Tutorial: verificar a preparação da fonte de dados em escala
Para verificar fontes de dados, o Microsoft Purview requer acesso a elas. Ele usa credenciais para obter esse acesso. Uma credencial é a informação de autenticação que o Microsoft Purview pode usar para autenticar suas fontes de dados registradas. Há algumas maneiras de configurar as credenciais para o Microsoft Purview, incluindo:
- A identidade gerenciada atribuída à conta do Microsoft Purview.
- Segredos armazenados no Azure Key Vault.
- Entidades de serviço.
Nesta série de tutoriais em duas partes, ajudaremos você a verificar e configurar as atribuições de função do Azure necessárias e o acesso à rede para várias fontes de dados do Azure em suas assinaturas do Azure em escala. Em seguida, você pode registrar e examinar suas fontes de dados do Azure no Microsoft Purview.
Execute o script de lista de verificação de preparação de fontes de dados do Microsoft Purview depois de implantar sua conta do Microsoft Purview e antes de registrar e examinar suas fontes de dados do Azure.
Na parte 1 desta série de tutoriais, você:
- Localize suas fontes de dados e prepare uma lista de assinaturas de fonte de dados.
- Execute o script de lista de verificação de preparação para encontrar qualquer RBAC (controle de acesso baseado em função) ausente ou configurações de rede em suas fontes de dados no Azure.
- No relatório de saída, examine as configurações de rede ausentes e as atribuições de função exigidas pela MSI (Identidade Gerenciada do Microsoft Purview).
- Compartilhe o relatório com os proprietários de assinatura do Azure de dados para que eles possam executar ações sugeridas.
Pré-requisitos
- Assinaturas do Azure em que suas fontes de dados estão localizadas. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
- Uma conta do Microsoft Purview.
- Um recurso do Azure Key Vault em cada assinatura que tenha fontes de dados como banco de dados SQL do Azure, análise de Azure Synapse ou Instância Gerenciada de SQL do Azure.
- O script de lista de verificação de preparação de fontes de dados do Microsoft Purview .
Observação
A lista de verificação de preparação de fontes de dados do Microsoft Purview está disponível apenas para Windows. Atualmente, esse script de lista de verificação de preparação tem suporte para o MSI do Microsoft Purview.
Preparar a lista de assinaturas do Azure para fontes de dados
Antes de executar o script, crie um arquivo .csv (por exemplo, C:\temp\Subscriptions.csv) com quatro colunas:
| Nome da coluna | Descrição | Exemplo |
|---|---|---|
SubscriptionId |
IDs de assinatura do Azure para suas fontes de dados. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Nome do cofre de chaves existente implantado na assinatura de fonte de dados. | ContosoDevKeyVault |
SecretNameSQLUserName |
Nome de um segredo de Key Vault existente do Azure que contém um nome de usuário do Azure Active Directory (Azure AD) que pode entrar em Azure Synapse, banco de dados SQL do Azure ou Instância Gerenciada de SQL do Azure usando Azure AD autenticação. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
Nome de um segredo de Key Vault existente do Azure que contém uma senha de usuário Azure AD que pode entrar em Azure Synapse, SQL do Azure Banco de Dados ou Instância Gerenciada de SQL do Azure usando Azure AD autenticação. | ContosoDevSQLPassword |
Arquivo .csv de exemplo:
Observação
Você pode atualizar o nome do arquivo e o caminho no código, se precisar.
Execute o script e instale os módulos necessários do PowerShell
Siga estas etapas para executar o script do computador Windows:
Baixe o script de lista de verificação de preparação de fontes de dados do Microsoft Purview para o local de sua escolha.
No computador, insira o PowerShell na caixa de pesquisa na barra de tarefas do Windows. Na lista de pesquisa, selecione e segure (ou clique com o botão direito do mouse) Windows PowerShell e selecione Executar como administrador.
