在 Microsoft Purview 中连接和管理Azure SQL 托管实例
本文概述了如何注册和Azure SQL 托管实例,以及如何在 Microsoft Purview 中对Azure SQL 托管实例进行身份验证和交互。 有关 Microsoft Purview 的详细信息,请阅读 介绍性文章。
支持的功能
元数据提取 | 完整扫描 | 增量扫描 | 作用域扫描 | 分类 | 标记 | 访问策略 | 血统 | 数据共享 | 实时视图 |
---|---|---|---|---|---|---|---|---|---|
是 | 是 | 是 | 是 | 是 | 是 | 是 (预览版) | 有限** | 否 | 否 |
** 如果在数据工厂中将数据集用作源/接收器,则支持沿袭复制活动
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
有效的 Microsoft Purview 帐户。
你需要是数据源管理员和数据读取者,才能在 Microsoft Purview 治理门户中注册和管理源。 有关详细信息,请参阅 Microsoft Purview 权限页 。
-
注意
我们现在支持使用 Microsoft Purview 引入专用终结点和自承载集成运行时 VM 通过专用连接扫描Azure SQL托管实例。 有关先决条件的详细信息,请参阅 连接到 Microsoft Purview 并私下安全地扫描数据源
注册
本部分介绍如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册Azure SQL 托管实例。
用于注册的身份验证
如果需要创建新的身份验证,则需要授权数据库访问SQL 数据库 SQL 托管实例。 Microsoft Purview 目前支持三种身份验证方法:
要注册的系统或用户分配的托管标识
可以使用 Microsoft Purview 系统分配的托管标识 (SAMI) ,也可以使用 用户分配的托管标识 (UAMI) 进行身份验证。 这两个选项都允许你将身份验证直接分配给 Microsoft Purview,就像对任何其他用户、组或服务主体一样。 Microsoft Purview 系统分配的托管标识在创建帐户时自动创建,其名称与 Microsoft Purview 帐户相同。 用户分配的托管标识是可以独立创建的资源。 若要创建一个,可以按照 用户分配的托管标识指南进行操作。
可以通过执行以下步骤,在Azure 门户中找到托管标识对象 ID:
对于 Microsoft Purview 帐户的系统分配托管标识:
- 打开Azure 门户,并导航到 Microsoft Purview 帐户。
- 选择左侧菜单上的“ 属性 ”选项卡。
- 选择 “托管标识对象 ID ”值并将其复制。
对于用户分配的托管标识 (预览) :
- 打开Azure 门户,并导航到 Microsoft Purview 帐户。
- 选择左侧菜单上的“托管标识”选项卡
- 选择用户分配的托管标识,选择所需的标识以查看详细信息。
- 对象 (主体) ID 显示在概述基本部分。
任一托管标识都需要获取数据库、架构和表的元数据以及查询表进行分类的权限。
- 遵循创建映射到 Azure AD 标识的包含用户的先决条件和教程,在 Azure SQL 托管实例 中创建 Azure AD 用户
- 为标识分配
db_datareader
权限。
要注册的服务主体
可通过几个步骤允许 Microsoft Purview 使用服务主体扫描Azure SQL 托管实例。
创建或使用现有服务主体
若要使用服务主体,可以使用现有主体或创建新主体。 如果要使用现有服务主体,请跳到下一步。 如果必须创建新的服务主体,请执行以下步骤:
- 导航到Azure 门户。
- 从左侧菜单中选择“ Azure Active Directory ”。
- 选择“应用注册”。
- 选择“ + 新建应用程序注册”。
- (服务主体名称) 输入 应用程序 的名称。
- 选择“ 仅此组织目录中的帐户”。
- 对于“重定向 URI”,选择“ Web ”并输入所需的任何 URL;它不必是真实的或工作。
- 然后选择“注册”。
在数据库帐户中配置 Azure AD 身份验证
服务主体必须有权获取数据库、架构和表的元数据。 它还必须能够查询表以采样进行分类。
- 使用 Azure SQL 配置和管理 Azure AD 身份验证
- 遵循创建映射到 Azure AD 标识的包含用户的先决条件和教程,在 Azure SQL 托管实例 中创建 Azure AD 用户
- 为标识分配
db_datareader
权限。
将服务主体添加到密钥保管库和 Microsoft Purview 的凭据
需要获取服务主体的应用程序 ID 和机密:
- 导航到Azure 门户中的服务主体
- 复制“概述”中的“应用程序 (客户端) ID”和“证书&机密”中的“客户端机密”值。
- 导航到密钥保管库
- 选择“设置机密”>
- 选择“+ 生成/导入”,然后输入所选的名称和“值”作为服务主体中的客户端密码
- 选择“ 创建” 以完成
- 如果密钥保管库尚未连接到 Microsoft Purview,则需要 创建新的密钥保管库连接
- 最后,使用服务主体 创建新的凭据 来设置扫描。
用于注册的 SQL 身份验证
注意
只有由预配过程创建的服务器级主体登录 () 或 master 数据库中数据库角色的成员 loginmanager
才能创建新的登录名。 授予权限后大约需要 15 分钟 ,Microsoft Purview 帐户应具有适当的权限才能扫描资源 () 。
如果没有此登录名,可以按照 CREATE LOGIN 中的说明为Azure SQL 托管实例创建登录名。 后续步骤需要用户名和密码。
- 导航到Azure 门户中的密钥保管库
- 选择“设置机密”>
- 选择“+ 生成/导入”,然后输入“名称”和“值”作为Azure SQL 托管实例
- 选择“ 创建” 以完成
- 如果密钥保管库尚未连接到 Microsoft Purview,则需要 创建新的密钥保管库连接
- 最后,使用用户名和密码创建新凭据以设置扫描。
注册步骤
通过以下方式打开 Microsoft Purview 治理门户:
- 直接浏览并选择 https://web.purview.azure.com Microsoft Purview 帐户。
- 打开Azure 门户,搜索并选择 Microsoft Purview 帐户。 选择 “Microsoft Purview 治理门户 ”按钮。
导航到 数据映射。
选择 “注册”
选择“Azure SQL 托管实例”,然后选择“继续”。
选择“ 从 Azure 订阅”,从“ Azure 订阅 ”下拉框中选择相应的订阅,并从“ 服务器名称 ”下拉框中选择相应的服务器。
提供 公共终结点完全限定的域名 和 端口号。 然后选择“ 注册 ”以注册数据源。
例如:
foobar.public.123.database.windows.net,3342
扫描
按照以下步骤扫描Azure SQL 托管实例,以自动识别资产并对数据进行分类。 有关一般扫描的详细信息,请参阅 扫描和引入简介。
创建并运行扫描
若要创建并运行新的扫描,请完成以下步骤:
在 Microsoft Purview 治理门户的左窗格中选择“ 数据映射 ”选项卡。
选择已注册Azure SQL 托管实例源。
选择 “新建扫描”
选择要连接到数据源的凭据。
可以通过在列表中选择相应的项,将扫描范围限定为特定表。
然后选择扫描规则集。 可以在系统默认规则集和现有自定义规则集之间进行选择,也可以内联创建新的规则集。
选择扫描触发器。 可以设置计划或运行扫描一次。
查看扫描并选择“ 保存并运行”。
如果在连接到数据源或运行扫描时遇到问题,请参阅我们的 扫描和连接故障排除指南。
查看扫描和扫描运行
查看现有扫描:
- 转到 Microsoft Purview 治理门户。 在左窗格中,选择“ 数据映射”。
- 选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表,也可以在“扫描”选项卡上查看所有 扫描 。
- 选择要查看的结果的扫描。 窗格显示之前的所有扫描运行,以及每个扫描运行的状态和指标。
- 选择运行 ID 以检查扫描运行详细信息。
管理扫描
若要编辑、取消或删除扫描,请执行以下操作:
转到 Microsoft Purview 治理门户。 在左窗格中,选择“ 数据映射”。
选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表,也可以在“扫描”选项卡上查看所有 扫描 。
选择要管理的扫描。 然后,可以:
- 通过选择“编辑扫描 ”来编辑扫描。
- 选择“取消扫描运行”, 取消正在进行的扫描。
- 通过选择“删除扫描” 来删除扫描。
注意
- 删除扫描不会删除从以前的扫描创建的目录资产。
- 如果源表已更改,并且你在 Microsoft Purview 的“ 架构 ”选项卡上编辑说明后重新扫描源表,则资产将不再使用架构更改进行更新。
设置访问策略
此数据资源支持以下类型的 Microsoft Purview 策略:
Azure SQL MI 上的访问策略先决条件
- 为此功能创建新的Azure SQL MI 或在当前可用的某个区域中使用现有 MI。 可以按照本指南创建新的Azure SQL MI。
