使用 Microsoft Purview 資料擁有者原則布建已啟用 Azure Arc SQL Server 2022 的讀取存取權 (預覽)
重要事項
此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定包含適用于 Beta、預覽版或尚未正式上市之 Azure 功能的其他法律條款。
資料擁有者原則 是一種 Microsoft Purview 存取原則。 它們可讓您管理已在 Microsoft Purview 中註冊 資料使用管理 之來源中使用者資料的存取權。 這些原則可以直接在 Microsoft Purview 治理入口網站中撰寫,發佈之後,資料來源會強制執行這些原則。
本指南涵蓋資料擁有者如何在 Microsoft Purview 中委派撰寫原則,以啟用對已啟用 Azure Arc 之SQL Server的存取權。 目前已啟用下列動作: 讀取。 此動作僅支援伺服器層級的原則。 此時不支援修改。
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
新的或現有的 Microsoft Purview 帳戶。 請遵循本快速入門手冊來建立一個。
- 取得SQL Server內部部署版本 2022並加以安裝。 Windows 和 Linux 都支援 2022 版或更新版本。 您可以試用免費的 Developer Edition。
- 設定您的許可權,然後在您將用來將SQL Server實例上線至 Azure Arc 的訂用帳戶中註冊資源提供者清單。
- 完成必要條件,並使用Azure Arc 將SQL Server實例上線。Windows SQL Server的簡單設定在這裡。 以下是 Linux SQL Server的替代組態。
- 在SQL Server 中啟用 Azure Active Directory 驗證。 如需更簡單的設定,請完成本文所述的必要條件和程式。
- 請記得 授與應用程式許可權並授與管理員同意
- 您需要為SQL Server實例設定 Azure AD 系統管理員,但不需要設定其他 Azure AD 登入或使用者。 您將使用 Microsoft Purview 原則來授與這些使用者的存取權。
區域支援
原則強制執行適用于所有 Microsoft Purview 區域,但下列專案除外:
- 美國西部 2
- 東亞
- US Gov 維吉尼亞州
- 中國北部 3
已啟用 Azure Arc 的SQL Server的安全性考慮
- 伺服器管理員可以關閉 Microsoft Purview 原則強制執行。
- Azure Arc 系統管理員和伺服器管理員許可權可讓您變更伺服器的 Azure Resource Manager路徑。 因為 Microsoft Purview 中的對應使用Resource Manager路徑,所以可能會導致錯誤的原則強制執行。
- SQL Server系統管理員 (資料庫系統管理員) 可以取得伺服器管理員的功能,而且可以竄改來自 Microsoft Purview 的快取原則。
- 建議的設定是為每個 SQL Server 實例建立個別的應用程式註冊。 此設定可防止第二個SQL Server實例讀取適用于第一個SQL Server實例的原則,以防第二個SQL Server實例中的 rogue 系統管理員竄改Resource Manager路徑。
確認必要條件
透過此連結登入Azure 入口網站
流覽至左窗格上的 SQL Server 。 您會在 Azure Arc 上看到SQL Server實例的清單。
選取您要設定的SQL Server實例。
移至左窗格中的 [Azure Active Directory ]。
確定已使用系統管理員登入設定 Azure Active Directory 驗證。 如果沒有,請參閱本指南中的存取原則必要條件一節。
請確定已提供憑證給 ,以便SQL Server向 Azure 進行驗證。 如果沒有,請參閱本指南中的存取原則必要條件一節。
請確定已輸入應用程式註冊,以建立SQL Server與 Azure AD 之間的信任關係。 如果沒有,請參閱本指南中的存取原則必要條件一節。
如果您進行任何變更,請選取 [ 儲存 ] 按鈕以儲存組態,並等候作業順利完成。 這可能需要幾分鐘的時間。 「已 成功儲存」 訊息會以綠色背景顯示在頁面頂端。 您可能需要向上捲動才能看到它。
Microsoft Purview 設定
在 Microsoft Purview 中註冊資料來源
您必須先在 Microsoft Purview Studio 中註冊該資料資源,才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後再次在 Microsoft Purview 中註冊。
設定許可權以啟用資料來源的資料使用管理
註冊資源之後,但在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理,您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型存取控制,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段,以新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則 作者 角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組,您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。