Na janela do PowerShell, insira o comando a seguir. (Substitua
<path-to-script>pelo caminho da pasta do arquivo de script extraído.)dir -Path <path-to-script> | Unblock-FileInsira o seguinte comando para instalar os cmdlets do Azure:
Install-Module -Name Az -AllowClobber -Scope CurrentUserSe você vir que o provedor do NuGet de prompt é necessário para continuar, insira Y e selecione Inserir.
Se você vir o repositório prompt Não confiável, insiraA e selecione Inserir.
Repita as etapas anteriores para instalar os
Az.Synapsemódulos eAzureAD.
Pode levar até um minuto para o PowerShell instalar os módulos necessários.
Coletar outros dados necessários para executar o script
Antes de executar o script do PowerShell para verificar a preparação das assinaturas de fonte de dados, obtenha os valores dos seguintes argumentos a serem usados nos scripts:
AzureDataType: escolha qualquer uma das seguintes opções como seu tipo de fonte de dados para marcar a preparação para o tipo de dados em suas assinaturas:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: seu nome de recurso da conta do Microsoft Purview existente.PurviewSub: ID da assinatura em que a conta do Microsoft Purview é implantada.
Verificar suas permissões
Verifique se o usuário tem as seguintes funções e permissões:
| Função ou permissão | Escopo |
|---|---|
| Leitor Global | locatário Azure AD |
| Leitor | Assinaturas do Azure em que suas fontes de dados do Azure estão localizadas |
| Leitor | Assinatura em que sua conta do Microsoft Purview foi criada |
| SQL Administração (Autenticação Azure AD) | Azure Synapse pools dedicados, instâncias de banco de dados SQL do Azure, instâncias gerenciadas SQL do Azure |
| Acesso ao cofre de chaves do Azure | Acesso ao segredo do cofre de chaves do get/list ou ao usuário secreto do Azure Key Vault |
Executar o script de preparação do lado do cliente
Execute o script concluindo estas etapas:
Use o comando a seguir para acessar a pasta do script. Substitua
<path-to-script>pelo caminho da pasta do arquivo extraído.cd <path-to-script>Execute o comando a seguir para definir a política de execução para o computador local. Insira A para Sim para Todos quando você for solicitado a alterar a política de execução.
Set-ExecutionPolicy -ExecutionPolicy UnrestrictedExecute o script com os parâmetros a seguir. Substitua os
DataTypeespaços reservados ,PurviewNameeSubscriptionID..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>Quando você executa o comando, uma janela pop-up pode aparecer duas vezes solicitando que você entre no Azure e Azure AD usando suas credenciais do Azure Active Directory.
Pode levar vários minutos para criar o relatório, dependendo do número de assinaturas e recursos do Azure no ambiente.
Após a conclusão do processo, examine o relatório de saída, que demonstra as configurações ausentes detectadas em suas assinaturas ou recursos do Azure. Os resultados podem aparecer como Passado, Não Passado ou Consciência. Você pode compartilhar os resultados com os administradores de assinatura correspondentes em sua organização para que eles possam configurar as configurações necessárias.
Mais informações
Quais fontes de dados são compatíveis com o script?
Atualmente, as seguintes fontes de dados são compatíveis com o script:
- Armazenamento de Blobs do Azure (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Banco de Dados SQL do Azure (AzureSQLDB)
- Instância Gerenciada de SQL do Azure (AzureSQLMI)
- pool dedicado Azure Synapse (Synapse)
Você pode escolher todas ou qualquer uma dessas fontes de dados como o parâmetro de entrada ao executar o script.
Quais verificações estão incluídas nos resultados?
Armazenamento de Blobs do Azure (BlobStorage)
- RBAC. Verifique se o MSI do Microsoft Purview recebe a função Leitor de Dados de Blobs de Armazenamento em cada uma das assinaturas abaixo do escopo selecionado.
- RBAC. Verifique se o MSI do Microsoft Purview recebe a função Leitor no escopo selecionado.
- Ponto de extremidade de serviço. Verifique se o ponto de extremidade do serviço está ativado e marcar se permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento está habilitado.
