Provisionar acesso a metadados do sistema na Instância Gerenciada de SQL do Azure usando políticas do Microsoft Purview DevOps (versão prévia)

Artigo
09/12/2023

Importante

Este recurso está atualmente no modo de visualização. Os Termos de Uso Suplementares para Visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral.

As políticas de DevOps são um tipo de políticas de acesso do Microsoft Purview. Eles permitem que você gerencie o acesso a metadados do sistema em fontes de dados que foram registradas para a aplicação da política no Microsoft Purview. Essas políticas são configuradas diretamente do portal de governança do Microsoft Purview e, depois de salvas, elas são publicadas automaticamente e impostas pela fonte de dados. As políticas do Microsoft Purview gerenciam apenas o acesso para entidades de Microsoft Entra.

Este guia de instruções aborda como configurar a Instância Gerenciada de SQL do Azure para impor políticas criadas no Microsoft Purview. Ele aborda as etapas de configuração do SQL MI do Azure e as do Microsoft Purview para provisionar o acesso aos metadados do sistema SQL MI do Azure (DMVs e DMFs) usando as ações de políticas de DevOps monitoramento de desempenho do SQL ou Auditoria de Segurança SQL.

Pré-requisitos

Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Uma conta nova ou existente do Microsoft Purview. Siga este guia de início rápido para criar um.

Crie um novo MI SQL do Azure ou use um existente em uma das regiões disponíveis atualmente para esse recurso. Você pode seguir este guia para criar um NOVO SQL MI do Azure.

Suporte à região

Todas as regiões do Microsoft Purview têm suporte.

A aplicação das políticas do Microsoft Purview só está disponível nas seguintes regiões para o SQL MI do Azure:

Nuvem pública:

Leste dos EUA
Leste dos EUA2
Centro-Sul dos EUA
Centro-Oeste dos EUA
Oeste dos EUA3
Canadá Central
Sul do Brasil
Europa Ocidental
Norte da Europa
França Central
Sul do Reino Unido
Norte da África do Sul
Índia Central
Sudeste da Ásia
Leste da Ásia
Leste da Austrália

Configuração do SQL MI do Azure

Esta seção explica como você pode configurar o Azure SQL MI para honrar as políticas do Microsoft Purview. Verifique primeiro se o SQL MI do Azure está configurado para ponto de extremidade público ou privado. Este guia explica como fazer isso.

Configuração para o ponto de extremidade público do SQL MI

Se o SQL MI do Azure estiver configurado para o ponto de extremidade público, siga estas etapas

Configure um Microsoft Entra Administração. No portal do Azure, navegue até o MI SQL do Azure e navegue até Microsoft Entra no menu lateral (anteriormente chamado de administrador do Active Directory). Defina um Administração nome e selecione Salvar. Confira captura de tela:
Em seguida, navegue até Identidade no menu lateral. Em Sistema atribuído identidade gerenciada marcar status para Ativado e, em seguida, selecione Salvar. Confira captura de tela:

Configuração do ponto de extremidade privado do SQL MI

Se o SQL MI do Azure estiver configurado para usar o ponto de extremidade privado, execute as mesmas etapas descritas na configuração do ponto de extremidade público e, além disso, faça o seguinte:

Navegue até o NSG (Grupo de Segurança de Rede) associado ao SEU SQL MI do Azure.
Adicione uma regra de segurança de saída semelhante à da captura de tela a seguir. Destino = Marca de Serviço, marca de serviço de destino = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. Verifique também que a prioridade dessa regra é menor do que a da regra deny_all_outbound .

Configuração do Microsoft Purview

Registrar a fonte de dados no Microsoft Purview

Antes que uma política possa ser criada no Microsoft Purview para um recurso de dados, você deve registrar esse recurso de dados no Microsoft Purview Studio. Você encontrará as instruções relacionadas ao registro do recurso de dados posteriormente neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho do ARM do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou assinatura, ele precisará ser des registrado e registrado novamente no Microsoft Purview.

Configurar permissões para habilitar o gerenciamento de uso de dados na fonte de dados

Depois que um recurso é registrado, mas antes que uma política possa ser criada no Microsoft Purview para esse recurso, você deve configurar permissões. Um conjunto de permissões é necessário para habilitar o gerenciamento de uso de dados. Isso se aplica a fontes de dados, grupos de recursos ou assinaturas. Para habilitar o gerenciamento de uso de dados, você deve ter privilégios específicos de IAM (Gerenciamento de Identidade e Acesso) no recurso, bem como privilégios específicos do Microsoft Purview:

Você deve ter uma das seguintes combinações de função IAM no caminho do Azure Resource Manager do recurso ou qualquer pai dele (ou seja, usando a herança de permissão IAM):
- Proprietário do IAM
- Colaborador do IAM e Administrador de Acesso de Usuário do IAM
Para configurar permissões de RBAC (controle de acesso baseado em função) do Azure, siga este guia. A captura de tela a seguir mostra como acessar a seção Controle de Acesso no portal do Azure para o recurso de dados para adicionar uma atribuição de função.

Observação

A função Proprietário do IAM para um recurso de dados pode ser herdada de um grupo de recursos pai, uma assinatura ou um grupo de gerenciamento de assinatura. Verifique qual Azure AD usuários, grupos e entidades de serviço detêm ou estão herdando a função Proprietário do IAM para o recurso.
Você também precisa ter a função de administrador de fonte de dados do Microsoft Purview para a coleção ou uma coleção pai (se a herança estiver habilitada). Para obter mais informações, consulte o guia sobre como gerenciar atribuições de função do Microsoft Purview.

