Подготовка доступа к системным метаданным во всех группах ресурсов или подписках с помощью политик Microsoft Purview DevOps
Политики DevOps — это тип политик доступа Microsoft Purview. Они позволяют управлять доступом к системным метаданным в источниках данных, зарегистрированных для управления использованием данных в Microsoft Purview. Эти политики настраиваются непосредственно на портале управления Microsoft Purview, и после их сохранения они автоматически публикуются, а затем применяются источником данных. Политики Microsoft Purview управляют доступом только для Azure AD субъектов.
В этом руководстве описано, как зарегистрировать всю группу ресурсов или подписку, а затем создать единую политику, которая будет подготавливать доступ ко всем источникам данных в этой группе ресурсов или подписке. Эта единая политика будет охватывать все существующие источники данных и все источники данных, созданные после этого. и подготовки доступа к своим системным метаданным (динамическим административным административным представлениям и динамическим административным файлам) с помощью политик DevOps , выполняемых мониторингом производительности SQL или аудитом безопасности SQL.
Предварительные требования
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
Новая или существующая учетная запись Microsoft Purview. Следуйте инструкциям из этого краткого руководства, чтобы создать его.
Только эти источники данных включены для политик доступа в группе ресурсов или подписке. Следуйте инструкциям в разделе Предварительные требования , относящееся к источникам данных в следующих руководствах:
Конфигурация Microsoft Purview
Регистрация источника данных в Microsoft Purview
Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.
Примечание.
Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.
Настройка разрешений для включения управления использованием данных в источнике данных
После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения управления использованием данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить управление использованием данных, необходимо иметь определенные привилегии управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:
Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):
- Владелец IAM
- Участник IAM и администратор доступа пользователей IAM
Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.
Примечание.
Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Azure AD пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.
Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.
На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.
Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа
Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:
- Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
- Роль "Автор политики" может удалять политики самостоятельного доступа.
Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.
Примечание.
Роль автора политики должна быть настроена на уровне корневой коллекции.
Кроме того, для упрощения поиска Azure AD пользователей или групп при создании или обновлении темы политики вы можете получить разрешение "Читатели каталогов" в Azure AD. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.
Настройка разрешений Microsoft Purview для публикации политик владельца данных
Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.
Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.
Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.
Примечание.
Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.
Делегирование ответственности за подготовку доступа ролям в Microsoft Purview
После включения ресурса для управления использованием данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.
Примечание.
Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .
Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.
Регистрация подписки или группы ресурсов для управления использованием данных
Подписку или группу ресурсов необходимо зарегистрировать в Microsoft Purview, прежде чем вы сможете создавать политики доступа. Чтобы зарегистрировать подписку или группу ресурсов, следуйте инструкциям в разделах Предварительные требования и Регистрация этого руководства.
После регистрации ресурсов необходимо включить параметр Управление использованием данных. Управление использованием данных требует определенных разрешений и может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview для управления доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, связанными с управлением использованием данных, в этом руководстве: Включение управления использованием данных
В конечном итоге для ресурса будет включено переключатель Управление использованием данных, как показано на снимке экрана:
Создание политики DevOps
Перейдите по этой ссылке, чтобы создать новую политику DevOps в Microsoft Purview.
Вывод списка политик DevOps
Перейдите по этой ссылке, чтобы получить список политик DevOps в Microsoft Purview.
Обновление политики DevOps
Чтобы обновить политики DevOps в Microsoft Purview, перейдите по этой ссылке.
Удаление политики DevOps
Перейдите по этой ссылке, чтобы удалить политики DevOps в Microsoft Purview.
Тестирование политики DevOps
Узнайте, как протестировать созданную политику.
Сведения об определении роли
См. сопоставление роли DevOps с действиями источника данных.
Дальнейшие действия
Просмотр связанных видео, блогов и документов
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по