자습서: SQL 데이터 원본에 대한 Microsoft Purview 정책 문제 해결

아티클
08/23/2023

이 자습서에서는 SQL 명령을 실행하여 SQL instance 전달된 Microsoft Purview 정책을 검사하는 방법을 알아봅니다. SQL instance 정책을 강제로 다운로드하는 방법도 알아봅니다. 이러한 명령은 문제 해결에만 사용되며 Microsoft Purview 정책을 정상적으로 작업하는 동안에는 필요하지 않습니다. 이러한 명령은 SQL instance 더 높은 수준의 권한이 필요합니다.

Microsoft Purview 정책에 대한 자세한 내용은 다음 단계 섹션에 나열된 개념 가이드를 참조하세요.

필수 구성 요소

Azure 구독. 아직 구독이 없는 경우 무료 구독을 만듭니다.
Microsoft Purview 계정. 계정이 없는 경우 Microsoft Purview 계정을 만들기 위한 빠른 시작을 참조하세요.
데이터 원본을 등록하고, 데이터 사용 관리를 사용하도록 설정하고, 정책을 만듭니다. 이렇게 하려면 Microsoft Purview 정책 가이드 중 하나를 사용합니다. 이 자습서의 예제를 따르려면 Azure SQL Database에 대한 DevOps 정책을 만들 수 있습니다.

정책 테스트

정책을 만들면 정책의 주체에서 참조되는 Azure AD 보안 주체는 정책이 게시되는 서버의 모든 데이터베이스에 연결할 수 있어야 합니다.

정책 강제 다운로드

다음 명령을 실행하여 게시된 최신 정책을 현재 SQL 데이터베이스에 즉시 다운로드할 수 있습니다. 실행하는 데 필요한 최소 권한은 ##MS_ServerStateManager##-server 역할의 멤버 자격입니다.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

SQL에서 다운로드한 정책 상태 분석

다음 DMV를 사용하여 다운로드되어 현재 Azure AD 보안 주체에 할당된 정책을 분석할 수 있습니다. 이를 실행하는 데 필요한 최소 권한은 VIEW DATABASE SECURITY STATE 또는 할당된 작업 그룹 SQL 보안 감사자입니다.


-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

다음 단계

Microsoft Purview 액세스 정책에 대한 개념 가이드: