Поделиться через

Руководство. Подготовка доступа владельца данных к наборам данных службы хранилища Azure (предварительная версия)

  • Статья

Важно!

Сейчас эта функция доступна в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.

Политики в Microsoft Purview позволяют разрешить доступ к источникам данных, зарегистрированным в коллекции. В этом руководстве описывается, как владелец данных может использовать Microsoft Purview для предоставления доступа к наборам данных в службе хранилища Azure через Microsoft Purview.

В этом руководстве рассказывается, как:

  • Подготовка среды Azure
  • Настройка разрешений, чтобы разрешить Microsoft Purview подключаться к ресурсам
  • Регистрация ресурса службы хранилища Azure для управления использованием данных
  • Создание и публикация политики для группы ресурсов или подписки

Предварительные требования

Поддержка регионов

  • Поддерживаются все регионы Microsoft Purview .
  • Учетные записи хранения в следующих регионах поддерживаются без дополнительной настройки. Однако учетные записи хранилища с избыточностью между зонами (ZRS) не поддерживаются.
    • Восточная часть США
    • Восточная часть США2
    • Центрально-южная часть США
    • Западная часть США 2
    • Центральная Канада
    • Северная Европа
    • Западная Европа
    • Центральная Франция
    • Южная часть Соединенного Королевства
    • Юго-Восточная Азия
    • Восток Австралии
  • Учетные записи хранения в других регионах общедоступного облака поддерживаются после установки флага функции AllowPurviewPolicyEnforcement, как описано в следующем разделе. Вновь созданные учетные записи хранения ZRS поддерживаются, если они созданы после установки флага компонента AllowPurviewPolicyEnforcement.

При необходимости вы можете создать учетную запись хранения, следуя этому руководству.

Настройка подписки, в которой находится учетная запись хранения Azure для политик из Microsoft Purview

Этот шаг необходим только в определенных регионах (см. предыдущий раздел). Чтобы разрешить Microsoft Purview управлять политиками для одной или нескольких учетных записей хранения Azure, выполните следующие команды PowerShell в подписке, в которой будет развернута учетная запись хранения Azure. Эти команды PowerShell позволят Microsoft Purview управлять политиками во всех учетных записях хранения Azure в этой подписке.

Если вы выполняете эти команды локально, обязательно запустите PowerShell от имени администратора. Кроме того, можно использовать Cloud Shell Azure в портал Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Если в выходных данных последней команды параметр RegistrationState отображается как зарегистрированный, в подписке включены политики доступа. Если выходные данные регистрируются, подождите не менее 10 минут, а затем повторите команду. Не продолжайте работу до тех пор, пока в поле RegistrationState не отобразится значение Зарегистрировано.

Конфигурация

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения управления использованием данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения управления использованием данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить управление использованием данных, необходимо иметь определенные привилегии управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

  • Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

    • Владелец IAM
    • Участник IAM и администратор доступа пользователей IAM

    Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

    Снимок экрана: раздел в портал Azure для добавления назначения ролей.

    Примечание.

    Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Azure AD пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

  • Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

    На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

    Снимок экрана, на котором показаны выборы для назначения роли администратора источника данных на корневом уровне коллекции.

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

  • Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
  • Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Azure AD пользователей или групп при создании или обновлении темы политики вы можете получить разрешение "Читатели каталогов" в Azure AD. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения ресурса для управления использованием данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Регистрация источников данных в Microsoft Purview для управления использованием данных

Ваша учетная запись хранения Azure должна быть зарегистрирована в Microsoft Purview, чтобы позже определить политики доступа, и во время регистрации мы включим управление использованием данных. Управление использованием данных — это доступная функция в Microsoft Purview, которая позволяет пользователям управлять доступом к ресурсу из Microsoft Purview. Это позволяет централизовать обнаружение данных и управление доступом, однако это функция, которая напрямую влияет на безопасность данных.

Предупреждение

Прежде чем включить управление использованием данных для любого из ваших ресурсов, ознакомьтесь со статьей Управление использованием данных.

В этой статье содержатся рекомендации по управлению использованием данных, которые помогут обеспечить безопасность вашей информации.

