Compartilhar via

Tutorial: Acessar o provisionamento por proprietário de dados para conjuntos de dados do Armazenamento do Azure (versão prévia)

  • Artigo

Importante

Este recurso está atualmente no modo de visualização. Os Termos de Uso Suplementares para Visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral.

As políticas no Microsoft Purview permitem habilitar o acesso a fontes de dados que foram registradas em uma coleção. Este tutorial descreve como um proprietário de dados pode usar o Microsoft Purview para habilitar o acesso a conjuntos de dados no Armazenamento do Azure por meio do Microsoft Purview.

Neste tutorial, você aprende a:

  • Preparar seu ambiente do Azure
  • Configurar permissões para permitir que o Microsoft Purview se conecte aos seus recursos
  • Registrar seu recurso de Armazenamento do Azure para Gerenciamento de Uso de Dados
  • Criar e publicar uma política para seu grupo de recursos ou assinatura

Pré-requisitos

Suporte à região

  • Todas as regiões do Microsoft Purview têm suporte.
  • Há suporte para contas de armazenamento nas regiões a seguir sem a necessidade de configuração adicional. No entanto, não há suporte para contas ZRS (armazenamento com redundância de zona).
    • Leste dos EUA
    • Leste dos EUA2
    • Centro-Sul dos EUA
    • Oeste dos EUA2
    • Canadá Central
    • Norte da Europa
    • Europa Ocidental
    • França Central
    • Sul do Reino Unido
    • Sudeste da Ásia
    • Leste da Austrália
  • As contas de armazenamento em outras regiões na Nuvem Pública têm suporte após a configuração do sinalizador de recurso AllowPurviewPolicyEnforcement, conforme descrito na próxima seção. Há suporte para contas de armazenamento ZRS recém-criadas, se criadas após a configuração do sinalizador de recurso AllowPurviewPolicyEnforcement.

Se necessário, você pode criar uma nova conta de armazenamento seguindo este guia.

Configurar a assinatura em que a conta de Armazenamento do Azure reside para políticas do Microsoft Purview

Essa etapa só é necessária em determinadas regiões (consulte seção anterior). Para permitir que o Microsoft Purview gerencie políticas para uma ou mais contas de Armazenamento do Azure, execute os seguintes comandos do PowerShell na assinatura em que você implantará sua conta de Armazenamento do Azure. Esses comandos do PowerShell permitirão que o Microsoft Purview gerencie políticas em todas as contas de Armazenamento do Azure nessa assinatura.

Se você estiver executando esses comandos localmente, execute o PowerShell como administrador. Como alternativa, você pode usar o Cloud Shell do Azure no portal do Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Se a saída do último comando mostrar RegistrationState como Registrado, sua assinatura estará habilitada para políticas de acesso. Se a saída estiver registrando, aguarde pelo menos 10 minutos e tente novamente o comando. Não continue a menos que o RegistrationState seja exibido como Registrado.

Configuração

Registrar a fonte de dados no Microsoft Purview

Antes que uma política possa ser criada no Microsoft Purview para um recurso de dados, você deve registrar esse recurso de dados no Microsoft Purview Studio. Você encontrará as instruções relacionadas ao registro do recurso de dados posteriormente neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho do ARM do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou assinatura, ele precisará ser des registrado e registrado novamente no Microsoft Purview.

Configurar permissões para habilitar o gerenciamento de uso de dados na fonte de dados

Depois que um recurso é registrado, mas antes que uma política possa ser criada no Microsoft Purview para esse recurso, você deve configurar permissões. Um conjunto de permissões é necessário para habilitar o gerenciamento de uso de dados. Isso se aplica a fontes de dados, grupos de recursos ou assinaturas. Para habilitar o gerenciamento de uso de dados, você deve ter privilégios específicos de IAM (Gerenciamento de Identidade e Acesso) no recurso, bem como privilégios específicos do Microsoft Purview:

  • Você deve ter uma das seguintes combinações de função IAM no caminho do Azure Resource Manager do recurso ou qualquer pai dele (ou seja, usando a herança de permissão IAM):

    • Proprietário do IAM
    • Colaborador do IAM e Administrador de Acesso de Usuário do IAM

    Para configurar permissões de RBAC (controle de acesso baseado em função) do Azure, siga este guia. A captura de tela a seguir mostra como acessar a seção Controle de Acesso no portal do Azure do recurso de dados para adicionar uma atribuição de função.

    Captura de tela que mostra a seção no portal do Azure para adicionar uma atribuição de função.

    Observação

    A função Proprietário do IAM para um recurso de dados pode ser herdada de um grupo de recursos pai, uma assinatura ou um grupo de gerenciamento de assinatura. Verifique qual Azure AD usuários, grupos e entidades de serviço detêm ou estão herdando a função Proprietário do IAM para o recurso.

  • Você também precisa ter a função de administrador de fonte de dados do Microsoft Purview para a coleção ou uma coleção pai (se a herança estiver habilitada). Para obter mais informações, consulte o guia sobre como gerenciar atribuições de função do Microsoft Purview.

    A captura de tela a seguir mostra como atribuir a função de administrador de fonte de dados no nível da coleção raiz.

    Captura de tela que mostra seleções para atribuir a função de administrador de fonte de dados no nível da coleção raiz.

Configurar permissões do Microsoft Purview para criar, atualizar ou excluir políticas de acesso

Para criar, atualizar ou excluir políticas, você precisa obter a função de autor de política no Microsoft Purview no nível da coleção raiz:

  • A função autor da política pode criar, atualizar e excluir políticas de DevOps e Proprietário de Dados.
  • A função de autor da política pode excluir políticas de acesso por autoatendimento.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor de política deve ser configurada no nível da coleção raiz.

Além disso, para pesquisar facilmente Azure AD usuários ou grupos ao criar ou atualizar o assunto de uma política, você pode se beneficiar muito de obter a permissão Leitores do Diretório em Azure AD. Essa é uma permissão comum para usuários em um locatário do Azure. Sem a permissão Leitor de Diretório, o Autor da Política terá que digitar o nome de usuário ou o email completo para todas as entidades incluídas no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas do Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se você atribuir o autor da Política do Microsoft Purview e funções de administrador de fonte de dados a diferentes pessoas na organização. Antes que uma política de proprietário de dados entre em vigor, uma segunda pessoa (administrador de fonte de dados) deve revisá-la e aprová-la explicitamente publicando-a. Isso não se aplica às políticas de acesso de DevOps ou autoatendimento, pois a publicação é automática para elas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de proprietário de dados, você precisa obter a função de administrador de fonte de dados no Microsoft Purview no nível de coleta raiz.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de proprietário de dados, a função de administrador de fonte de dados deve ser configurada no nível da coleção raiz.

Delegar a responsabilidade de provisionamento de acesso a funções no Microsoft Purview

Depois que um recurso tiver sido habilitado para o gerenciamento de uso de dados, qualquer usuário do Microsoft Purview com a função de autor de política no nível de coleta raiz pode provisionar o acesso a essa fonte de dados do Microsoft Purview.

Observação

Qualquer administrador do Conjunto raiz do Microsoft Purview pode atribuir novos usuários às funções de autor de política raiz. Qualquer administrador da Coleção pode atribuir novos usuários a uma função de administrador de fonte de dados na coleção. Minimize e examine cuidadosamente os usuários que possuem funções de administrador do Microsoft Purview Collection, administrador de fonte de dados ou autor de política .

Se uma conta do Microsoft Purview com políticas publicadas for excluída, essas políticas deixarão de ser impostas em um período de tempo que depende da fonte de dados específica. Essa alteração pode ter implicações na segurança e na disponibilidade de acesso a dados. As funções Colaborador e Proprietário no IAM podem excluir contas do Microsoft Purview. Você pode marcar essas permissões acessando a seção controle de acesso (IAM) para sua conta do Microsoft Purview e selecionando Atribuições de Função. Você também pode usar um bloqueio para impedir que a conta do Microsoft Purview seja excluída por meio de bloqueios de Resource Manager.

Registrar as fontes de dados no Microsoft Purview para Gerenciamento de Uso de Dados

Sua conta de Armazenamento do Azure precisa ser registrada no Microsoft Purview para definir políticas de acesso posteriormente e, durante o registro, habilitaremos o Gerenciamento de Uso de Dados. O Gerenciamento de Uso de Dados é um recurso disponível no Microsoft Purview que permite que os usuários gerenciem o acesso a um recurso de dentro do Microsoft Purview. Isso permite centralizar a descoberta de dados e o gerenciamento de acesso, no entanto, é um recurso que afeta diretamente sua segurança de dados.

Aviso

Antes de habilitar o Gerenciamento de Uso de Dados para qualquer um de seus recursos, leia nosso artigo Gerenciamento de Uso de Dados.

Este artigo inclui as práticas recomendadas do Gerenciamento de Uso de Dados para ajudá-lo a garantir que suas informações sejam seguras.