設定發佈資料擁有者原則的 Microsoft Purview 許可權
如果您將 Microsoft Purview 原則 作者 和 資料來源系統管理員 角色指派給組織中的不同人員,資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前, (資料來源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資料 使用管理的資源之後,任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員、 資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊資料來源
向 Microsoft Purview 註冊每個資料來源,以稍後定義存取原則。
登入 Microsoft Purview Studio。
流覽至左窗格上的 [資料對應 ] 功能,選取 [ 來源],然後選取 [ 註冊]。 在搜尋方塊中輸入 「Azure Arc」,然後在Azure Arc 上選取 [SQL Server]。然後選取 [繼續]。
輸入此註冊的 [名稱 ]。 最佳做法是讓註冊的名稱與下一個步驟中的伺服器名稱相同。
選取 Azure 訂用帳戶、 伺服器名稱 和 伺服器端點。
選取要 放入此註冊的集合。
啟用資料使用管理。 資料使用管理需要特定許可權,而且可能會影響資料的安全性,因為它會委派給特定的 Microsoft Purview 角色來管理資料來源的存取權。 請參閱本指南中與資料使用管理相關的安全做法: 如何啟用資料使用管理
選取底部的 [註冊 ] 或 [ 套 用]。
一旦您的資料來源已啟用[資料使用管理] 切換,它看起來會像這張圖片。
在已啟用 Azure Arc 的 SQL Server 中啟用原則
本節說明在 Azure Arc 上設定SQL Server以使用 Microsoft Purview 的步驟。 在 Microsoft Purview 帳戶中啟用此資料來源的資料 使用管理 選項之後,請執行下列步驟。
透過此連結登入Azure 入口網站
流覽至左窗格上的 SQL Server 。 您會在 Azure Arc 上看到SQL Server實例的清單。
選取您要設定的SQL Server實例。
移至左窗格中的 [Azure Active Directory ]。
向下捲動至 Microsoft Purview 存取原則。
選取 [ 檢查 Microsoft Purview 控管]按鈕。 處理要求時等候。 發生這種情況時,此訊息會顯示在頁面頂端。 您可能需要向上捲動才能看到它。
在頁面底部,確認 [Microsoft Purview 治理狀態] 顯示
Governed
。 請注意, 最多可能需要 30 分鐘 的時間,才會反映正確的狀態。 繼續執行瀏覽器重新整理,直到發生這種情況為止。確認 Microsoft Purview 端點指向您註冊此資料來源並啟用資料使用管理的 Microsoft Purview 帳戶
建立和發佈資料擁有者原則
執行資料擁有者原則撰寫教學課程的建立新原則和發佈原則一節中的步驟。 結果會是類似範例的資料擁有者原則:
範例:讀取原則。 此原則會將 Azure AD 主體 'sg-Finance' 指派給 SQL Server DESKTOP-xxx範圍內的SQL 資料讀取器動作。 此原則也已發佈至該伺服器。 請注意,下列伺服器層級不支援與此動作相關的原則。
注意事項
- 假設此資料來源目前無法使用掃描,資料讀取器原則只能在伺服器層級建立。 撰寫原則中的資料資源部分時,請使用 [資料來源] 方塊,而不是 [資產] 方塊。
- SQL Server Management Studio有已知問題,無法以滑鼠右鍵按一下資料表,並選擇 [選取前 1000 個數據列] 選項。
重要事項
- 發佈是背景作業。 最多可能需要 5 分鐘 的時間,變更才會反映在此資料來源中。
- 變更原則不需要新的發佈作業。 下一次提取時將會挑選變更。
解除發佈資料擁有者原則
請遵循此連結,以取得 在 Microsoft Purview 中解除發佈資料擁有者原則的步驟。
更新或刪除資料擁有者原則
請遵循此連結,以取得 在 Microsoft Purview 中更新或刪除資料擁有者原則的步驟。
測試原則
發佈原則並已與資料來源通訊之後,Subject 中的任何 Azure AD 使用者都應該能夠連線並執行以原則授與存取權之資產為目標的查詢。 若要測試,請使用 SSMS 或任何 SQL 用戶端,並嘗試查詢。 例如,嘗試存取您已提供讀取權限的 SQL 資料表。
如果您需要額外的疑難排解,請參閱本指南中的 後續步驟 一節。
角色定義詳細資料
本節包含相關 Microsoft Purview 資料原則角色如何對應至 SQL 資料來源中特定動作的參考。
Microsoft Purview 原則角色定義 | 資料來源特定動作 |
---|---|
Read | Microsoft.Sql/sqlservers/Connect |
Microsoft.Sql/sqlservers/databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
後續步驟
查看部落格、示範和相關的操作指南
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: