Обнаружение и управление несколькими источниками Azure в Microsoft Purview

  • Статья

В этой статье описывается, как зарегистрировать несколько источников Azure, а также как проверить подлинность и взаимодействовать с ними в Microsoft Purview. Дополнительные сведения о Microsoft Purview см. в вводной статье.

Поддерживаемые возможности

Извлечение метаданных Полная проверка Добавочное сканирование Сканирование с заданной областью Классификация Присвоение подписей Политика доступа Линии Общий доступ к данным Динамическое представление
Да Да Да Да Да Зависимость от источника Да Зависимость от источника Нет Ограниченная функциональность

Предварительные требования

Регистрация

В этом разделе описывается регистрация нескольких источников Azure в Microsoft Purview с помощью портала управления Microsoft Purview.

Предварительные требования для регистрации

Для получения списка ресурсов в подписке или группе ресурсов Microsoft Purview требуются разрешения.

  1. Перейдите к подписке или группе ресурсов в портал Azure.
  2. Выберите контроль доступа (IAM) в меню слева.
  3. Выберите +Добавить.
  4. В поле Выбор входных данных выберите роль Читатель и введите имя учетной записи Microsoft Purview (представляющее имя MSI-файла).
  5. Нажмите кнопку Сохранить , чтобы завершить назначение роли. Это позволит Microsoft Purview выводить список ресурсов в рамках подписки или группы ресурсов.

Проверка подлинности для регистрации

Существует два способа настройки проверки подлинности для нескольких источников в Azure.

  • Управляемое удостоверение
  • Субъект-служба

Необходимо настроить проверку подлинности для каждого ресурса в подписке или группе ресурсов, которые требуется зарегистрировать и проверить. Типы ресурсов службы хранилища Azure (Хранилище BLOB-объектов Azure и Azure Data Lake Storage 2-го поколения) упрощают работу, позволяя добавлять MSI-файл или субъект-службу на уровне подписки или группы ресурсов в качестве средства чтения данных BLOB-объектов хранилища. Затем разрешения передаются в каждую учетную запись хранения в этой подписке или группе ресурсов. Для всех других типов ресурсов необходимо применить MSI-файл или субъект-службу к каждому ресурсу или создать скрипт для этого.

Чтобы узнать, как добавить разрешения для каждого типа ресурсов в подписке или группе ресурсов, см. следующие ресурсы:

Действия по регистрации

  1. Откройте портал управления Microsoft Purview, выполнив следующие действия.

  2. Выберите Карта данных в меню слева.

  3. Нажмите Зарегистрировать.

  4. В разделе Регистрация источников выберите Azure (несколько).

    Снимок экрана: плитка для Azure Multiple на экране для регистрации нескольких источников.

  5. Нажмите Продолжить.

  6. На экране Регистрация источников (Azure) выполните следующие действия.

    1. В поле Имя введите имя, которое источник данных будет указан в каталоге.

    2. В поле Группа управления при необходимости выберите группу управления для фильтрации.

    3. В раскрывающемся списке Подписка и Группа ресурсов выберите подписку или определенную группу ресурсов соответственно. Для область регистрации будет задана выбранная подписка или группа ресурсов.

      Снимок экрана: поля для выбора подписки и группы ресурсов.

    4. В поле Выбор коллекции выберите коллекцию или создайте новую (необязательно).

    5. Выберите Зарегистрировать , чтобы зарегистрировать источники данных.

Проверка

Важно!

В настоящее время сканирование нескольких источников Azure поддерживается только с помощью среды выполнения интеграции Azure, поэтому использовать этот параметр могут только учетные записи Microsoft Purview, которые разрешают общий доступ к брандмауэру.

Выполните следующие действия, чтобы проверить несколько источников Azure для автоматической идентификации ресурсов и классификации данных. Дополнительные сведения о сканировании в целом см. в статье Введение в сканирование и прием данных.

Создание и запуск сканирования

Чтобы создать и запустить новую проверку, сделайте следующее:

  1. Перейдите на вкладку Карта данных на левой панели на портале управления Microsoft Purview.

  2. Выберите зарегистрированный источник данных.

  3. Выберите Просмотреть сведения>+ Создать сканирование или используйте значок быстрого действия Сканирования на плитке источника.

  4. В поле Имя введите имя.

  5. В поле Тип выберите типы ресурсов, которые нужно сканировать в этом источнике. Выберите один из следующих вариантов:

    • Оставьте все. Этот выбор включает будущие типы ресурсов, которые в настоящее время могут не существовать в этой подписке или группе ресурсов.
    • Используйте поля, чтобы выбрать типы ресурсов, которые требуется сканировать. При выборе этого параметра будущие типы ресурсов, которые могут быть созданы в этой подписке или группе ресурсов, не будут включены для проверок, если в будущем сканирование не будет явно изменено.

    Снимок экрана: параметры сканирования нескольких источников.

  6. Выберите учетные данные для подключения к ресурсам в источнике данных:

    • Вы можете выбрать учетные данные на родительском уровне в качестве MSI-файла или учетные данные для определенного типа субъекта-службы. Затем эти учетные данные можно использовать для всех типов ресурсов в подписке или группе ресурсов.
    • Вы можете выбрать тип ресурса и применить другие учетные данные для этого типа ресурса.

    Все учетные данные будут рассматриваться как метод проверки подлинности для всех ресурсов определенного типа. Для успешного сканирования ресурсов необходимо задать выбранные учетные данные, как описано выше в этой статье.

  7. В каждом типе можно выбрать сканирование всех ресурсов или их подмножества по имени:

    • Если оставить параметр Все, то будущие ресурсы этого типа также будут проверяться в будущих запусках сканирования.
    • При выборе определенных учетных записей хранения или баз данных SQL будущие ресурсы этого типа, созданные в рамках этой подписки или группы ресурсов, не будут включены для проверок, если только сканирование не будет явно изменено в будущем.

  8. Выберите Проверить подключение. Сначала будет проверен доступ к проверка, если вы применили MSI-файл Microsoft Purview в качестве средства чтения в подписке или группе ресурсов. Если появляется сообщение об ошибке, следуйте этим инструкциям , чтобы устранить его. Затем он проверит проверку подлинности и подключение к каждому из выбранных источников и создаст отчет. Количество выбранных источников повлияет на время, необходимое для создания этого отчета. Если на некоторых ресурсах произошел сбой, при наведении указателя мыши на значок X отобразится подробное сообщение об ошибке.

    Снимок экрана: ползунок настройки сканирования с выделенной кнопкой Снимок экрана: пример отчета о тестовом подключении с некоторыми подключениями, которые передаются, а некоторые завершаются сбоем. При наведении указателя мыши на одно из неудачных подключений отображается подробный отчет об ошибке.

  9. После прохождения тестового подключения нажмите кнопку Продолжить , чтобы продолжить.

  10. Выберите наборы правил проверки для каждого типа ресурса, выбранного на предыдущем шаге. Можно также создавать встроенные наборы правил сканирования.

    Снимок экрана: правила проверки для каждого типа ресурсов.

  11. Выберите триггер сканирования. Его можно запланировать еженедельно, ежемесячно или один раз.

  12. Просмотрите проверку и нажмите кнопку Сохранить , чтобы завершить настройку.

Просмотр проверок и запусков сканирования

  1. Чтобы просмотреть сведения об источнике, выберите Просмотреть сведения на плитке в разделе Карта данных .

    Снимок экрана: сведения об источнике.

  2. Просмотрите сведения о выполнении сканирования, перейдя на страницу Сведения о сканировании .

    Строка состояния представляет собой краткую сводку состояния выполнения дочерних ресурсов. Он отображается на уровне подписки или группы ресурсов. Цвета имеют следующие значения:

    • Зеленый: проверка прошла успешно.
    • Красный цвет: сбой сканирования.
    • Серый: проверка все еще выполняется.

    Вы можете выбрать каждую проверку, чтобы просмотреть более подробные сведения.

    Снимок экрана: сведения о проверке.

  3. Просмотрите сводку последних неудачных запусков сканирования в нижней части сведений об источнике. Вы также можете просмотреть более подробные сведения об этих запусках.

Управление проверками: изменение, удаление или отмена

Чтобы управлять сканированием, выполните следующие действия.

  1. Перейдите в центр управления.

  2. Выберите Источники данных в разделе Источники и сканирование , а затем выберите нужный источник данных.

  3. Выберите проверку, которой вы хотите управлять. Затем:

    • Вы можете изменить сканирование, выбрав Изменить.
    • Вы можете удалить сканирование, нажав кнопку Удалить.
    • Если проверка выполняется, ее можно отменить, нажав кнопку Отмена.

Политика доступа

Поддерживаемые политики

В этом ресурсе данных из Microsoft Purview поддерживаются следующие типы политик:

Предварительные требования политики доступа к учетным записям службы хранилища Azure

Чтобы иметь возможность принудительно применять политики из Microsoft Purview, сначала необходимо настроить источники данных в группе ресурсов или подписке. Инструкции зависят от типа источника данных. Проверьте, поддерживают ли они политики Microsoft Purview, и если да, то конкретные инструкции по их включению по ссылке Политика доступа в документе соединителя Microsoft Purview.

Настройка учетной записи Microsoft Purview для политик

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения управления использованием данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения управления использованием данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить управление использованием данных, необходимо иметь определенные привилегии управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

  • Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

    • Владелец IAM
    • Участник IAM и администратор доступа пользователей IAM

    Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

    Снимок экрана: раздел в портал Azure для добавления назначения ролей.

    Примечание.

    Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Azure AD пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

  • Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

    На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

    Снимок экрана, на котором показаны выборы для назначения роли администратора источника данных на корневом уровне коллекции.

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

  • Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
  • Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Azure AD пользователей или групп при создании или обновлении темы политики вы можете получить разрешение "Читатели каталогов" в Azure AD. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения ресурса для управления использованием данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Регистрация источника данных в Microsoft Purview для управления использованием данных

Подписку Azure или группу ресурсов необходимо сначала зарегистрировать в Microsoft Purview, прежде чем вы сможете создавать политики доступа. Чтобы зарегистрировать ресурс, следуйте инструкциям в разделах Предварительные требования и Регистрация в этом руководстве.

После регистрации ресурса данных необходимо включить управление использованием данных. Это является предварительным условием для создания политик в ресурсе данных. Управление использованием данных может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview, управляющим доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, связанными с управлением использованием данных, в этом руководстве: Включение управления использованием данных

После того как для источника данных для параметра Управление использованием данныхзадано значение Включено, он будет выглядеть следующим образом: снимок экрана: снимок экрана: как зарегистрировать источник данных для политики с параметром Управление использованием данных, установленным для включения.

Создать политику

Чтобы создать политику доступа во всей подписке Или группе ресурсов Azure, следуйте этим руководствам:

Дальнейшие действия

Теперь, когда вы зарегистрировали источник, следуйте приведенным ниже руководствам, чтобы узнать больше о Microsoft Purview и ваших данных.