在 Microsoft Purview 中连接和管理专用 SQL 池
本文概述了如何 (以前的 SQL DW) 注册专用 SQL 池,以及如何在 Microsoft Purview 中对专用 SQL 池进行身份验证和交互。 有关 Microsoft Purview 的详细信息,请阅读 介绍性文章
注意
如果要在 Synapse 工作区中注册和扫描专用 SQL 数据库,则必须按照 此处的说明进行操作。
支持的功能
| 元数据提取 | 完整扫描 | 增量扫描 | 作用域扫描 | 分类 | 标记 | 访问策略 | 血统 | 数据共享 | 实时视图 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 | 是 | 否 | 有限* | 否 | 否 |
* 如果将数据集用作 数据工厂 或 Synapse 管道中的源/接收器,则支持沿袭。
扫描专用 SQL 池 (SQL DW) 源时,Microsoft Purview 支持提取技术元数据,包括:
- 服务器
- 专用 SQL 池
- Schemas
- 包含列的表
- 包含列的视图
设置扫描时,可以通过根据需要选择表和视图,在提供专用 SQL 池名称后进一步确定扫描范围。
已知限制
- Microsoft Purview 在“架构”选项卡中不支持超过 800 列,并且将显示“Additional-Columns-Truncated”。
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
有效的 Microsoft Purview 帐户。
你需要是数据源管理员和数据读取者,才能在 Microsoft Purview 治理门户中注册和管理源。 有关详细信息,请参阅 Microsoft Purview 权限页 。
注册
本部分介绍如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册专用 SQL 池。
用于注册的身份验证
有三种方法可以设置身份验证:
系统或用户分配的托管标识 (推荐)
-
注意
只有由预配过程创建的服务器级主体登录 () 或 master 数据库中数据库角色的成员
loginmanager才能创建新的登录名。 授予权限后大约需要 15 分钟,Microsoft Purview 帐户应具有适当的权限才能扫描资源 () 。
要注册的系统或用户分配的托管标识
可以使用 Microsoft Purview 系统分配的托管标识 (SAMI) ,也可以使用 用户分配的托管标识 (UAMI) 进行身份验证。 这两个选项都允许你将身份验证直接分配给 Microsoft Purview,就像对任何其他用户、组或服务主体一样。 创建帐户时会自动创建 Microsoft Purview SAMI。 UAMI 是一种可以独立创建的资源,若要创建一个,可以按照 用户分配的托管标识指南进行操作。 按照使用 Azure AD 应用程序创建 Azure AD 用户的先决条件和教程,使用托管标识对象名称在专用 SQL 池 中创建 Azure AD 用户。
用于创建用户和授予权限的示例 SQL 语法:
CREATE USER [PurviewManagedIdentity] FROM EXTERNAL PROVIDER
GO
EXEC sp_addrolemember 'db_datareader', [PurviewManagedIdentity]
GO
身份验证必须有权获取数据库、架构和表的元数据。 它还必须能够查询表以采样进行分类。 建议为标识分配 db_datareader 权限。
要注册的服务主体
若要对扫描使用服务主体身份验证,可以使用现有身份验证或创建新身份验证。
如果需要创建新的服务主体,请执行以下步骤:
- 导航到Azure 门户。
- 从左侧菜单中选择“ Azure Active Directory ”。
-
- 选择“应用注册”。
- 选择“ + 新建应用程序注册”。
- (服务主体名称) 输入 应用程序 的名称。
- 选择“ 仅此组织目录中的帐户”。
- 对于“重定向 URI”,选择“ Web ”并输入所需的任何 URL;它不必是真实的或工作。
- 然后选择“注册”。
需要获取服务主体的应用程序 ID 和机密:
- 导航到Azure 门户中的服务主体
- 复制“概述”中的“应用程序 (客户端) ID”和“证书&机密”中的“客户端机密”值。
- 导航到密钥保管库
- 选择“设置机密”>
- 选择“+ 生成/导入”,然后输入所选的名称和“值”作为服务主体中的客户端密码
