Руководство по настройке доступа к источникам данных для MSI Microsoft Purview в большом масштабе

Для сканирования источников данных Microsoft Purview требуется доступ к ним. Это руководство предназначено для владельцев подписок Azure и администраторов источников данных Microsoft Purview. Это поможет определить необходимый доступ и настроить необходимые правила проверки подлинности и сети для Microsoft Purview в разных источниках данных Azure.

В части 2 этой серии учебников вы выполните следующие действия:

• Найдите источники данных и подготовьте список подписок на источники данных.
• Запустите скрипт, чтобы настроить отсутствующие параметры управления доступом на основе ролей (RBAC) или необходимые конфигурации сети в источниках данных в Azure.
• Просмотрите выходной отчет.

Предварительные требования

• Подписки Azure, в которых находятся источники данных. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.
• Учетная запись Microsoft Purview.
• Ресурс Azure Key Vault в каждой подписке с такими источниками данных, как база данных Azure SQL, Azure Synapse Analytics или Управляемый экземпляр SQL Azure.
• Скрипт конфигурации MSI Microsoft Purview .

Примечание.

Скрипт конфигурации MSI Microsoft Purview доступен только для Windows. В настоящее время этот скрипт поддерживается для управляемого удостоверения Microsoft Purview (MSI).

Важно!

Мы настоятельно рекомендуем протестировать и проверить все изменения, которые скрипт выполняет в вашей среде Azure, прежде чем развертывать его в рабочей среде.

Подготовка списка подписок Azure для источников данных

Перед выполнением скрипта создайте файл .csv (например, "C:\temp\Subscriptions.csv") с четырьмя столбцами:

Столбец	Описание	Пример
SubscriptionId	Идентификаторы подписок Azure для источников данных.	12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName	Имя существующего хранилища ключей, развернутого в подписке на источник данных.	ContosoDevKeyVault
SecretNameSQLUserName	Имя существующего секрета Key Vault Azure, содержащего имя пользователя Azure Active Directory (Azure AD), который может войти в Azure Synapse, базу данных Azure SQL или Управляемый экземпляр SQL Azure с помощью Azure AD проверки подлинности..	ContosoDevSQLAdmin
SecretNameSQLPassword	Имя существующего секрета Key Vault Azure, содержащего Azure AD пароль пользователя, который может войти в Azure Synapse, базу данных Azure SQL или Управляемый экземпляр SQL Azure с помощью Azure AD проверки подлинности.	ContosoDevSQLPassword

Пример файла .csv:

Примечание.

При необходимости можно обновить имя файла и путь в коде.

Запустите скрипт и установите необходимые модули PowerShell.

Выполните следующие действия, чтобы запустить сценарий с компьютера Windows:

1. Скачайте скрипт конфигурации MSI Microsoft Purview в выбранное расположение.

2. На компьютере введите PowerShell в поле поиска на панели задач Windows. В списке поиска выберите и удерживайте (или щелкните правой кнопкой мыши) Windows PowerShell, а затем выберите Запуск от имени администратора.

3. В окне PowerShell введите следующую команду. (Замените <path-to-script> на путь к папке извлеченного файла скрипта.)

   dir -Path <path-to-script> | Unblock-File
   

4. Чтобы установить командлеты Azure, введите следующую команду:

   Install-Module -Name Az -AllowClobber -Scope CurrentUser
   

5. Если отображается запрос поставщика NuGet для продолжения, введите Y, а затем нажмите клавишу ВВОД.

6. Если отображается запрос Ненадежный репозиторий, введите A, а затем нажмите клавишу ВВОД.

7. Повторите предыдущие шаги, чтобы установить Az.Synapse модули и AzureAD .

Установка необходимых модулей в PowerShell может занять до минуты.

Сбор других данных, необходимых для выполнения скрипта

Перед выполнением скрипта PowerShell для проверки готовности подписок источника данных получите значения следующих аргументов, которые будут использоваться в скриптах:

• AzureDataType: выберите любой из следующих параметров в качестве типа источника данных, чтобы проверка готовность к типу данных в подписках.

