Concepten voor Microsoft Purview-beleid voor gegevenseigenaar (preview)
Belangrijk
Deze functie is momenteel beschikbaar als preview-product. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, in preview zijn of anderszins nog niet algemeen beschikbaar zijn.
In dit artikel worden concepten besproken met betrekking tot het beheren van toegang tot gegevensbronnen in uw gegevensdomein vanuit de Microsoft Purview-beheerportal.
Notitie
Deze mogelijkheid verschilt van toegangsbeheer voor Microsoft Purview zelf, dat wordt beschreven in Toegangsbeheer in Microsoft Purview.
Overzicht
Met toegangsbeleid in Microsoft Purview kunt u de toegang tot verschillende gegevenssystemen in uw hele gegevensdomein beheren. Bijvoorbeeld:
Een gebruiker heeft leestoegang nodig tot een Azure Storage-account dat is geregistreerd in Microsoft Purview. U kunt deze toegang rechtstreeks in Microsoft Purview verlenen door een beleid voor gegevenstoegang te maken via de app Beleidsbeheer in de Microsoft Purview-beheerportal.
Beleid voor gegevenstoegang kan worden afgedwongen via Purview op gegevenssystemen die zijn geregistreerd voor beleid.
Microsoft Purview-beleidsconcepten
Microsoft Purview-beleid
Een beleid is een benoemde verzameling beleidsinstructies. Wanneer een beleid wordt gepubliceerd naar een of meer gegevenssystemen onder het beheer van Purview, wordt het beleid vervolgens door hen afgedwongen. Een beleidsdefinitie bevat een beleidsnaam, beschrijving en een lijst met een of meer beleidsinstructies.
Beleidsverklaring
Een beleidsverklaring is een door mensen leesbare instructie die bepaalt hoe de gegevensbron een specifieke gegevensbewerking moet verwerken. De beleidsverklaring omvat Effect, Actie, Gegevensresource en Onderwerp.
Actie
Een actie is de bewerking die wordt toegestaan of geweigerd als onderdeel van dit beleid. Bijvoorbeeld: Lezen of Wijzigen. Deze logische acties op hoog niveau worden toegewezen aan een (of meer) gegevensacties in het gegevenssysteem waar ze worden afgedwongen.
Effect
Het effect geeft aan wat het gevolg moet zijn van dit beleid. Op dit moment is toestaan de enige ondersteunde waarde.
Gegevensresource
De gegevensresource is het volledig gekwalificeerde gegevensassetpad waarop een beleidsverklaring van toepassing is. Het voldoet aan de volgende indeling:
/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>
Indeling gegevens-assetpad in Azure Storage:
Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>
Azure SQL db-gegevens-asset-padindeling:
Microsoft.Sql/servers/<server-name>
Onderwerp
De identiteit van de eindgebruiker van Azure Active Directory voor wie deze beleidsverklaring van toepassing is. Deze identiteit kan een service-principal, een afzonderlijke gebruiker, een groep of een beheerde service-identiteit (MSI) zijn.
Voorbeeld
Lezen op gegevensasset toestaan: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData om finance-analyst te groeperen
In de bovenstaande beleidsverklaring is het effect Toestaan, is de actie Lezen, is de gegevensresource Azure Storage-container FinData en het onderwerp de Azure Active Directory-groep Finance-analyst. Als een gebruiker die tot deze groep behoort, probeert gegevens te lezen uit de opslagcontainer FinData, wordt de aanvraag toegestaan.
Hiërarchische afdwinging van beleidsregels
De gegevensresource die in een beleidsinstructie is opgegeven, is standaard hiërarchisch. Dit betekent dat de beleidsinstructie van toepassing is op het gegevensobject zelf en op alle onderliggende objecten in het gegevensobject. Een beleidsinstructie op de Azure Storage-container is bijvoorbeeld van toepassing op alle blobs in de container.
Algoritme voor het combineren van beleid
Microsoft Purview kan verschillende beleidsinstructies hebben die verwijzen naar dezelfde gegevensasset. Bij het evalueren van een beslissing voor gegevenstoegang combineert Microsoft Purview alle toepasselijke beleidsregels en biedt het een geconsolideerde beslissing. De combinatiestrategie kiest het meest beperkende beleid. Laten we bijvoorbeeld als volgt uitgaan van twee verschillende beleidsregels voor een Azure Storage-container FinData :
Beleid 1: Lezen van gegevensasset /abonnement/..../containers/FinData Naar groep Finance-analist toestaan
Beleid 2- Lezen van gegevensasset /abonnement/..../containers/FinData weigeren Om financiële contractanten te groeperen
Vervolgens gaan we ervan uit dat gebruiker 'user1', die deel uitmaakt van twee groepen: Finance-analyst en Finance-contractors, een aanroep naar de blob-lees-API uitvoert. Aangezien beide beleidsregels van toepassing zijn, kiest Microsoft Purview het meest beperkende beleid, namelijk Weigeren van lezen. De toegangsaanvraag wordt dus geweigerd.
Notitie
Zoals vermeld in de sectie Effect hierboven, is het enige ondersteunde effect momenteel Toestaan. In het bovenstaande voorbeeld wordt uitgelegd hoe meerdere beleidsregels voor één asset worden geëvalueerd.
Beleidspublicatie
Er bestaat een nieuw gemaakt beleid in de status conceptmodus, dat alleen zichtbaar is in Microsoft Purview. De publicatie initieert het afdwingen van een beleid in de opgegeven gegevenssystemen. Het is een asynchrone actie die tussen 5 minuten en 2 uur kan duren om effectief te zijn, afhankelijk van de afdwingingscode in de onderliggende gegevensbronnen. Raadpleeg de zelfstudies met betrekking tot elke gegevensbron voor meer informatie
Een beleid dat naar een gegevensbron is gepubliceerd, kan verwijzingen bevatten naar een asset die bij een andere gegevensbron hoort. Dergelijke verwijzingen worden genegeerd omdat de betreffende asset niet bestaat in de gegevensbron waarop het beleid wordt toegepast.
Volgende stappen
Bekijk de zelfstudies over het maken van beleidsregels in Microsoft Purview die werken op specifieke gegevenssystemen, zoals Azure Storage: