教程：数据所有者访问 Azure 存储数据集 (预览)

项目
08/23/2023

重要

此功能目前处于预览阶段。 Microsoft Azure 预览版补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Purview 中的策略允许你访问已注册到集合的数据源。本教程介绍数据所有者如何使用 Microsoft Purview 通过 Microsoft Purview 访问 Azure 存储中的数据集。

在本教程中，你将了解如何：

准备 Azure 环境
配置权限以允许 Microsoft Purview 连接到资源
为数据使用管理注册 Azure 存储资源
为资源组或订阅创建和发布策略

先决条件

具有活动订阅的 Azure 帐户。免费创建帐户。
新的或现有的 Microsoft Purview 帐户。按照本快速入门指南创建一个。

区域支持

支持所有 Microsoft Purview 区域。
支持以下区域中的存储帐户，无需进行其他配置。但是，不支持区域冗余存储 (ZRS) 帐户。
- 美国东部
- 美国东部 2
- 美国中南部
- 美国西部 2
- 加拿大中部
- 北欧
- 西欧
- 法国中部
- 英国南部
- 东南亚
- 澳大利亚东部
设置 功能标志 AllowPurviewPolicyEnforcement 后，支持公有云中其他区域中的存储帐户，如下一部分所述。如果在设置 功能标志 AllowPurviewPolicyEnforcement 后创建，则支持新创建的 ZRS 存储帐户。

如果需要，可以按照本指南操作创建新的存储帐户。

为 Microsoft Purview 中的策略配置 Azure 存储帐户所在的订阅

仅在某些区域需要此步骤， (请参阅上一部分) 。若要使 Microsoft Purview 能够管理一个或多个 Azure 存储帐户的策略，请在要在其中部署 Azure 存储帐户的订阅中执行以下 PowerShell 命令。这些 PowerShell 命令将使 Microsoft Purview 能够管理该订阅中所有 Azure 存储帐户的策略。

如果要在本地执行这些命令，请确保以管理员身份运行 PowerShell。或者，可以在 Azure 门户中使用 Azure Cloud Shell：https://shell.azure.com。

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

如果最后一个命令的输出将 RegistrationState 显示为 Registered，则你的订阅将启用访问策略。如果输出为 Registering，请等待至少 10 分钟，然后重试该命令。 除非 RegistrationState 显示为 Registered，否则请勿继续。

配置

在 Microsoft Purview 中注册数据源

在 Microsoft Purview 中为数据资源创建策略之前，必须在 Microsoft Purview Studio 中注册该数据资源。本指南稍后会介绍与注册数据资源相关的说明。

注意

Microsoft Purview 策略依赖于数据资源 ARM 路径。如果数据资源移动到新的资源组或订阅，则需要取消注册，然后在 Microsoft Purview 中再次注册。

配置权限以在数据源上启用数据使用管理

注册资源后，但在 Microsoft Purview 中为该资源创建策略之前，必须配置权限。需要一组权限才能启用 数据使用管理。这适用于数据源、资源组或订阅。若要启用 数据使用管理，必须对资源具有特定的标识和访问管理 (IAM) 特权，以及特定的 Microsoft Purview 特权：

必须在资源的 Azure 资源管理器路径上使用以下 IAM 角色组合之一，或者 (的任何父角色组合之一，即使用 IAM 权限继承) ：
- IAM 所有者
- IAM 参与者和 IAM 用户访问管理员
若要配置 Azure 基于角色的访问控制 (RBAC) 权限，请按照本指南操作。以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。

注意

数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。检查哪些 Azure AD 用户、组和服务主体持有或正在继承资源的 IAM 所有者 角色。
如果启用继承) ，还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。有关详细信息，请参阅有关管理 Microsoft Purview 角色分配的指南。

以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。

配置 Microsoft Purview 权限以创建、更新或删除访问策略

若要创建、更新或删除策略，需要在 Microsoft Purview 中获取根集合级别的策略作者角色：

策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
策略作者角色可以删除自助服务访问策略。

有关管理 Microsoft Purview 角色分配的详细信息，请参阅在Microsoft Purview 数据映射中创建和管理集合。

注意

必须在根集合级别配置策略作者角色。

此外，若要在创建或更新策略的主题时轻松搜索 Azure AD 用户或组，可以从获取 Azure AD 中的 “目录读取者” 权限中获益匪浅。这是 Azure 租户中的用户的常见权限。如果没有目录读取者权限，策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。

配置 Microsoft Purview 权限以发布数据所有者策略

如果将 Microsoft Purview 策略作者 和 数据源管理员 角色分配给组织中的不同人员，则数据所有者策略允许进行检查和平衡。在数据所有者策略生效之前， (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。这不适用于 DevOps 或自助访问策略，因为创建或更新这些策略时，这些策略会自动发布。

若要发布数据所有者策略，需要获取 Microsoft Purview 中根集合级别的数据源管理员角色。

有关管理 Microsoft Purview 角色分配的详细信息，请参阅在Microsoft Purview 数据映射中创建和管理集合。

注意

若要发布数据所有者策略，必须在根集合级别配置数据源管理员角色。

将访问预配责任委托给 Microsoft Purview 中的角色

为资源启用 数据使用管理后，任何在根集合级别具有 策略作者 角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。

注意

任何 Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。最小化并仔细审查拥有 Microsoft Purview 集合管理员、 数据源管理员或 策略作者 角色的用户。

如果删除了具有已发布策略的 Microsoft Purview 帐户，这些策略将在依赖于特定数据源的一段时间内停止强制实施。此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除 Microsoft Purview 帐户。可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。