- Rede: verifique se o ponto de extremidade privado foi criado para armazenamento e habilitado para Armazenamento de Blobs.
Azure Data Lake Storage Gen2 (ADLSGen2)
- RBAC. Verifique se o MSI do Microsoft Purview recebe a função Leitor de Dados de Blobs de Armazenamento em cada uma das assinaturas abaixo do escopo selecionado.
- RBAC. Verifique se o MSI do Microsoft Purview recebe a função Leitor no escopo selecionado.
- Ponto de extremidade de serviço. Verifique se o ponto de extremidade do serviço está ativado e marcar se permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento está habilitado.
- Rede: verifique se o ponto de extremidade privado foi criado para armazenamento e habilitado para Armazenamento de Blobs.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Rede. Verifique se o ponto de extremidade de serviço está ativado e marcar se permitir que todos os serviços do Azure acessem esse Data Lake Storage Gen1 conta está habilitada.
- Permissões. Verifique se o MSI do Microsoft Purview tem permissões de leitura/execução.
Banco de Dados SQL do Azure (AzureSQLDB)
SQL Server instâncias:
- Rede. Verifique se o ponto de extremidade público ou o ponto de extremidade privado estão habilitados.
- Firewall. Verifique se os serviços e recursos do Azure para acessar esse servidor estão habilitados.
- Azure AD administração. Verifique se SQL do Azure Server tem autenticação Azure AD.
- Azure AD administração. Preencha o SQL do Azure Servidor Azure AD usuário ou grupo de administradores.
Bancos de dados SQL:
- Função SQL. Verifique se o MSI do Microsoft Purview tem a função db_datareader .
Instância Gerenciada de SQL do Azure (AzureSQLMI)
Instância Gerenciada de SQL servidores:
- Rede. Verifique se o ponto de extremidade público ou o ponto de extremidade privado estão habilitados.
- ProxyOverride. Verifique se Instância Gerenciada de SQL do Azure está configurada como Proxy ou Redirecionamento.
- Rede. Verifique se o NSG tem uma regra de entrada para permitir o AzureCloud em portas necessárias:
- Redirecionamento: 1433 e 11000-11999
ou - Proxy: 3342
- Redirecionamento: 1433 e 11000-11999
- Azure AD administração. Verifique se SQL do Azure Server tem autenticação Azure AD.
- Azure AD administração. Preencha o SQL do Azure Servidor Azure AD usuário ou grupo de administradores.
Bancos de dados SQL:
- Função SQL. Verifique se o MSI do Microsoft Purview tem a função db_datareader .
pool dedicado Azure Synapse (Synapse)
RBAC. Verifique se o MSI do Microsoft Purview recebe a função Leitor de Dados de Blobs de Armazenamento em cada uma das assinaturas abaixo do escopo selecionado.
RBAC. Verifique se o MSI do Microsoft Purview recebe a função Leitor no escopo selecionado.
SQL Server instâncias (pools dedicados):
- Rede: verifique se o ponto de extremidade público ou o ponto de extremidade privado está habilitado.
- Firewall: verifique se os serviços e recursos do Azure para acessar esse servidor estão habilitados.
- Azure AD administração: verifique se SQL do Azure Server tem autenticação Azure AD.
- Azure AD administração: preencha o SQL do Azure Servidor Azure AD usuário ou grupo de administradores.
Bancos de dados SQL:
- Função SQL. Verifique se o MSI do Microsoft Purview tem a função db_datareader .
Próximas etapas
Neste tutorial, você aprendeu a:
- Execute a lista de verificação de preparação do Microsoft Purview para marcar, em escala, se suas assinaturas do Azure estão ausentes, antes de registrá-las e examiná-las no Microsoft Purview.
Acesse o próximo tutorial para saber como identificar o acesso necessário e configurar as regras de autenticação e rede necessárias para o Microsoft Purview entre fontes de dados do Azure:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de