本文說明如何註冊 Azure Synapse Analytics 工作空間。 同時也說明如何在 Microsoft Purview 中驗證並互動 Azure Synapse Analytics 工作空間。 了解更多關於 Microsoft Purview 的資訊。
注意事項
有專用的 SQL 池 (前身是 SQL DW) ,以及 Azure Synapse 工作區裡的專用 SQL 池。 關於兩者的詳細差異,請參見《SQL DW) (專用 SQL 池與Azure Synapse工作區專用 SQL 池的差異》。 目前 Microsoft Purview 提供專用 SQL 池的獨立資料來源 (過去的 SQL DW) 和專用 SQL 池:
- 若要註冊並掃描專用 SQL 池 (前身為 SQL DW) ,請參閱 Microsoft Purview 中的「連接與管理專用 SQL 池」。
- 若要註冊並掃描一個專用 SQL 池 (前身為 SQL DW) ,該池啟用了Azure Synapse工作區功能,詳見「啟用專用 SQL 池的Azure Synapse工作區功能」 (前身為 SQL DW) ,請參閱 Microsoft Purview 中的「連接並管理 Azure Synapse Analytics 工作區」。
- 若要在 Azure Synapse 工作空間註冊並掃描專用 SQL 池或無伺服器 SQL 池,請參見「連接並管理 Microsoft Purview 中的 Azure Synapse Analytics workspaces」。
支援功能
掃描能力
| 元資料擷取 | 全掃描 | 增量掃描 | 瞄準鏡掃描 |
|---|---|---|---|
| 是 | 是 | 是 | 否 |
Azure Synapse Analytics 湖庫目前不支援。 你可能會發現這些資料庫掃描的資產存在一些不一致之處。
對於外部資料表,Azure Synapse Analytics 目前無法擷取這些資料表與原始檔案的關聯。
其他功能
關於 分類、 敏感性標籤、 政策、 資料血統及 即時檢視,請參閱 支援功能清單。
必要條件
一個有有效訂閱的 Azure 帳號。 免費註冊帳號。
一個活躍的 Microsoft Purview 帳號。
資料來源管理員及資料讀取權限,可在 Microsoft Purview 治理入口網站註冊並管理來源。 詳情請參閱 Microsoft Purview 治理入口網站的存取控制。
登錄
以下程序說明如何利用Microsoft Purview 治理入口網站Microsoft在 Purview 註冊 Azure Synapse Analytics 工作空間。
要註冊 Synapse Analytics 工作區,至少需要在 Synapse Analytics 工作區中擔任資料讀取者角色,並且在 Microsoft Purview 中擔任資料來源管理員。
打開 Microsoft Purview 治理入口網站 並選擇您的 Microsoft Purview 帳號。
或者,前往 Azure 入口網站,搜尋並選擇 Microsoft Purview 帳號,然後選擇 Microsoft Purview 治理入口網站按鈕。
在左側窗格,選擇 「來源」。
選取 [登錄]。
在「登錄來源」中,選擇Azure Synapse Analytics (多個) 。
選取 [繼續]。
在「註冊來源 (Azure Synapse 分析) 」頁面,請執行以下步驟:
關於名稱,請輸入 Microsoft Purview 整合式目錄中要列出的資料來源名稱。
Azure 訂閱可選擇一個訂閱來篩選。
在工作 區名稱中,選擇你正在使用的工作區。
SQL 端點的欄位會根據你工作區的選擇自動填入。
從列表中選擇一個收藏。
選擇 註冊 以完成資料來源的註冊。
掃描
請使用以下步驟掃描 Azure Synapse Analytics 工作區,自動識別資產並分類您的資料。 欲了解更多關於掃描的資訊,請參閱 Microsoft Purview 中的掃描與資料擷取。
- 設定認證以列舉 專用 或 無伺服器 資源。 透過設定驗證,Microsoft Purview 可以列舉您的工作空間資產並執行掃描。
- 套用 權限掃描工作區內容。
- 確認你的 網路是否已設定為允許存取 Microsoft Purview。
列舉認證
請使用以下程序來設定認證。 您必須是擁有者或使用者存取管理員才能新增指定的角色。
用於枚舉專用 SQL 資料庫資源的認證
- 喺 Azure 入口網站,去 Azure Synapse Analytics workspace 資源。
- 在左側窗格選擇 IAM 存取控制 () 。
- 選取 [新增] 按鈕。
- 設定 讀取 器角色,輸入你的 Microsoft Purview 帳號名稱,代表其管理服務身份 (MSI) 。
- 選擇 儲存 以完成角色指派。
