사 탭에서 모든 검사를 볼 수 있습니다.
  3. 보려는 결과가 있는 검사를 선택합니다. 창에는 이전의 모든 검사 실행과 각 검사 실행에 대한 상태 및 메트릭이 표시됩니다.
  4. 실행 ID를 선택하여 검사 실행 세부 정보를 검사.

검사 관리

검사를 편집, 취소 또는 삭제하려면 다음을 수행합니다.

  1. Microsoft Purview 거버넌스 포털로 이동합니다. 왼쪽 창에서 데이터 맵을 선택합니다.

  2. 데이터 원본을 선택합니다. 최근 검사에서 해당 데이터 원본에 대한 기존 검사 목록을 보거나 검사 탭에서 모든 검사를 볼 수 있습니다.

  3. 관리하려는 검사를 선택합니다. 그 후에, 다음 작업을 수행할 수 있습니다.

    • 검사 편집을 선택하여 검사를 편집합니다.
    • 검사 실행 취소를 선택하여 진행 중인 검사를 취소합니다.
    • 검사 삭제를 선택하여 검사를 삭제합니다.

참고

  • 검사를 삭제해도 이전 검사에서 만든 카탈로그 자산은 삭제되지 않습니다.
  • 원본 테이블이 변경되고 Microsoft Purview의 스키마 탭에서 설명을 편집한 후 원본 테이블을 다시 검사하면 자산이 더 이상 스키마 변경으로 업데이트되지 않습니다.

액세스 정책

지원되는 정책

Microsoft Purview의 이 데이터 리소스에서 지원되는 정책 유형은 다음과 같습니다.

Azure Arc 지원 SQL Server 액세스 정책 필수 구성 요소

지역 지원

정책 적용은 다음을 제외한 모든 Microsoft Purview 지역에서 사용할 수 있습니다.

  • 미국 서부 2
  • 동아시아
  • US Gov 버지니아
  • 중국 북부 3

Azure Arc 지원 SQL Server 대한 보안 고려 사항

  • 서버 관리자는 Microsoft Purview 정책 적용을 해제할 수 있습니다.
  • Azure Arc 관리자 및 서버 관리자 권한은 서버의 Azure Resource Manager 경로를 변경하는 기능을 제공합니다. Microsoft Purview의 매핑은 Resource Manager 경로를 사용하므로 잘못된 정책 적용으로 이어질 수 있습니다.
  • SQL Server 관리자(데이터베이스 관리자)는 서버 관리자의 권한을 얻고 Microsoft Purview에서 캐시된 정책을 변조할 수 있습니다.
  • 권장되는 구성은 각 SQL Server instance 대한 별도의 앱 등록을 만드는 것입니다. 이 구성은 두 번째 SQL Server instance 두 번째 SQL Server instance 악의적인 관리자가 Resource Manager 경로를 변조하는 경우 첫 번째 SQL Server instance 대한 정책을 읽지 못하게 합니다.

필수 구성 요소 확인

  1. 이 링크를 통해 Azure Portal 로그인

  2. 왼쪽 창에서 SQL 서버 로 이동합니다. Azure Arc에 SQL Server 인스턴스 목록이 표시됩니다.

  3. 구성하려는 SQL Server instance 선택합니다.

  4. 왼쪽 창에서 Azure Active Directory 로 이동합니다.

  5. Azure Active Directory 인증이 관리자 로그인으로 구성되어 있는지 확인합니다. 그렇지 않은 경우 이 가이드의 액세스 정책 필수 구성 요소 섹션을 참조하세요.

  6. SQL Server Azure에 인증할 수 있도록 인증서가 제공되었는지 확인합니다. 그렇지 않은 경우 이 가이드의 액세스 정책 필수 구성 요소 섹션을 참조하세요.

  7. SQL Server Azure AD 간에 트러스트 관계를 만들기 위해 앱 등록을 입력했는지 확인합니다. 그렇지 않은 경우 이 가이드의 액세스 정책 필수 구성 요소 섹션을 참조하세요.

  8. 변경한 경우 저장 단추를 선택하여 구성을 저장하고 작업이 성공적으로 완료될 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다. "성공적으로 저장됨" 메시지가 녹색 배경의 페이지 맨 위에 표시됩니다. 이를 보려면 위로 스크롤해야 할 수 있습니다.

    Azure Active Directory 섹션에서 Microsoft Purview 엔드포인트를 구성하기 위한 필수 구성 요소를 보여 주는 스크린샷

정책에 대한 Microsoft Purview 계정 구성

Microsoft Purview에서 데이터 원본 등록

데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.

참고

Microsoft Purview 정책은 데이터 리소스 ARM 경로를 사용합니다. 데이터 리소스가 새 리소스 그룹 또는 구독으로 이동되면 등록을 해제한 다음 Microsoft Purview에 다시 등록해야 합니다.

데이터 원본에서 데이터 사용 관리를 사용하도록 권한 구성

리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 사용 관리를 사용하도록 설정하려면 사용 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 사용 관리를 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.

  • 리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.

    • IAM 소유자
    • IAM 기여자와 IAM 사용자 액세스 관리자 모두

    Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.

    역할 할당을 추가하기 위한 Azure Portal 섹션을 보여 주는 스크린샷

    참고

    데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Azure AD 확인합니다.

  • 또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.

    다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.

    루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하기 위한 선택 항목을 보여 주는 스크린샷

액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성

정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.

  • 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
  • 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

정책 작성자 역할은 루트 컬렉션 수준에서 구성해야 합니다.

또한 정책의 제목을 만들거나 업데이트할 때 Azure AD 사용자 또는 그룹을 쉽게 검색하려면 Azure AD 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.

데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성

데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 구성해야 합니다.

Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임

데이터 사용 관리에 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.

참고

모든 Microsoft Purview 루트 컬렉션 관리자는 루트 정책 작성자 역할에 새 사용자를 할당할 수 있습니다. 모든 컬렉션 관리자는 컬렉션데이터 원본 관리자 역할에 새 사용자를 할당할 수 있습니다. Microsoft Purview 컬렉션 관리자, 데이터 원본 관리자 또는 정책 작성자 역할을 보유하는 사용자를 최소화하고 신중하게 검사합니다.

게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.

데이터 원본 등록 및 데이터 사용 관리 사용

정책을 만들려면 먼저 Azure Arc 지원 SQL Server 데이터 원본을 Microsoft Purview에 등록해야 합니다.

  1. Microsoft Purview Studio에 로그인합니다.

  2. 왼쪽 창의 데이터 맵 으로 이동하여 원본을 선택한 다음, 등록을 선택합니다. 검색 상자에 Azure Arc를 입력하고 Azure Arc에서 SQL Server 선택합니다. 그런 다음, 계속을 선택합니다.

    등록할 원본 선택을 보여 주는 스크린샷

  3. 이름에 이 등록의 이름을 입력합니다. 다음 단계에서 등록 이름을 서버 이름과 동일하게 만드는 것이 가장 좋습니다.

  4. Azure 구독, 서버 이름서버 엔드포인트에 대한 값을 선택합니다.

  5. 컬렉션 선택에서 이 등록을 넣을 컬렉션을 선택합니다.

  6. 데이터 사용 관리를 사용하도록 설정합니다. 데이터 사용 관리에 는 특정 권한이 필요하며 데이터 원본에 대한 액세스를 관리하기 위해 특정 Microsoft Purview 역할에 위임하기 때문에 데이터의 보안에 영향을 줄 수 있습니다. Microsoft Purview 원본에서 데이터 사용 관리 사용 가이드에서 데이터 사용 관리와 관련된 보안 사례를 살펴봅니다.

  7. 등록 또는 적용을 선택합니다.

정책의 데이터 원본을 등록하기 위한 선택 항목을 보여 주는 스크린샷

Azure Arc 지원 SQL Server 정책 사용

이 섹션에서는 Microsoft Purview를 사용하도록 Azure Arc에서 SQL Server 구성하는 단계를 설명합니다. Microsoft Purview 계정에서 이 데이터 원본에 대한 데이터 사용 관리 옵션을 사용하도록 설정한 후 다음 단계를 실행합니다.

  1. 이 링크를 통해 Azure Portal 로그인

  2. 왼쪽 창에서 SQL 서버 로 이동합니다. Azure Arc에 SQL Server 인스턴스 목록이 표시됩니다.

  3. 구성하려는 SQL Server instance 선택합니다.

  4. 왼쪽 창에서 Azure Active Directory 로 이동합니다.

  5. Microsoft Purview 액세스 정책까지 아래로 스크롤합니다.

  6. Microsoft Purview 거버넌스 확인 단추를 선택합니다. 요청이 처리되는 동안 기다립니다. 이 경우 이 메시지가 페이지 맨 위에 표시됩니다. 이를 보려면 위로 스크롤해야 할 수 있습니다.

    Arc-SQL 에이전트가 요청을 처리하고 있음을 보여 주는 스크린샷

  7. 페이지 아래쪽에서 Microsoft Purview 거버넌스 상태에 가 표시되는지 확인합니다 Governed. 올바른 상태 반영하는 데 최대 30분이 걸릴 수 있습니다. 그런 일이 발생할 때까지 브라우저 새로 고침을 계속합니다.

    Azure Active Directory 섹션의 Microsoft Purview 엔드포인트 상태 보여 주는 스크린샷

  8. Microsoft Purview 엔드포인트가 이 데이터 원본을 등록하고 데이터 사용 관리를 사용하도록 설정한 Microsoft Purview 계정을 가리키는지 확인합니다.

정책 만들기

Azure Arc 지원 SQL Server 대한 액세스 정책을 만들려면 다음 가이드를 따릅니다.

리소스 그룹 또는 Azure 구독 내의 모든 데이터 원본을 포함하는 정책을 만들려면 Microsoft Purview에서 여러 Azure 원본 검색 및 관리를 참조하세요.

다음 단계

원본을 등록했으므로 다음 가이드를 사용하여 Microsoft Purview 및 데이터에 대해 자세히 알아보세요.