区域支持
支持所有 Microsoft Purview 区域 。
对于 Azure SQL MI,只能在以下区域中实施 Microsoft Purview 策略:
公有云:
- 美国东部
- 美国东部 2
- 美国中南部
- 美国中西部
- 美国西部 3
- 加拿大中部
- 巴西南部
- 西欧
- 北欧
- 法国中部
- 英国南部
- 南非北部
- 印度中部
- 东南亚
- 东亚
- 澳大利亚东部
Azure SQL MI 配置
本部分介绍如何设置 Azure SQL MI 以遵循来自 Microsoft Purview 的策略。 首先检查是否为公共终结点或专用终结点配置了 Azure SQL MI。 本指南介绍如何执行此操作。
SQL MI 公共终结点的配置
如果为公共终结点配置了 Azure SQL MI,请执行以下步骤
配置Microsoft Entra 管理员。在Azure 门户导航到Azure SQL MI,然后导航到侧边菜单上的Microsoft Entra (以前称为 Active Directory 管理员) 。 设置管理员名称,然后选择“保存”。 请参阅屏幕截图:
然后导航到侧边菜单上的“标识”。 在“系统分配的托管标识检查状态”下,选择“保存”。 请参阅屏幕截图:
SQL MI 专用终结点的配置
如果Azure SQL MI 配置为使用专用终结点,请执行公共终结点配置中概述的相同步骤,此外,执行以下操作:
导航到与Azure SQL MI 关联的网络安全组 (NSG) 。
添加类似于以下屏幕截图中的出站安全规则。 目标 = 服务标记,目标服务标记 = MicrosoftPurviewPolicyDistribution,服务 = HTTPS,Action = Allow。 此外,请确保此规则的优先级低于 deny_all_outbound 规则的优先级。
为策略配置 Microsoft Purview 帐户
在 Microsoft Purview 中注册数据源
在 Microsoft Purview 中为数据资源创建策略之前,必须在 Microsoft Purview Studio 中注册该数据资源。 本指南稍后会介绍与注册数据资源相关的说明。
注意
Microsoft Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要取消注册,然后在 Microsoft Purview 中再次注册。
配置权限以在数据源上启用数据使用管理
注册资源后,但在 Microsoft Purview 中为该资源创建策略之前,必须配置权限。 需要一组权限才能启用 数据使用管理。 这适用于数据源、资源组或订阅。 若要启用 数据使用管理,必须 对 资源具有特定的标识和访问管理 (IAM) 特权,以及特定的 Microsoft Purview 特权:
必须在资源的 Azure 资源管理器 路径上使用以下 IAM 角色组合之一,或者 (的任何父角色组合之一,即使用 IAM 权限继承) :
- IAM 所有者
- IAM 参与者和 IAM 用户访问管理员
若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照 本指南操作。 以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。
注意
数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。 检查哪些 Azure AD 用户、组和服务主体持有或正在继承资源的 IAM 所有者 角色。
如果启用继承) ,还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。 有关详细信息,请参阅 有关管理 Microsoft Purview 角色分配的指南。
以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。
配置 Microsoft Purview 权限以创建、更新或删除访问策略
若要创建、更新或删除策略,需要在 Microsoft Purview 中获取根集合级别的策略作者角色:
- 策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
- 策略作者角色可以删除自助服务访问策略。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
必须在根集合级别配置策略作者角色。
此外,若要在创建或更新策略的主题时轻松搜索 Azure AD 用户或组,可以从获取 Azure AD 中的 “目录读取者” 权限中获益匪浅。 这是 Azure 租户中的用户的常见权限。 如果没有目录读取者权限,策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。