Para registrar seu recurso e habilitar o Gerenciamento de Uso de Dados, siga estas etapas:

Observação

Você precisa ser proprietário da assinatura ou do grupo de recursos para poder adicionar uma identidade gerenciada em um recurso do Azure.

  1. No portal do Azure, localize a conta de armazenamento de Blobs do Azure que você gostaria de registrar.

    Captura de tela que mostra a conta de armazenamento

  2. Selecione Controle de Acesso (IAM) na navegação à esquerda e selecione + Adicionar -->Adicionar atribuição de função.

    Captura de tela que mostra o controle de acesso da conta de armazenamento

  3. Defina a Função como Leitor de Dados do Blob de Armazenamento e insira o nome da conta do Microsoft Purview na caixa de entrada Selecionar . Em seguida, selecione Salvar para dar essa atribuição de função à sua conta do Microsoft Purview.

    Captura de tela que mostra os detalhes para atribuir permissões para a conta do Microsoft Purview

  4. Se você tiver um firewall habilitado em sua conta de Armazenamento, siga estas etapas também:

    1. Acesse sua conta de Armazenamento do Azure em portal do Azure.

    2. Navegue até Segurança + rede > Rede.

    3. Escolha Redes Selecionadas emPermitir acesso.

    4. Na seção Exceções , selecione Permitir que serviços confiáveis da Microsoft acessem essa conta de armazenamento e selecione Salvar.

      Captura de tela que mostra as exceções para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento.

  5. Depois de configurar a autenticação para sua conta de armazenamento, acesse o portal de governança do Microsoft Purview.

  6. Selecione Mapa de Dados no menu à esquerda.

    Captura de tela que mostra o menu à esquerda no portal de governança do Microsoft Purview aberto com o Mapa de Dados realçado.

  7. Selecione Registrar.

    Captura de tela que mostra as fontes do Mapa de Dados do portal de governança do Microsoft Purview, com o botão de registro realçado na parte superior.

  8. Em Registrar fontes, selecione Armazenamento de Blobs do Azure.

    Captura de tela que mostra o bloco do Azure Multiple na tela para registrar várias fontes.

  9. Selecione Continuar.

  10. Na tela Registrar fontes (Azure), faça o seguinte:

    1. Na caixa Nome , insira um nome amigável com o qual a fonte de dados será listada no catálogo.

    2. Nas caixas de lista suspensa Assinatura , selecione a assinatura em que sua conta de armazenamento está alojada. Em seguida, selecione sua conta de armazenamento em Nome da conta de armazenamento. Em Selecionar uma coleção, selecione a coleção em que você gostaria de registrar sua conta de Armazenamento do Azure.

      Captura de tela que mostra as caixas para selecionar uma conta de armazenamento.

    3. Na caixa Selecionar uma coleção , selecione uma coleção ou crie uma nova (opcional).

    4. Defina o alternância Gerenciamento de Uso de Dados como Habilitado, conforme mostrado na imagem abaixo.

      Captura de tela que mostra o alternância Gerenciamento de Uso de Dados definido como ativo na página de recursos registrado.

      Dica

      Se o alternância Gerenciamento de Uso de Dados estiver acinzentado e não puder ser selecionado:

      1. Confirme se você seguiu todos os pré-requisitos para habilitar o Gerenciamento de Uso de Dados entre seus recursos.
      2. Confirme se você selecionou uma conta de armazenamento a ser registrada.
      3. Pode ser que esse recurso já esteja registrado em outra conta do Microsoft Purview. Passe o mouse sobre ele para saber o nome da conta do Microsoft Purview que registrou o recurso de dados.first. Apenas uma conta do Microsoft Purview pode registrar um recurso para Gerenciamento de Uso de Dados no momento.

    5. Selecione Registrar para registrar o grupo de recursos ou a assinatura com o Microsoft Purview com o Gerenciamento de Uso de Dados habilitado.

Dica

Para obter mais informações sobre o Gerenciamento de Uso de Dados, incluindo práticas recomendadas ou problemas conhecidos, consulte nosso artigo Gerenciamento de Uso de Dados.

Criar uma política de proprietário de dados

  1. Entre no portal de governança do Microsoft Purview.

  2. Navegue até o recurso política de dados usando o painel do lado esquerdo. Em seguida, selecione Políticas de dados.

  3. Selecione o botão Nova Política na página política.

    O proprietário de dados pode acessar a funcionalidade Política no Microsoft Purview quando quiser criar políticas.

