자습서: Azure Storage 데이터 세트에 대한 데이터 소유자의 프로비저닝 액세스(미리 보기)
중요
이 기능은 현재 미리 보기로 제공됩니다. Microsoft Azure Preview에 대한 추가 사용 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.
Microsoft Purview의 정책을 사용하면 컬렉션에 등록된 데이터 원본에 액세스할 수 있습니다. 이 자습서에서는 데이터 소유자가 Microsoft Purview를 사용하여 Microsoft Purview를 통해 Azure Storage의 데이터 세트에 액세스할 수 있도록 하는 방법을 설명합니다.
이 자습서에서는 다음을 수행하는 방법을 배웁니다.
- Azure 환경 준비
- Microsoft Purview가 리소스에 연결할 수 있도록 권한 구성
- 데이터 사용 관리를 위해 Azure Storage 리소스 등록
- 리소스 그룹 또는 구독에 대한 정책 만들기 및 게시
필수 구성 요소
활성 구독이 있는 Azure 계정입니다. 무료로 계정을 만듭니다.
새 계정 또는 기존 Microsoft Purview 계정. 이 빠른 시작 가이드에 따라 만듭니다.
지역 지원
- 모든 Microsoft Purview 지역이 지원됩니다.
- 다음 지역의 스토리지 계정은 추가 구성 없이도 지원됩니다. 그러나 ZRS(영역 중복 스토리지) 계정은 지원되지 않습니다.
- 미국 동부
- 미국 동부 2
- 미국 중남부
- 미국 서부 2
- 캐나다 중부
- 북유럽
- 서유럽
- 프랑스 중부
- 영국 남부
- 동남아시아
- 오스트레일리아 동부
- 퍼블릭 클라우드의 다른 지역에 있는 스토리지 계정은 다음 섹션에 설명된 대로 기능 플래그 AllowPurviewPolicyEnforcement를 설정한 후 지원됩니다. 기능 플래그 AllowPurviewPolicyEnforcement를 설정한 후 만든 경우 새로 만든 ZRS Storage 계정이 지원됩니다.
필요한 경우 이 가이드에 따라 새 Storage 계정을 만들 수 있습니다.
Azure Storage 계정이 Microsoft Purview의 정책에 상주하는 구독 구성
이 단계는 특정 지역에서만 필요합니다(이전 섹션 참조). Microsoft Purview가 하나 이상의 Azure Storage 계정에 대한 정책을 관리할 수 있도록 하려면 Azure Storage 계정을 배포할 구독에서 다음 PowerShell 명령을 실행합니다. 이러한 PowerShell 명령을 사용하면 Microsoft Purview가 해당 구독의 모든 Azure Storage 계정에 대한 정책을 관리할 수 있습니다.
이러한 명령을 로컬로 실행하는 경우 관리자 권한으로 PowerShell을 실행해야 합니다. 또는 Azure Portal Azure Cloud Shellhttps://shell.azure.com사용할 수 있습니다.
# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage
마지막 명령의 출력에 RegistrationState 가 등록됨으로 표시되면 액세스 정책에 대한 구독이 활성화됩니다. 출력이 등록 중이면 10분 이상 기다린 다음 명령을 다시 시도합니다. RegistrationState가 등록됨으로 표시되지 않는 한 계속하지 마세요.
구성
Microsoft Purview에서 데이터 원본 등록
데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.
참고
Microsoft Purview 정책은 데이터 리소스 ARM 경로를 사용합니다. 데이터 리소스가 새 리소스 그룹 또는 구독으로 이동되면 등록을 해제한 다음 Microsoft Purview에 다시 등록해야 합니다.
데이터 원본에서 데이터 사용 관리를 사용하도록 권한 구성
리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 사용 관리를 사용하도록 설정하려면 사용 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 사용 관리를 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.
리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.
- IAM 소유자
- IAM 기여자와 IAM 사용자 액세스 관리자 모두
Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.
참고
데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Azure AD 확인합니다.
또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.
다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.
액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성
정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.
- 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
- 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.
Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.
참고
정책 작성자 역할은 루트 컬렉션 수준에서 구성해야 합니다.
또한 정책의 제목을 만들거나 업데이트할 때 Azure AD 사용자 또는 그룹을 쉽게 검색하려면 Azure AD 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.