配置 Microsoft Purview 权限以发布数据所有者策略
如果将 Microsoft Purview 策略作者 和 数据源管理员 角色分配给组织中的不同人员,则数据所有者策略允许进行检查和平衡。 在数据所有者策略生效之前, (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。 这不适用于 DevOps 或自助访问策略,因为创建或更新这些策略时,这些策略会自动发布。
若要发布数据所有者策略,需要获取 Microsoft Purview 中根集合级别的数据源管理员角色。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
若要发布数据所有者策略,必须在根集合级别配置数据源管理员角色。
将访问预配责任委托给 Microsoft Purview 中的角色
为资源启用 数据使用管理后,任何在根集合级别具有 策略作者 角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。
注意
任何 Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。 任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。 最小化并仔细审查拥有 Microsoft Purview 集合管理员、 数据源管理员或 策略作者 角色的用户。
如果删除了具有已发布策略的 Microsoft Purview 帐户,这些策略将在依赖于特定数据源的一段时间内停止强制实施。 此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除 Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。 还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。
在 Microsoft Purview 中注册数据源
必须先将Azure SQL 托管实例数据源注册到 Microsoft Purview,然后才能创建访问策略。 可以遵循本指南中的“先决条件”和“注册数据源”部分:
注册资源后,需要启用策略强制 (以前的数据使用管理) 。 策略强制实施需要某些权限,并且可能会影响数据的安全性,因为它向某些 Microsoft Purview 角色委派了管理数据源访问权限的能力。 在本指南:如何启用策略强制实施中浏览与策略实施相关的安全做法
数据源的 “策略强制 ”切换开关 “已启用”后,将如以下屏幕截图所示。 这将启用与给定数据源一起使用的访问策略
返回到 Azure SQL 数据库的Azure 门户,验证它现在由 Microsoft Purview 管理:
通过此链接登录到Azure 门户
选择要配置的Azure SQL服务器。
转到左窗格中的 “Azure Active Directory ”。
向下滚动到 Microsoft Purview 访问策略。
选择“ 检查 Microsoft Purview 治理”按钮。 等待处理请求。 可能需要几分钟才能完成。
确认 Microsoft Purview 治理状态显示
Governed
。 请注意,在 Microsoft Purview 中启用数据使用管理后,可能需要几分钟才能反映正确的状态。
注意
如果对此Azure SQL数据库数据源禁用数据使用管理,则 Microsoft Purview 治理状态可能需要长达 24 小时才能自动更新为 Not Governed
。 可以通过选择“ 检查 Microsoft Purview 治理”来加速此操作。 在另一个 Microsoft Purview 帐户中为数据源启用 数据使用管理 之前,请确保 Purview 治理状态显示为 Not Governed
。 然后使用新的 Microsoft Purview 帐户重复上述步骤。
创建策略
若要为 Azure SQL MI 创建访问策略,请按照以下指南操作:
- 若要在单个Azure SQL MI 上创建 DevOps 策略,请参阅在 Azure SQL MI 中预配对系统运行状况、性能和审核信息的访问权限。
- 若要创建涵盖资源组或 Azure 订阅内所有数据源的策略,请参阅 在 Microsoft Purview 中发现和管理多个 Azure 源。
后续步骤
注册源后,请按照以下指南详细了解 Microsoft Purview 和数据。