Conceitos para políticas de proprietário de dados do Microsoft Purview (versão prévia)

Importante

Este recurso está atualmente no modo de visualização. Os Termos de Uso Suplementares para Visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral.

Este artigo discute conceitos relacionados ao gerenciamento de leitura ou modificação do acesso a ativos em seu patrimônio de dados de dentro do portal de governança do Microsoft Purview.

Observação

Essa funcionalidade não oferece controle de acesso para o próprio Microsoft Purview. A concessão de acesso a funções internas do Microsoft Purview é descrita no controle access no Microsoft Purview. Essa funcionalidade é usada para conceder acesso ao plano de dados, ou seja, acesso aos dados em si em sistemas de dados como o Armazenamento do Azure. Ele não permite que você conceda acesso ao plano de controle. O acesso ao plano de controle fornece visibilidade e capacidade de gerenciar recursos em sua assinatura. Você pode gerenciar o acesso ao plano de controle por meio do IAM (Gerenciamento de Identidade e Acesso)

Visão Geral

As políticas de acesso no Microsoft Purview permitem que você gerencie o acesso a diferentes sistemas de dados em todo o seu conjunto de dados. Por exemplo:

Um usuário precisa de acesso de leitura a uma conta de Armazenamento do Azure que foi registrada no Microsoft Purview. Você pode conceder esse acesso diretamente no Microsoft Purview criando uma política de acesso a dados por meio do aplicativo de política de dados no portal de governança do Microsoft Purview.

As políticas de proprietário de dados só podem ser impostas em sistemas de dados habilitados para a aplicação da política no Microsoft Purview, ou seja, com a opção de imposição de política ativada no registro da fonte de dados.

Conceitos

Política de proprietário de dados

Uma política de proprietário de dados é um conjunto nomeado de instruções de política. Quando uma política é publicada em um ou mais sistemas de dados sob a governança do Microsoft Purview, ela é imposta por eles. Uma definição de política inclui um nome da política, uma descrição e uma lista de uma ou mais instruções de política.

Declaração de política

Uma instrução de política é uma instrução legível por humanos que determina como a fonte de dados deve lidar com uma operação de acesso a dados específica. A instrução de política é composta por Efeito, Ação, Recurso de Dados e Assunto.

Ação

Uma ação é a operação que está sendo permitida ou negada como parte dessa política. Por exemplo: Ler ou modificar. Essas ações lógicas de alto nível mapeiam para uma (ou mais) ações de dados no sistema de dados em que são impostas.

Efeito

O efeito indica o que deve ser o resultado se houver uma correspondência no recurso Data e assunto da instrução de política. Atualmente, o único valor com suporte é Permitir.

Recurso de dados

O recurso de dados é o caminho de ativo de dados totalmente qualificado para o objeto que a instrução de política aplica. Ele está em conformidade com o seguinte formato:

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Formato de caminho de ativo de dados do Armazenamento do Azure:

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Formato data-asset-path do Azure SQL DB:

Microsoft.Sql/servers/<server-name>

Assunto

É uma lista das identidades de usuário final do Azure Active Directory para as quais essa instrução de política é aplicável. Cada identidade pode ser uma entidade de serviço, um usuário individual, um grupo ou uma MSI (identidade de serviço gerenciada).

Exemplo

Permitir Leitura no Ativo de Dados: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData para agrupar Finance-analyst

Na instrução de política acima, o efeito é Permitir, a ação é Leitura, o recurso de dados é FinData do contêiner de armazenamento do Azure e o assunto é o analista financeiro do grupo do Azure Active Directory. Se qualquer usuário que pertence a esse grupo tentar ler dados do contêiner de armazenamento FinData, a solicitação será permitida.

Imposição hierárquica de políticas

O recurso de dados especificado em uma instrução de política é hierárquico por padrão. Isso significa que a instrução de política se aplica ao objeto de dados em si e a todos os objetos children contidos pelo objeto de dados. Por exemplo, uma instrução de política no contêiner do Armazenamento do Azure se aplica a todos os blobs contidos nele.

Algoritmo de combinação de políticas

Uma fonte de dados combina todas as políticas locais aplicáveis com todas as políticas do Microsoft Purview e fornece uma decisão consolidada quando um usuário tenta acessar um ativo. A estratégia de combinação escolhe a política mais restritiva.

Por exemplo, vamos supor duas políticas diferentes em um Contêiner de Armazenamento do Azure FinData da seguinte maneira,

Política 1 – Permitir Leitura no Ativo de Dados /subscription/..../containers/FinData para agrupar Finance-analyst

Política 2 – Negar Leitura no Ativo de Dados /subscription/..../containers/FinData para agrupar financiadors

Em seguida, vamos supor que o usuário 'user1', que faz parte de dois grupos: analista financeiro e financiador-contratado, executa uma chamada para a API de leitura de blob. Como ambas as políticas serão aplicáveis, o Armazenamento do Azure escolherá a mais restritiva, que é Negarleitura. Assim, a solicitação de acesso será negada.

Publicação de políticas

Existe uma política recém-criada no estado do modo de rascunho, visível apenas no Microsoft Purview. O ato de publicar inicia a aplicação de uma política nos sistemas de dados especificados. É uma ação assíncrona que pode levar entre 5 minutos e 2 horas para ser eficaz, dependendo do tipo de fonte de dados. Para obter mais informações, consulte as políticas de proprietário de dados guias de instruções relacionados a cada tipo de fonte de dados.

Uma política publicada em uma fonte de dados pode conter declarações de política que se referem a uma fonte de dados diferente. Essas referências serão ignoradas, pois o ativo em questão não existe na fonte de dados em que a política é aplicada.

Próximas etapas

Verifique os guias sobre como criar políticas no Microsoft Purview que são impostas em sistemas de dados específicos. Além da interface do usuário, agora você pode experimentar a API de políticas de proprietário de dados.