在 Microsoft Purview for Data Use Management 中注册数据源

需要在 Microsoft Purview 中注册 Azure 存储帐户，以便稍后定义访问策略，并在注册期间启用数据使用管理。 数据使用管理 是 Microsoft Purview 中的一项可用功能，允许用户从 Microsoft Purview 中管理对资源的访问。这允许你集中数据发现和访问管理，但它是直接影响数据安全性的功能。

警告

在为任何资源启用数据使用管理之前，请阅读我们的 数据使用管理一文。

本文包含数据使用管理最佳做法，可帮助你确保信息安全。

若要注册资源并启用数据使用管理，请执行以下步骤：

注意

需要是订阅或资源组的所有者，才能在 Azure 资源上添加托管标识。

从Azure 门户中，找到要注册的 Azure Blob 存储帐户。
在左侧导航栏中选择“访问控制 (IAM) ”，然后选择“+ 添加”->“添加角色分配”。
将“角色”设置为“存储 Blob 数据读取者”，并在“选择输入”框下输入 Microsoft Purview 帐户名称。然后，选择“ 保存 ”，将此角色分配给 Microsoft Purview 帐户。
如果在存储帐户上启用了防火墙，则也按照以下步骤操作：
1. 转到 Azure 门户中的 Azure 存储帐户。
2. 导航到 “安全性 + 网络 > 网络”。
3. 在“允许从其访问”下选择“所选网络”。
4. 在 “例外 ”部分中，选择“ 允许受信任的 Microsoft 服务访问此存储帐户 ”，然后选择“ 保存”。
为存储帐户设置身份验证后，请转到 Microsoft Purview 治理门户。
在左侧菜单中选择“ 数据映射 ”。
选择“注册”。
在“注册源”上，选择“Azure Blob 存储”。
选择继续。
在 “ (Azure) 注册源 ”屏幕上，执行以下操作：
1. 在“ 名称 ”框中，输入数据源将在目录中列出的友好名称。
2. 在 “订阅 ”下拉列表框中，选择存储帐户所在的订阅。然后在“存储帐户名称”下选择 存储帐户。在 “选择集合” 中，选择要在其中注册 Azure 存储帐户的集合。
3. 在 “选择集合 ”框中，选择一个集合或创建一个新集合， (可选) 。
4. 将 “数据使用管理 ”切换开关设置为 “已启用”，如下图所示。
  提示
  
  如果“数据使用管理”开关灰显且无法选择：
  1. 确认已遵循所有先决条件，以跨资源启用数据使用管理。
  2. 确认已选择要注册的存储帐户。
  3. 可能是此资源已在另一个 Microsoft Purview 帐户中注册。将鼠标悬停在它上可知道已注册数据资源.first 的 Microsoft Purview 帐户的名称。每次只能有一个 Microsoft Purview 帐户为数据使用管理注册资源。
5. 选择“ 注册 ”，在启用了数据使用管理的 Microsoft Purview 中注册资源组或订阅。

提示

有关数据使用管理的详细信息，包括最佳做法或已知问题，请参阅数据使用管理一文。

创建数据所有者策略

登录到 Microsoft Purview 治理门户。
使用左侧面板导航到 “数据策略 ”功能。然后选择“ 数据策略”。
在策略页中选择 “新建 策略”按钮。
将显示“新策略”页。输入策略名称和说明。
若要将策略语句添加到新策略，请选择“ 新建策略语句 ”按钮。这将打开策略语句生成器。
选择“ 效果 ”按钮，然后从下拉列表中选择“ 允许 ”。
选择“ 操作” 按钮，然后从下拉列表中选择“ 读取 ”或“ 修改 ”。
选择“ 数据资源 ”按钮，打开窗口以输入数据资源信息，该信息将在右侧打开。
在 “数据资源 面板”下，根据策略的粒度执行以下两项操作之一：
- 若要创建涵盖以前注册的整个数据源、资源组或订阅的广泛策略语句，请使用“ 数据源 ”框并选择其 “类型”。
- 若要创建细化策略，请改用 “资产 ”框。输入 数据源类型 以及以前注册和扫描的数据源 的名称 。请参阅图像中的示例。
选择“ 继续 ”按钮并遍历层次结构以选择和基础数据对象 (例如：文件夹、文件等 ) 。选择“ 递归 ”，将层次结构中该点的策略应用到任何子数据对象。然后选择“ 添加 ”按钮。这会将你带回策略编辑器。
选择“ 主题 ”按钮，然后输入主体、组或 MSI 作为主体、组或 MSI 的主题标识。然后选择“ 确定” 按钮。这会将你带回策略编辑器
重复步骤 5 到 #11 以输入更多策略语句。
选择“ 保存 ”按钮以保存策略。

发布数据所有者策略

登录到 Microsoft Purview 治理门户。
使用左侧面板导航到 “数据策略 ”功能。然后选择“ 数据策略”。
策略门户将显示 Microsoft Purview 中现有策略的列表。找到需要发布的策略。选择页面右上角的 “发布 ”按钮。
将显示数据源列表。可以输入名称来筛选列表。然后，选择要在其中发布此策略的每个数据源，然后选择“ 发布 ”按钮。

重要

发布是一项后台操作。更改最多可能需要 2 小时 才能反映在存储帐户 () 中。

清理资源

若要删除 Microsoft Purview 中的策略，请执行以下步骤：

登录到 Microsoft Purview 治理门户。
使用左侧面板导航到 “数据策略 ”功能。然后选择“ 数据策略”。
策略门户将显示 Microsoft Purview 中现有策略的列表。选择需要更新的策略。
将显示策略详细信息页，包括“编辑”和“删除”选项。选择“ 编辑 ”按钮，这会打开策略语句生成器。现在，可以更新此策略中语句的任何部分。若要删除策略，请使用 “删除” 按钮。