Vad kan jag åstadkomma med Microsoft Purview DevOps-principer?
Den här artikeln beskriver begrepp som rör hantering av åtkomst till datakällor i din dataegendom med hjälp av Microsoft Purview-styrningsportalen. I synnerhet fokuserar den på DevOps-principer.
Anteckning
Den här funktionen skiljer sig från den interna åtkomstkontrollen för Själva Microsoft Purview, som beskrivs i Åtkomstkontroll i Microsoft Purview.
Översikt
Åtkomst till systemmetadata är viktigt för IT-/DevOps-personal för att säkerställa att kritiska databassystem är felfria, uppfyller förväntningarna och är säkra. Den åtkomsten kan beviljas och återkallas effektivt och i stor skala via Microsoft Purview DevOps-principer.
Microsoft Purview-åtkomstprinciper jämfört med DevOps-principer
Microsoft Purview-åtkomstprinciper gör det möjligt för kunder att hantera åtkomst till olika datasystem i hela sin dataegendom, allt från en central plats i molnet. Du kan tänka på dessa principer som åtkomstbidrag som kan skapas via Microsoft Purview Studio och undvika behovet av kod. De avgör om en lista över Azure AD huvudkonton (användare, grupper osv.) ska tillåtas eller nekas en viss typ av åtkomst till en datakälla eller tillgång i den. Dessa principer förmedlas av Microsoft Purview till datakällorna, där de tillämpas internt.
DevOps-principer är en särskild typ av Microsoft Purview-åtkomstprinciper. De ger åtkomst till databassystemmetadata i stället för användardata. De förenklar åtkomstetablering för IT-drift och säkerhetsgranskningspersonal. DevOps-principer beviljar endast åtkomst, dvs. de nekar inte åtkomst.
Element i en DevOps-princip
En DevOps-princip definieras av tre element: Ämne, dataresurs och roll. I grund och botten tilldelar DevOps-principen rollens relaterade behörigheter till ämnet och framtvingas i omfånget för dataresursens sökväg.
Ämnet
Det här är en lista över Azure AD användare, grupper eller tjänstens huvudnamn som beviljas åtkomst.
Dataresursen
Det här är omfånget där principen tillämpas. Dataresurssökvägen är sammansättningen av prenumerationens > resursgruppsdatakälla > . Microsoft Purview DevOps-principer stöder för närvarande SQL-typdatakällor och kan konfigureras på enskilda datakällor, men även hela resursgrupper och prenumerationer. DevOps-principer kan bara skapas när dataresursen har registrerats i Microsoft Purview med alternativet Dataanvändningshantering aktiverat.
Rollen
Rollen mappar till en uppsättning åtgärder som principen tillåter för dataresursen. DevOps-principer stöder ett par roller: SQL Performance Monitor och SQL Security Audit. Båda dessa roller ger åtkomst till SQL:s systemmetadata och mer specifikt till dynamiska hanteringsvyer (DMF:er) och dynamiska hanteringsfunktioner (DMF:er). Men uppsättningen DMV:er/DMF:er som beviljas av dessa roller skiljer sig åt. Vi tillhandahåller några populära exempel i slutet av det här dokumentet. Dessutom beskriver DevOps-principerna instruktioner rolldefinitionen för varje typ av datakälla, dvs. mappningen mellan rollen i Microsoft Purview och de åtgärder som tillåts i den typen av datakälla. Rolldefinitionen för SQL Performance Monitor och SQL Security Audit innehåller till exempel Connect-åtgärder på server- och databasnivå på datakällsidan.
Hierarkisk tillämpning av principer
En DevOps-princip för en dataresurs tillämpas på själva dataresursen och alla underordnade som den innehåller. En DevOps-princip för en Azure-prenumeration gäller till exempel för alla resursgrupper, för alla principaktiverade datakällor i varje resursgrupp och för alla databaser som finns i varje datakälla.
Ett exempelscenario för att demonstrera konceptet och fördelarna
Bob och Alice är involverade i DevOps-processen på sitt företag. Med tanke på deras roll måste de logga in på dussintals SQL-servrar lokalt och Azure SQL logiska servrar för att övervaka deras prestanda så att kritiska DevOps-processer inte bryts. Deras chef Mateo placerar alla dessa SQL-datakällor i resursgrupp 1. Han skapar sedan en Azure AD grupp och inkluderar Alice och Bob. Därefter använder han Microsoft Purview DevOps-principer (princip 1 i diagrammet nedan) för att ge den här Azure AD gruppåtkomst till resursgrupp 1, som är värd för Azure SQL-servrarna.
.
Det här är fördelarna:
- Mateo behöver inte skapa lokala inloggningar på varje SQL-server.