  • BlobStorage

  • AzureSQLMI

  • AzureSQLDB

  • ADLSGen2

  • ADLSGen1

  • Synapse

  • All

• PurviewAccount: имя существующего ресурса учетной записи Microsoft Purview.

• PurviewSub: идентификатор подписки, в которой развернута учетная запись Microsoft Purview.

Проверка разрешений

Убедитесь, что у пользователя есть следующие роли и разрешения:

Для запуска скрипта в среде Azure требуются как минимум следующие разрешения:

Роль	Область	Зачем это нужно?
Глобальный читатель	клиент Azure AD	Чтение Azure SQL Администратор членства в группе пользователей и MSI Microsoft Purview
Глобальный администратор	клиент Azure AD	Назначение роли читателя каталога Azure SQL управляемым экземплярам
Участник	Подписка или группа ресурсов, в которой создана учетная запись Microsoft Purview	Чтение ресурса учетной записи Microsoft Purview и создание Key Vault ресурса и секрета
Владелец или администратор доступа пользователей	Группа управления или подписка, в которой находятся источники данных Azure	Назначение RBAC
Участник	Группа управления или подписка, в которой находятся источники данных Azure	Настройка конфигурации сети
SQL Администратор (аутентификация Azure AD)	экземпляры сервера Azure SQL или управляемые экземпляры Azure SQL	Назначение роли db_datareader Microsoft Purview
Доступ к хранилищу ключей Azure	Доступ к секрету Key Vault Key Vault для проверки подлинности базы данных Azure SQL, Управляемый экземпляр SQL Azure или Azure Synapse

Запуск скрипта готовности на стороне клиента

Запустите сценарий, выполнив следующие действия:

1. Используйте следующую команду, чтобы перейти в папку скрипта. Замените <path-to-script> путем к папке извлеченного файла.

   cd <path-to-script>
   

2. Выполните следующую команду, чтобы задать политику выполнения для локального компьютера. Введите A для параметра Да для всех , когда вам будет предложено изменить политику выполнения.

   Set-ExecutionPolicy -ExecutionPolicy Unrestricted
   

3. Запустите скрипт со следующими параметрами. Замените DataTypeзаполнители , PurviewNameи SubscriptionID .

   .\purview-msi-configuration.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>
   

   При выполнении команды может появиться всплывающее окно с предложением войти в Azure и Azure AD с использованием учетных данных Azure Active Directory.

Создание отчета может занять несколько минут в зависимости от количества подписок и ресурсов Azure в среде.

Вам может быть предложено войти в экземпляры Azure SQL Server, если учетные данные в хранилище ключей не совпадают. Вы можете указать учетные данные или выбрать ввод , чтобы пропустить конкретный сервер.

После завершения процесса просмотрите выходной отчет, чтобы просмотреть изменения.

Дополнительные сведения

Какие источники данных поддерживаются скриптом?

В настоящее время скрипт поддерживает следующие источники данных:

• Хранилище BLOB-объектов Azure (BlobStorage)
• Azure Data Lake Storage 2-го поколения (ADLSGen2)
• Azure Data Lake Storage 1-го поколения (ADLSGen1)
• База данных Azure SQL (AzureSQLDB)
• Управляемый экземпляр SQL Azure (AzureSQLMI)
• выделенный пул Azure Synapse (Synapse)

Вы можете выбрать все или любой из этих источников данных в качестве входного параметра при выполнении скрипта.

Какие конфигурации включены в скрипт?