Чтобы зарегистрировать ресурс и включить управление использованием данных, выполните следующие действия.

Примечание.

Чтобы добавить управляемое удостоверение в ресурс Azure, необходимо быть владельцем подписки или группы ресурсов.

  1. В портал Azure найдите учетную запись хранения BLOB-объектов Azure, которую вы хотите зарегистрировать.

    Снимок экрана: учетная запись хранения

  2. Выберите контроль доступа (IAM) в области навигации слева, а затем выберите + Добавить -->Добавить назначение ролей.

    Снимок экрана: управление доступом для учетной записи хранения

  3. Задайте для параметра Роль значение Читатель данных BLOB-объектов хранилища и введите имя учетной записи Microsoft Purview в поле Выбор входных данных. Затем нажмите кнопку Сохранить , чтобы предоставить это назначение роли учетной записи Microsoft Purview.

    Снимок экрана: сведения о назначении разрешений для учетной записи Microsoft Purview

  4. Если в учетной записи хранения включен брандмауэр, выполните следующие действия.

    1. Перейдите в учетную запись хранения Azure в портал Azure.

    2. Перейдите в раздел Безопасность и сетевые > сети.

    3. Выберите Выбранные сети в разделе Разрешить доступ из.

    4. В разделе Исключения выберите Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения и нажмите кнопку Сохранить.

      Снимок экрана: исключения, позволяющие доверенным службам Майкрософт получить доступ к учетной записи хранения.

  5. Настроив проверку подлинности для учетной записи хранения, перейдите на портал управления Microsoft Purview.

  6. Выберите Карта данных в меню слева.

    Снимок экрана: меню слева на портале управления Microsoft Purview с выделенной картой данных.

  7. Нажмите Зарегистрировать.

    Снимок экрана: источники карты данных портала управления Microsoft Purview с выделенной кнопкой регистрации в верхней части экрана.

  8. В разделе Регистрация источников выберите Хранилище BLOB-объектов Azure.

    Снимок экрана: плитка для Azure Multiple на экране для регистрации нескольких источников.

  9. Нажмите Продолжить.

  10. На экране Регистрация источников (Azure) выполните следующие действия.

    1. В поле Имя введите понятное имя, которое источник данных будет указан в каталоге.

    2. В раскрывающемся списке Подписка выберите подписку, в которой размещена учетная запись хранения. Затем выберите учетную запись хранения в разделе Имя учетной записи хранения. В разделе Выберите коллекцию выберите коллекцию, в которой вы хотите зарегистрировать учетную запись хранения Azure.

      Снимок экрана: поля для выбора учетной записи хранения.

    3. В поле Выбор коллекции выберите коллекцию или создайте новую (необязательно).

    4. Установите переключатель Управление использованием данных в значение Включено, как показано на рисунке ниже.

      Снимок экрана, на котором показан переключатель

      Совет

      Если переключатель Управление использованием данных неактивен и не может быть выбран:

      1. Убедитесь, что вы выполнили все предварительные требования для включения управления использованием данных в ресурсах.
      2. Убедитесь, что выбрана учетная запись хранения для регистрации.
      3. Возможно, этот ресурс уже зарегистрирован в другой учетной записи Microsoft Purview. Наведите указатель мыши на нее, чтобы узнать имя учетной записи Microsoft Purview, которая зарегистрировала ресурс данных.first. В то время только одна учетная запись Microsoft Purview может зарегистрировать ресурс для управления использованием данных.

    5. Выберите Зарегистрировать , чтобы зарегистрировать группу ресурсов или подписку в Microsoft Purview с включенным управлением использованием данных.

Совет

Дополнительные сведения об управлении использованием данных, включая рекомендации или известные проблемы, см. в статье Управление использованием данных.

Создание политики владельца данных

  1. Войдите на портал управления Microsoft Purview.

  2. Перейдите к функции Политики данных с помощью левой боковой панели. Затем выберите Политики данных.

  3. Нажмите кнопку Создать политику на странице политики.

    Владелец данных может получить доступ к функциям политики в Microsoft Purview, когда он хочет создать политики.

  4. Откроется страница новой политики. Введите имя и описание политики.

  5. Чтобы добавить инструкции политики в новую политику, нажмите кнопку Создать инструкцию политики . Откроется построитель инструкций политики.

    Владелец данных может создать новую инструкцию политики.

  6. Нажмите кнопку Эффект и выберите Разрешить в раскрывающемся списке.

  7. Нажмите кнопку Действие и выберите Чтение или Изменить в раскрывающемся списке.

  8. Нажмите кнопку Ресурсы данных , чтобы открыть окно для ввода сведений о ресурсе данных, которое откроется справа.

  9. На панели Ресурсы данных выполните одно из двух действий в зависимости от степени детализации политики:

    • Чтобы создать широкую инструкцию политики, охватывающую весь источник данных, группу ресурсов или подписку, которая была ранее зарегистрирована, используйте поле Источники данных и выберите тип.
    • Чтобы создать детализированную политику, используйте вместо него поле Активы . Введите тип источника данных и имя ранее зарегистрированного и сканированного источника данных. См. пример на изображении.

    Снимок экрана: редактор политики с выбранным параметром

  10. Нажмите кнопку Продолжить и перейдите по иерархии, чтобы выбрать и базовый объект данных (например, папку, файл и т. д.). Выберите Рекурсивная , чтобы применить политику от этой точки иерархии к любым дочерним объектам данных. Затем нажмите кнопку Добавить . Вы вернеесь к редактору политик.

    Снимок экрана: меню

  11. Нажмите кнопку Темы и введите удостоверение субъекта в качестве участника, группы или MSI. Затем нажмите кнопку ОК . Вы вернеесь к редактору политик.

    Снимок экрана: меню

  12. Повторите шаги с 5 по 11, чтобы ввести дополнительные инструкции политики.

  13. Нажмите кнопку Сохранить , чтобы сохранить политику.

    Снимок экрана: пример политики владельца данных, предоставляющей доступ к учетной записи хранения Azure.

Публикация политики владельца данных

  1. Войдите на портал управления Microsoft Purview.

  2. Перейдите к функции Политики данных с помощью левой боковой панели. Затем выберите Политики данных.

    Снимок экрана: портал управления Microsoft Purview с открытым меню слева, выделенным элементом

  3. На портале политики будет представлен список существующих политик в Microsoft Purview. Найдите политику, которая должна быть опубликована. Нажмите кнопку Опубликовать в правом верхнем углу страницы.

    Снимок экрана: меню редактирования политики с выделенной кнопкой

  4. Отобразится список источников данных. Вы можете ввести имя для фильтрации списка. Затем выберите каждый источник данных, в котором будет опубликована эта политика, и нажмите кнопку Опубликовать .

    Снимок экрана: меню публикации политики с выбранным ресурсом данных и выделенной кнопкой публикации.

Важно!

  • Публикация — это фоновая операция. Для отражения изменений в учетных записях хранения может потребоваться до 2 часов .

Очистка ресурсов

Чтобы удалить политику в Microsoft Purview, выполните следующие действия.

  1. Войдите на портал управления Microsoft Purview.

  2. Перейдите к функции Политики данных с помощью левой боковой панели. Затем выберите Политики данных.

    Снимок экрана: открытое меню слева, выделено управление политиками и политики данных, выбранные на следующей странице.

  3. На портале политики будет представлен список существующих политик в Microsoft Purview. Выберите политику, которую необходимо обновить.

  4. Откроется страница сведений о политике, включая параметры "Изменить" и "Удалить". Нажмите кнопку Изменить , чтобы открыть построитель инструкций политики. Теперь можно обновить все части инструкций в этой политике. Чтобы удалить политику, используйте кнопку Удалить .

    Снимок экрана: открытая политика с выделенной кнопкой

Дальнейшие действия

Ознакомьтесь с нашими демонстрациями и связанными руководствами:

Демонстрация политики доступа для основных понятий службы хранилища Azureдля политик владельцев данных Microsoft PurviewВключение политик владельцев данных Microsoft Purview для всех источников данных в подписке или группе ресурсов