- Principerna från Microsoft Purview förbättrar säkerheten genom att begränsa lokal privilegierad åtkomst. De stöder PoLP (Principle of Least Privilege). I scenariot ger Mateo bara den minsta åtkomst som krävs för att Bob och Alice ska kunna utföra uppgiften att övervaka systemets hälsa och prestanda.
- När nya SQL-servrar läggs till i resursgruppen behöver Mateo inte uppdatera principen i Microsoft Purview för att den ska tillämpas på de nya SQL-servrarna.
- Om Alice eller Bob lämnar sitt jobb och fylls i igen uppdaterar Mateo bara gruppen Azure AD, utan att behöva göra några ändringar i servrarna eller principerna som han skapade i Microsoft Purview.
- När som helst kan Mateo eller företagets revisor se alla behörigheter som beviljats direkt i Microsoft Purview Studio.
| Princip | Fördel |
|---|---|
| Förenkla | Rolldefinitionerna SQL Performance Monitor och SQL Security AuditorData samlar in de behörigheter som vanliga IT-/DevOps-personer behöver för att köra sitt jobb. |
| Minska behovet av behörighetsexpertis för varje typ av datakälla. | |
| Minska arbetet | Med det grafiska gränssnittet kan du snabbt navigera i dataobjekthierarkin. |
| Stöder principer för hela Azure-resursgrupper och prenumerationer. | |
| Öka säkerheten | Åtkomst beviljas centralt och kan enkelt granskas och återkallas. |
| Minskar behovet av privilegierade konton för att konfigurera åtkomst direkt till datakällan. | |
| Stöder principen om lägsta behörighet via dataresursomfång och rolldefinitionerna. | |
Api för DevOps-principer
Många avancerade kunder föredrar att interagera med Microsoft Purview via skript snarare än via användargränssnittet. Microsoft Purview DevOps-principer stöder nu ett REST API som erbjuder fullständig CRUD-funktion (lista, principer för SQL Performance Monitor, principer för SQL Security Audit). Se specifikationen här.
.
Mappning av populära DMV:er och DMF:er
DYNAMISKA SQL-metadata innehåller en lista över fler än 700 DMV:er/DMF:er. Vi listar här som en illustration av några av de mest populära, mappade till deras rolldefinition i Microsoft Purview DevOps-principer och tillhandahåller en URL-länk till dokumentet som beskriver dem.
| DevOps-roll | Kategori | Exempel på DMV/DMF |
|---|---|---|
| PRESTANDAövervakare för SQL | Fråga systemparametrar för att förstå systemet | sys.configurations |
| sys.dm_os_sys_info | ||
| Identifiera prestandaflaskhalsar | sys.dm_os_wait_stats | |
| Analysera frågor som körs för närvarande | sys.dm_exec_query_stats | |
| Analysera blockeringsproblem | sys.dm_tran_locks | |
| sys.dm_exec_requests | ||
| sys.dm_os_waiting_tasks | ||
| Analysera minnesanvändning | sys.dm_os_memory_clerks | |
| Analysera filanvändning och prestanda | sys.master_files | |
| sys.dm_io_virtual_file_stats | ||
| Analysera indexanvändning och fragmentering | sys.indexes | |
| sys.dm_db_index_usage_stats | ||
| sys.dm_db_index_physical_stats | ||
| Aktiva användaranslutningar och interna uppgifter | sys.dm_exec_sessions | |
| Procedurkörningsstatistik | sys.dm_exec_procedure_stats | |
| Använda Query Store | sys.query_store_plan | |
| sys.query_store_query | ||
| sys.query_store_query_text | ||
| SQL-säkerhetsrevisor | Returnerar granskningsinformation | sys.dm_server_audit_status |
| Både SQL-prestandaövervakaren och SQL-säkerhetsrevisorn | sys.dm_audit_actions | |
| sys.dm_audit_class_type_map | ||
I dessa dokument finns mer information om vad IT-supportpersonal kan göra när de beviljas åtkomst via dessa Purview-roller:
- SQL-prestandaövervakare: Använd Microsoft Purview för att ge skalbar åtkomst till prestandadata i Azure SQL och SQL Server
- SQL-säkerhetsrevisor: Säkerhetsrelaterade dynamiska hanteringsvyer och funktioner
Mer information
- DevOps-principer kan skapas, uppdateras och tas bort av alla användare som har rollen Principförfattare på rotsamlingsnivå i Microsoft Purview.
- När devops-principer har sparats publiceras de automatiskt.
Nästa steg
Om du vill komma igång med DevOps-principer kan du läsa följande bloggar, videor och guider:
- Prova DevOps-principer för Azure SQL Database: Snabbstartsguide
- Se andra videor, bloggar och dokument