데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성
데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.
데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.
Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.
참고
데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 구성해야 합니다.
Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임
데이터 사용 관리에 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.
참고
모든 Microsoft Purview 루트 컬렉션 관리자는 루트 정책 작성자 역할에 새 사용자를 할당할 수 있습니다. 모든 컬렉션 관리자는 컬렉션 의 데이터 원본 관리자 역할에 새 사용자를 할당할 수 있습니다. Microsoft Purview 컬렉션 관리자, 데이터 원본 관리자 또는 정책 작성자 역할을 보유하는 사용자를 최소화하고 신중하게 검사합니다.
게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.
데이터 사용 관리를 위해 Microsoft Purview에 데이터 원본 등록
나중에 액세스 정책을 정의하려면 Azure Storage 계정을 Microsoft Purview에 등록해야 하며, 등록하는 동안 데이터 사용 관리를 사용하도록 설정합니다. 데이터 사용 관리는 사용자가 Microsoft Purview 내에서 리소스에 대한 액세스를 관리할 수 있는 Microsoft Purview의 사용 가능한 기능입니다. 이렇게 하면 데이터 검색 및 액세스 관리를 중앙 집중화할 수 있지만 데이터 보안에 직접적인 영향을 주는 기능입니다.
경고
리소스에 대해 데이터 사용 관리를 사용하도록 설정하기 전에 데이터 사용 관리 문서를 참조하세요.
이 문서에는 정보가 안전한지 확인하는 데 도움이 되는 데이터 사용 관리 모범 사례가 포함되어 있습니다.
리소스를 등록하고 데이터 사용 관리를 사용하도록 설정하려면 다음 단계를 수행합니다.
참고
Azure 리소스에 관리 ID를 추가할 수 있도록 하려면 구독 또는 리소스 그룹의 소유자여야 합니다.
Azure Portal 등록하려는 Azure Blob Storage 계정을 찾습니다.
왼쪽 탐색 영역에서 Access Control(IAM)를 선택한 다음 + 추가 -->역할 할당 추가를 선택합니다.
역할을Storage Blob 데이터 읽기 권한자로 설정하고 입력 선택 상자 아래에 Microsoft Purview 계정 이름을 입력합니다. 그런 다음 저장 을 선택하여 Microsoft Purview 계정에 이 역할 할당을 제공합니다.
Storage 계정에서 방화벽을 사용하도록 설정한 경우 다음 단계도 수행합니다.
Azure Portal Azure Storage 계정으로 이동합니다.
보안 + 네트워킹 > 네트워킹으로 이동합니다.
액세스 허용에서선택한 네트워크를 선택합니다.
예외 섹션에서 신뢰할 수 있는 Microsoft 서비스가 이 스토리지 계정에 액세스하도록 허용을 선택하고 저장을 선택합니다.
스토리지 계정에 대한 인증을 설정한 후에는 Microsoft Purview 거버넌스 포털로 이동합니다.
왼쪽 메뉴에서 데이터 맵 을 선택합니다.
등록을 선택하세요.
원본 등록에서Azure Blob Storage 선택합니다.
계속을 선택합니다.
원본 등록(Azure) 화면에서 다음을 수행합니다.
이름 상자에 데이터 원본이 카탈로그에 나열될 친숙한 이름을 입력합니다.
구독 드롭다운 목록 상자에서 스토리지 계정이 보관되는 구독을 선택합니다. 그런 다음 스토리지 계정 이름 아래에서 스토리지 계정을 선택합니다. 컬렉션 선택에서 Azure Storage 계정을 등록할 컬렉션을 선택합니다.
컬렉션 선택 상자에서 컬렉션을 선택하거나 새 컬렉션을 만듭니다(선택 사항).
아래 이미지와 같이 데이터 사용 관리 토글을 사용으로 설정합니다.
팁
데이터 사용 관리 토글이 회색으로 표시되어 선택할 수 없는 경우:
- 리소스에서 데이터 사용 관리를 사용하도록 설정하기 위해 모든 필수 구성 요소를 따랐는지 확인합니다.
- 등록할 스토리지 계정을 선택했는지 확인합니다.