- 选择“ 创建” 以完成
- 如果密钥保管库尚未连接到 Microsoft Purview,则需要 创建新的密钥保管库连接
- 最后,使用服务主体 创建新的凭据 来设置扫描。
授予服务主体访问权限
此外,还必须按照使用 Azure AD 应用程序创建 Azure AD 用户的先决条件和教程,在专用池 中创建 Azure AD 用户。 用于创建用户和授予权限的示例 SQL 语法:
CREATE USER [ServicePrincipalName] FROM EXTERNAL PROVIDER
GO
ALTER ROLE db_datareader ADD MEMBER [ServicePrincipalName]
GO
注意
Microsoft Purview 需要 应用程序 (客户端) ID 和 客户端密码 才能进行扫描。
用于注册的 SQL 身份验证
可以按照 CREATE LOGIN 中的说明为专用 SQL 池创建一个登录名, (以前是 SQL DW) (如果还没有)。
当选择的身份验证方法是 SQL 身份验证时,需要获取密码并将其存储在密钥保管库中:
- 获取 SQL 登录名的密码
- 导航到密钥保管库
- 选择“设置机密”>
- 选择“+ 生成/导入”,并输入“名称”和“值”作为 SQL 登录名的密码
- 选择“ 创建” 以完成
- 如果密钥保管库尚未连接到 Microsoft Purview,则需要 创建新的密钥保管库连接
- 最后,使用 密钥 创建新凭据 来设置扫描。
注册步骤
若要在 Microsoft Purview 中注册新的 SQL 专用池,请完成以下步骤:
通过以下方式打开 Microsoft Purview 治理门户:
- 直接浏览并选择 https://web.purview.azure.com Microsoft Purview 帐户。
- 打开Azure 门户,搜索并选择 Microsoft Purview 帐户。 选择 “Microsoft Purview 治理门户 ”按钮。
在左侧导航中选择“ 数据映射 ”。
选择 “注册”
在 “注册源”上,选择“ Azure 专用 SQL 池 (以前的 SQL DW) 。
选择“ 继续”
在 “注册源” 屏幕上,完成以下步骤:
- 输入数据源将在目录中列出的名称。
- 选择 Azure 订阅以筛选专用 SQL 池。
- 选择专用 SQL 池。
- 选择集合或 (可选) 创建新的集合。
- 选择“ 注册 ”以注册数据源。
扫描
按照以下步骤扫描专用 SQL 池,以自动识别资产并对数据进行分类。 有关一般扫描的详细信息,请参阅 扫描和引入简介
创建并运行扫描
若要创建并运行新的扫描,请完成以下步骤:
在 Microsoft Purview 治理门户的左窗格中选择“数据映射”选项卡。
选择已注册的 SQL 专用池源。
选择 “新建扫描”
选择要连接到数据源的凭据。
可以通过在列表中选择相应的项,将扫描范围限定为特定表。
然后选择扫描规则集。 可以在系统默认规则集和现有自定义规则集之间进行选择,也可以内联创建新的规则集。
选择扫描触发器。 可以设置计划或运行扫描一次。
查看扫描并选择“ 保存并运行”。
查看扫描和扫描运行
查看现有扫描:
- 转到 Microsoft Purview 治理门户。 在左窗格中,选择“ 数据映射”。
- 选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表,也可以在“扫描”选项卡上查看所有 扫描 。
- 选择要查看的结果的扫描。 窗格显示之前的所有扫描运行,以及每个扫描运行的状态和指标。
- 选择运行 ID 以检查扫描运行详细信息。
管理扫描
若要编辑、取消或删除扫描,请执行以下操作:
转到 Microsoft Purview 治理门户。 在左窗格中,选择“ 数据映射”。
选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表,也可以在“扫描”选项卡上查看所有 扫描 。
选择要管理的扫描。 然后,可以:
- 通过选择“编辑扫描 ”来编辑扫描。
- 选择“取消扫描运行”, 取消正在进行的扫描。
- 通过选择“删除扫描” 来删除扫描。
注意
- 删除扫描不会删除从以前的扫描创建的目录资产。
- 如果源表已更改,并且你在 Microsoft Purview 的“ 架构 ”选项卡上编辑说明后重新扫描源表,则资产将不再使用架构更改进行更新。
后续步骤
注册源后,请按照以下指南详细了解 Microsoft Purview 和数据。