Azure SQL資料庫 (預覽) 的自助式原則
重要事項
此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定包含適用于 Beta、預覽版或尚未正式上市之 Azure 功能的其他法律條款。
自助原則 可讓您管理從 Microsoft Purview 到已註冊資料 使用管理之資料來源的存取權。
本操作指南說明如何在 Microsoft Purview 中建立自助原則,以啟用Azure SQL資料庫的存取權。 目前已啟用下列動作: 讀取資料表和 讀取檢視。
注意
擁有權鏈結必須存在,選取才能在Azure SQL資料庫檢視上運作。
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
新的或現有的 Microsoft Purview 帳戶。 請遵循本快速入門手冊來建立一個。
- 在這項功能的其中一個目前可用區域中,建立新的Azure SQL資料庫實例,或使用現有的實例。 您可以遵循本指南來建立Azure SQL資料庫實例。
區域支援
支援所有 Microsoft Purview 區域 。
Microsoft Purview 原則的強制執行僅適用于Azure SQL資料庫的下欄區域:
公用雲端:
- 美國東部
- 美國東部 2
- 美國中南部
- 美國中西部
- 美國西部3
- 加拿大中部
- 巴西南部
- 西歐
- 北歐
- 法國中部
- 英國南部
- 南非北部
- 印度中部
- 東南亞
- 東亞
- 澳大利亞東部
主權雲端:
- USGov 維吉尼亞州
- 中國北部 3
針對來自 Microsoft Purview 的原則設定Azure SQL資料庫實例
若要讓與 Azure SQL Database 相關聯的邏輯伺服器接受來自 Microsoft Purview 的原則,您必須設定 Azure Active Directory 系統管理員。在Azure 入口網站中,移至裝載 Azure SQL Database 實例的邏輯伺服器。 在側邊功能表上,選取 [Azure Active Directory]。 將系統管理員名稱設定為您偏好的任何 Azure Active Directory 使用者或群組,然後選取 [ 儲存]。
然後,在側邊功能表上,選取 [ 身分識別]。 在 [系統指派的受控識別] 下,將狀態開 啟,然後選取 [ 儲存]。
Microsoft Purview 設定
在 Microsoft Purview 中註冊資料來源
您必須先在 Microsoft Purview Studio 中註冊該資料資源,才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後再次在 Microsoft Purview 中註冊。
設定許可權以啟用資料來源的資料使用管理
註冊資源之後,但在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理,您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型存取控制,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段,以新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則 作者 角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組,您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。
設定發佈資料擁有者原則的 Microsoft Purview 許可權
如果您將 Microsoft Purview 原則 作者 和 資料來源系統管理員 角色指派給組織中的不同人員,資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前, (資料來源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資料 使用管理的資源之後,任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員、 資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊資料來源
Azure SQL資料庫資源必須先向 Microsoft Purview 註冊,以稍後定義存取原則。 您可以遵循下列指南:
註冊資源之後,您必須啟用資料使用管理。 資料使用管理可能會影響資料的安全性,因為它會委派給特定 Microsoft Purview 角色來管理資料來源的存取權。 請流覽本指南中與資料使用管理相關的安全做法:
一旦您的資料來源有 [ 資料使用管理 ] 切換開關 [已啟用],它看起來會像這張圖片。 這可讓存取原則與指定的 SQL 伺服器及其所有自主資料庫搭配使用。
建立自助式資料存取要求
若要尋找資料資產,請使用 Microsoft Purview 的 搜尋 或 流覽 功能。
選取資產以移至資產詳細資料。
選 取 [要求存取]。
![資料資產 [概觀] 頁面的螢幕擷取畫面,其中中間頁面功能表中反白顯示 [要求] 按鈕。](media/how-to-self-service-request-access/request-access.png)
注意事項
如果無法使用此選項,則自助 式存取工作流程 可能尚未建立,或尚未指派給註冊資源的集合。 如需詳細資訊,請連絡集合的集合管理員、資料來源管理員或工作流程管理員。 或者,如需如何建立自助式存取工作流程的資訊,請參閱我們的 自助式存取工作流程檔。
[ 要求存取] 視窗隨即開啟。 您可以提供要求資料存取的原因批註。
選 取 [傳送 ] 以觸發自助式資料存取工作流程。
注意事項
如果您想要代表另一位使用者要求存取權,請選取 [ 要求其他人 ] 核取方塊,然後填入該使用者的電子郵件識別碼。
![資料資產概觀頁面的螢幕擷取畫面,其中已重迭 [要求存取] 視窗。[傳送] 按鈕會在 [要求存取] 視窗底部反白顯示。](media/how-to-self-service-request-access/send.png)
注意事項
資源集的要求存取權實際上會將資料夾的資料存取要求提交一個層級,其中包含所有這些資源集檔案。
資料擁有者將會收到您的要求通知,並核准或拒絕要求。
重要事項
- 發佈是背景作業。 最多可能需要 5 分鐘 的時間,變更才會反映在此資料來源中。
- 變更原則不需要新的發佈作業。 下一次提取時將會挑選變更。
檢視自助原則
若要檢視您已建立的原則,請遵循本文來 檢視自助原則。
測試原則
建立自助原則的 Azure Active Directory 帳戶、群組、MSI 或 SPN 現在應該能夠連線到伺服器上的資料庫,並針對要求的資料表或檢視執行選取查詢。
強制原則下載
您可以執行下列命令,強制立即將最新發佈的原則下載到目前的 SQL 資料庫。 執行命令所需的最小許可權是 ##MS_ServerStateManager#-server 角色中的成員資格。
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
分析從 SQL 下載的原則狀態
下列 DMV 可用來分析哪些原則已下載,且目前已指派給 Azure AD 帳戶。 執行它們所需的最低許可權是 VIEW DATABASE SECURITY STATE - 或指派的動作群組 SQL 安全性稽核員。
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
其他資訊
原則動作對應
本節包含 Microsoft Purview 資料原則中的動作如何對應至 Azure SQL Database 中特定動作的參考。
| Microsoft Purview 原則動作 | 資料來源特定動作 |
|---|---|
| Read | Microsoft.Sql/sqlservers/Connect |
| Microsoft.Sql/sqlservers/databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
後續步驟
查看部落格、示範和相關的操作指南