  4. A nova página de política será exibida. Insira o nome e a descrição da política.

  5. Para adicionar instruções de política à nova política, selecione o botão Nova instrução de política . Isso vai trazer o construtor de instruções de política.

    O proprietário de dados pode criar uma nova instrução de política.

  6. Selecione o botão Efeito e escolha Permitir na lista suspensa.

  7. Selecione o botão Ação e escolha Ler ou Modificar na lista suspensa.

  8. Selecione o botão Recursos de Dados para criar a janela para inserir informações de recurso de dados, que serão abertas à direita.

  9. No Painel de Recursos de Dados , faça uma das duas coisas dependendo da granularidade da política:

    • Para criar uma instrução de política ampla que abrange toda uma fonte de dados, um grupo de recursos ou uma assinatura que foi registrada anteriormente, use a caixa Fontes de dados e selecione seu Tipo.
    • Para criar uma política refinada, use a caixa Ativos . Insira o Tipo de Fonte de Dados e o Nome de uma fonte de dados registrada e digitalizada anteriormente. Veja o exemplo na imagem.

    Captura de tela mostrando o editor de política, com recursos de dados selecionados e Tipo de fonte de dados realçado no menu de recursos de dados.

  10. Selecione o botão Continuar e atravesse a hierarquia para selecionar e o objeto de dados subjacente (por exemplo: pasta, arquivo etc.). Selecione Recursiva para aplicar a política a partir desse ponto na hierarquia para baixo a qualquer objeto de dados filho. Em seguida, selecione o botão Adicionar . Isso o levará de volta ao editor de políticas.

    Captura de tela mostrando o menu Selecionar ativos e o botão Adicionar realçado.

  11. Selecione o botão Assuntos e insira a identidade do assunto como uma entidade, grupo ou MSI. Em seguida, selecione o botão OK . Isso o levará de volta ao editor de políticas

    Captura de tela mostrando o menu Assunto, com um assunto selecionado na pesquisa e o botão OK realçado na parte inferior.

  12. Repita as etapas de 5 a 11 para inserir mais instruções de política.

  13. Selecione o botão Salvar para salvar a política.

    Captura de tela mostrando uma política de proprietário de dados de exemplo que dá acesso a uma conta de Armazenamento do Azure.

Publicar uma política de proprietário de dados

  1. Entre no portal de governança do Microsoft Purview.

  2. Navegue até o recurso política de dados usando o painel do lado esquerdo. Em seguida, selecione Políticas de dados.

    Captura de tela mostrando o portal de governança do Microsoft Purview com o menu mais à esquerda aberto, o Gerenciamento de Políticas realçado e políticas de dados selecionadas na próxima página.

  3. O portal política apresentará a lista de políticas existentes no Microsoft Purview. Localize a política que precisa ser publicada. Selecione o botão Publicar no canto superior direito da página.

    Captura de tela mostrando o menu de edição de política com o botão Publicar realçado na parte superior direita da página.

  4. Uma lista de fontes de dados é exibida. Você pode inserir um nome para filtrar a lista. Em seguida, selecione cada fonte de dados em que essa política deve ser publicada e selecione o botão Publicar .

    Captura de tela mostrando com o menu Publicar Política com um recurso de dados selecionado e o botão publicar realçado.

Importante

  • Publicar é uma operação em segundo plano. Pode levar até duas horas para que as alterações sejam refletidas nas contas de armazenamento.

Limpe os recursos

Para excluir uma política no Microsoft Purview, siga estas etapas:

  1. Entre no portal de governança do Microsoft Purview.

  2. Navegue até o recurso política de dados usando o painel do lado esquerdo. Em seguida, selecione Políticas de dados.

    Captura de tela mostrando o menu mais à esquerda aberto, o Gerenciamento de Políticas realçado e políticas de dados selecionadas na próxima página.

  3. O portal política apresentará a lista de políticas existentes no Microsoft Purview. Selecione a política que precisa ser atualizada.

  4. A página de detalhes da política será exibida, incluindo opções Editar e Excluir. Selecione o botão Editar , que traz o construtor de instruções de política. Agora, todas as partes das instruções nesta política podem ser atualizadas. Para excluir a política, use o botão Excluir .

    Captura de tela mostrando uma política aberta com o botão Editar realçado no menu superior da página.

Próximas etapas

Verifique nossa demonstração e tutoriais relacionados:

Demonstração da política de acesso para conceitos de armazenamento do Azurepara políticas de proprietário de dados do Microsoft PurviewHabilitar políticas de proprietário de dados do Microsoft Purview em todas as fontes de dados em uma assinatura ou um grupo de recursos