A captura de tela a seguir mostra como atribuir a função de administrador de fonte de dados no nível da coleção raiz.

Configurar permissões do Microsoft Purview para criar, atualizar ou excluir políticas de acesso

Para criar, atualizar ou excluir políticas, você precisa obter a função de autor de política no Microsoft Purview no nível da coleção raiz:

A função autor da política pode criar, atualizar e excluir políticas de DevOps e Proprietário de Dados.
A função de autor da política pode excluir políticas de acesso por autoatendimento.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor de política deve ser configurada no nível da coleção raiz.

Além disso, para pesquisar facilmente Azure AD usuários ou grupos ao criar ou atualizar o assunto de uma política, você pode se beneficiar muito de obter a permissão Leitores do Diretório em Azure AD. Essa é uma permissão comum para usuários em um locatário do Azure. Sem a permissão Leitor de Diretório, o Autor da Política terá que digitar o nome de usuário ou o email completo para todas as entidades incluídas no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas do Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se você atribuir o autor da Política do Microsoft Purview e funções de administrador de fonte de dados a diferentes pessoas na organização. Antes que uma política de proprietário de dados entre em vigor, uma segunda pessoa (administrador de fonte de dados) deve revisá-la e aprová-la explicitamente publicando-a. Isso não se aplica às políticas de acesso de DevOps ou autoatendimento, pois a publicação é automática para elas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de proprietário de dados, você precisa obter a função de administrador de fonte de dados no Microsoft Purview no nível de coleta raiz.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de proprietário de dados, a função de administrador de fonte de dados deve ser configurada no nível da coleção raiz.

Delegar a responsabilidade de provisionamento de acesso a funções no Microsoft Purview

Depois que um recurso tiver sido habilitado para o gerenciamento de uso de dados, qualquer usuário do Microsoft Purview com a função de autor de política no nível de coleta raiz pode provisionar o acesso a essa fonte de dados do Microsoft Purview.

Observação

Qualquer administrador do Conjunto raiz do Microsoft Purview pode atribuir novos usuários às funções de autor de política raiz. Qualquer administrador da Coleção pode atribuir novos usuários a uma função de administrador de fonte de dados na coleção. Minimize e examine cuidadosamente os usuários que possuem funções de administrador do Microsoft Purview Collection, administrador de fonte de dados ou autor de política .

Se uma conta do Microsoft Purview com políticas publicadas for excluída, essas políticas deixarão de ser impostas em um período de tempo que depende da fonte de dados específica. Essa alteração pode ter implicações na segurança e na disponibilidade de acesso a dados. As funções Colaborador e Proprietário no IAM podem excluir contas do Microsoft Purview. Você pode marcar essas permissões acessando a seção controle de acesso (IAM) para sua conta do Microsoft Purview e selecionando Atribuições de Função. Você também pode usar um bloqueio para impedir que a conta do Microsoft Purview seja excluída por meio de bloqueios do Resource Manager.

Registrar as fontes de dados no Microsoft Purview

A fonte de dados da Instância Gerenciada de SQL do Azure precisa ser registrada primeiro no Microsoft Purview, antes que você possa criar políticas de acesso. Você pode seguir as seções "Pré-requisitos" e "Registrar a fonte de dados" neste guia:

Registrar e examinar o SQL MI do Azure

Depois de registrar seus recursos, você precisará habilitar a aplicação da política (anteriormente Gerenciamento de Uso de Dados). A aplicação da política precisa de determinadas permissões e pode afetar a segurança de seus dados, pois ela delega a determinadas funções do Microsoft Purview a capacidade de gerenciar o acesso a fontes de dados. Confira as práticas seguras relacionadas à aplicação da política neste guia: Como habilitar a aplicação da política

Depois que a fonte de dados tiver a aplicação da políticahabilitada, ela será semelhante a esta captura de tela. Isso permitirá que as políticas de acesso sejam usadas com a fonte de dados fornecida.

A captura de tela mostra como habilitar a aplicação da política.

Retorne ao portal do Azure para a Banco de Dados SQL do Azure para verificar se ele agora é regido pelo Microsoft Purview:

Entre no portal do Azure por meio deste link
Selecione o SQL Server do Azure que você deseja configurar.
Acesse o Azure Active Directory no painel esquerdo.
Role para baixo até as políticas de acesso do Microsoft Purview.
Selecione o botão para Verificar a Governança do Microsoft Purview. Aguarde enquanto a solicitação é processada. Pode levar alguns minutos.
Confirme se o Status de Governança do Microsoft Purview mostra Governed. Observe que pode levar alguns minutos depois de habilitar o gerenciamento de uso de dados no Microsoft Purview para que o status correto seja refletido.

Observação

Se você desabilitar o gerenciamento de uso de dados para esta fonte de dados do Azure Banco de Dados SQL, pode levar até 24 horas para que o Status de Governança do Microsoft Purview seja atualizado automaticamente para Not Governed. Isso pode ser acelerado selecionando Verificar a Governança do Microsoft Purview. Antes de habilitar o gerenciamento de uso de dados para a fonte de dados em outra conta do Microsoft Purview, verifique se o Status de Governança do Purview é mostrado como Not Governed. Em seguida, repita as etapas acima com a nova conta do Microsoft Purview.