- 이 리소스가 이미 다른 Microsoft Purview 계정에 등록되어 있을 수 있습니다. 데이터 리소스를 등록한 Microsoft Purview 계정의 이름을 확인하려면 마우스로 가리킵니다. 한 번에 하나의 Microsoft Purview 계정만 데이터 사용 관리에 대한 리소스를 등록할 수 있습니다.
등록을 선택하여 데이터 사용 관리를 사용하도록 설정된 Microsoft Purview에 리소스 그룹 또는 구독을 등록합니다.
팁
모범 사례 또는 알려진 문제를 포함하여 데이터 사용 관리에 대한 자세한 내용은 데이터 사용 관리 문서를 참조하세요.
데이터 소유자 정책 만들기
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 패널을 사용하여 데이터 정책 기능으로 이동합니다. 그런 다음 , 데이터 정책을 선택합니다.
정책 페이지에서 새 정책 단추를 선택합니다.
새 정책 페이지가 나타납니다. 정책 이름 및 설명을 입력 합니다.
새 정책에 정책 문을 추가하려면 새 정책 문 단추를 선택합니다. 그러면 정책 문 작성기가 표시됩니다.
효과 단추를 선택하고 드롭다운 목록에서 허용을 선택합니다.
작업 단추를 선택하고 드롭다운 목록에서 읽기 또는 수정을 선택합니다.
데이터 리소스 단추를 선택하여 창을 열어 오른쪽에 열리는 데이터 리소스 정보를 입력합니다.
데이터 리소스 패널에서 정책의 세분성에 따라 다음 두 가지 중 하나를 수행합니다.
- 이전에 등록된 전체 데이터 원본, 리소스 그룹 또는 구독을 다루는 광범위한 정책 문을 만들려면 데이터 원본 상자를 사용하고 해당 형식을 선택합니다.
- 세분화된 정책을 만들려면 자산 상자를 대신 사용합니다. 데이터 원본 형식과 이전에 등록되고 스캔한 데이터 원본의 이름을 입력합니다. 이미지의 예제를 참조하세요.
계속 단추를 선택하고 계층 구조를 트래버스하여 및 기본 데이터 개체(예: 폴더, 파일 등)를 선택합니다. 재귀를 선택하여 계층 구조의 해당 지점에서 모든 자식 데이터 개체에 정책을 적용합니다. 그런 다음 , 추가 단추를 선택합니다. 그러면 정책 편집기로 돌아갑니다.
주체 단추를 선택하고 주체 ID를 보안 주체, 그룹 또는 MSI로 입력합니다. 그런 다음 확인 단추를 선택합니다. 그러면 정책 편집기로 돌아갑니다.
#5~#11 단계를 반복하여 정책 문을 더 이상 입력합니다.
저장 단추를 선택하여 정책을 저장합니다.
데이터 소유자 정책 게시
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 패널을 사용하여 데이터 정책 기능으로 이동합니다. 그런 다음 , 데이터 정책을 선택합니다.
정책 포털은 Microsoft Purview의 기존 정책 목록을 제공합니다. 게시해야 하는 정책을 찾습니다. 페이지의 오른쪽 위 모서리에 있는 게시 단추를 선택합니다.
데이터 원본 목록이 표시됩니다. 이름을 입력하여 목록을 필터링할 수 있습니다. 그런 다음, 이 정책을 게시할 각 데이터 원본을 선택한 다음 게시 단추를 선택합니다.
중요
- 게시는 백그라운드 작업입니다. 변경 내용이 Storage 계정에 반영되려면 최대 2시간 이 걸릴 수 있습니다.
리소스를 정리합니다.
Microsoft Purview에서 정책을 삭제하려면 다음 단계를 수행합니다.
Microsoft Purview 거버넌스 포털에 로그인합니다.
왼쪽 패널을 사용하여 데이터 정책 기능으로 이동합니다. 그런 다음 , 데이터 정책을 선택합니다.
정책 포털은 Microsoft Purview의 기존 정책 목록을 제공합니다. 업데이트해야 하는 정책을 선택합니다.
편집 및 삭제 옵션을 비롯한 정책 세부 정보 페이지가 표시됩니다. 정책 문 작성기를 표시하는 편집 단추를 선택합니다. 이제 이 정책의 모든 문 부분을 업데이트할 수 있습니다. 정책을 삭제하려면 삭제 단추를 사용합니다.
다음 단계
데모 및 관련 자습서를 확인합니다.