Этот скрипт поможет вам автоматически выполнить следующие задачи:

Хранилище BLOB-объектов Azure (BlobStorage)

• RBAC. Назначьте роль читателя RBAC Azure MSI Microsoft Purview на выбранном область. Проверьте назначение.
• RBAC. Назначьте роль читателя данных BLOB-объектов хранилища Azure RBAC MSI Microsoft Purview в каждой из подписок под выбранным область. Проверьте назначения.
• Сети. Сообщите, создана ли частная конечная точка для хранилища и включена ли для хранилища BLOB-объектов.
• Конечная точка службы. Если частная конечная точка отключена, проверка, включена ли конечная точка службы, и включите параметр Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

Azure Data Lake Storage 2-го поколения (ADLSGen2)

• RBAC. Назначьте роль читателя RBAC Azure MSI Microsoft Purview на выбранном область. Проверьте назначение.
• RBAC. Назначьте роль читателя данных BLOB-объектов хранилища Azure RBAC MSI Microsoft Purview в каждой из подписок под выбранным область. Проверьте назначения.
• Сети. Сообщите, создана ли частная конечная точка для хранилища и включена ли для хранилища BLOB-объектов.
• Конечная точка службы. Если частная конечная точка отключена, проверка, включена ли конечная точка службы, и включите параметр Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

Azure Data Lake Storage 1-го поколения (ADLSGen1)

• Сети. Убедитесь, что конечная точка службы включена, и включите параметр Разрешить всем службам Azure доступ к этой учетной записи Data Lake Storage 1-го поколения на Data Lake Storage.
• Разрешения. Назначьте доступ на чтение и выполнение к MSI Microsoft Purview. Проверьте доступ.

База данных Azure SQL (AzureSQLDB)

• экземпляры SQL Server:

  • Сети. Сообщите, включена ли общедоступная конечная точка или частная конечная точка.
  • Брандмауэра. Если частная конечная точка отключена, проверьте правила брандмауэра и включите разрешить службам и ресурсам Azure доступ к этому серверу.
  • Azure AD администрирование. Включите проверку подлинности Azure AD для базы данных Azure SQL.

• Базы данных SQL:

  • Роль SQL. Назначьте роль db_datareader MSI Microsoft Purview.

Управляемый экземпляр SQL Azure (AzureSQLMI)

• серверы Управляемый экземпляр SQL:

  • Сети. Убедитесь, что общедоступная или частная конечная точка включена. Сообщите, если общедоступная конечная точка отключена.

  • ProxyOverride. Убедитесь, что Управляемый экземпляр SQL Azure настроен как прокси-сервер или перенаправление.

  • Сети. Обновите правила NSG, чтобы разрешить входящий доступ AzureCloud к экземплярам SQL Server через необходимые порты:

    • Перенаправление: 1433 и 11000-11999

    или

    • Прокси-сервер: 3342

    Проверьте этот доступ.

  • Azure AD администрирование. Включите проверку подлинности Azure AD для Управляемый экземпляр SQL Azure.

• Базы данных SQL:

  • Роль SQL. Назначьте роль db_datareader MSI Microsoft Purview.

выделенный пул Azure Synapse (Synapse)

• RBAC. Назначьте роль читателя RBAC Azure MSI Microsoft Purview на выбранном область. Проверьте назначение.

• RBAC. Назначьте роль читателя данных BLOB-объектов хранилища Azure RBAC MSI Microsoft Purview в каждой из подписок под выбранным область. Проверьте назначения.

• SQL Server экземпляры (выделенные пулы):

  • Сети. Сообщите, включена ли общедоступная конечная точка или частная конечная точка.
  • Брандмауэра. Если частная конечная точка отключена, проверьте правила брандмауэра и включите разрешить службам и ресурсам Azure доступ к этому серверу.
  • Azure AD администрирование. Включите проверку подлинности Azure AD для базы данных Azure SQL.

• Базы данных SQL:

  • Роль SQL. Назначьте роль db_datareader MSI Microsoft Purview.

Дальнейшие действия

В этом руководстве вы узнали, как:

• Определите необходимый доступ и настройте необходимые правила проверки подлинности и сети для Microsoft Purview в разных источниках данных Azure.

Перейдите к следующему руководству, чтобы узнать, как зарегистрировать и проверить несколько источников в Microsoft Purview.