如果您想掃描一個專用 SQL 池 (前身為 SQL DW) ,該池啟用了 Azure Synapse Analytics workspace 功能,詳見「啟用 Enabled Azure Synapse Workspace Features for a dedicated SQL pool (前身為 SQL DW) 」,請依照以下額外設定步驟來設定專用 SQL 池 (前身為 SQL DW) :
- 在Azure 入口網站中,前往與專用 SQL 池相關的SQL Server資源, (前身是 SQL DW) 。
- 在左側窗格選擇 IAM 存取控制 () 。
- 選取 [新增] 按鈕。
- 設定 讀取 器角色,輸入你的 Microsoft Purview 帳號名稱,代表其管理服務身份 (MSI) 。
- 選擇 儲存 以完成角色指派。
注意事項
如果你打算在 Microsoft Purview 帳戶中註冊並掃描多個 Azure Synapse Analytics 工作空間,也可以從更高層級(例如資源群組或訂閱)指派角色。
用於列舉無伺服器 SQL Database 資源的認證
在三個地方設置認證,讓 Microsoft Purview 能夠列舉你的無伺服器 SQL Database 資源。
要設定 Azure Synapse Analytics workspace 嘅認證:
- 喺 Azure 入口網站,去 Azure Synapse Analytics workspace 資源。
- 在左側窗格選擇 IAM 存取控制 () 。
- 選取 [新增] 按鈕。
- 設定 讀取 器角色並輸入你的 Microsoft Purview 帳號名稱,代表其 MSI。
- 選擇 儲存 以完成角色指派。
要設定儲存帳號的認證:
- 在 Azure 入口網站中,前往包含與 Azure Synapse Analytics 工作空間相關儲存帳號的資源群組或訂閱。
- 在左側窗格選擇 IAM 存取控制 () 。
- 選取 [新增] 按鈕。
- 設定 儲存區資料讀取 器角色,並在 選擇 框中輸入你的 Microsoft Purview 帳號名稱 (代表其 MSI) 。
- 選擇 儲存 以完成角色指派。
要設定 Azure Synapse Analytics serverless databases 嘅認證:
進入你的 Azure Synapse Analytics 工作空間,打開 Synapse Studio。
在左側窗格,選擇 「資料」。
選擇省略號 (......) 在你的資料庫旁邊,然後開始一個新的 SQL 腳本。
在你的 SQL 腳本中執行以下指令,加入 Microsoft Purview 帳戶 MSI (,該帳戶名稱在無伺服器 SQL 資料庫中) :
CREATE LOGIN [PurviewAccountName] FROM EXTERNAL PROVIDER;
套用權限掃描工作區內容
你必須在 Azure Synapse Analytics 工作區中註冊並掃描的每個 SQL Database 設定認證。 關於套用權限的步驟,請參考以下情境。
重要事項
以下針對無伺服器資料庫的步驟 不 適用於複製資料庫。 在 Azure Synapse Analytics 中,從 Spark 資料庫複製的無伺服器資料庫目前是唯讀的。 更多資訊請參閱「 複製資料庫不允許操作」。
專用 SQL 資料庫使用管理身份
重要事項
如果你使用 自架整合執行環境 來連接私有網路上的資源,受管理身份就無法運作。 你需要使用服務主體認證或 SQL 認證。
要執行以下程序中的指令,您必須是工作空間中的 Azure Synapse 管理員。 欲了解更多關於 Azure Synapse Analytics 權限的資訊,請參閱 Set Access Control for your Azure Synapse Analytics workspace。
前往你的 Azure Synapse Analytics 工作空間。
到 資料 區,然後找你專屬的 SQL 資料庫。
選擇資料庫名稱旁的省略號 (......) , 然後開始新的 SQL 腳本。
在你的 SQL 腳本中執行以下指令,加入 Microsoft Purview 帳戶 MSI (,該帳戶名稱) 與專用 SQL 資料庫中相同
db_datareader:CREATE USER [PurviewAccountName] FROM EXTERNAL PROVIDER GO EXEC sp_addrolemember 'db_datareader', [PurviewAccountName] GO在你的 SQL 腳本中執行以下指令來驗證該角色的加入:
SELECT p.name AS UserName, r.name AS RoleName FROM sys.database_principals p LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id WHERE p.authentication_type_desc = 'EXTERNAL' ORDER BY p.name;
對每個你想掃描的資料庫,都遵循相同的步驟。
使用管理身份來管理無伺服器的 SQL 資料庫
前往你的 Azure Synapse Analytics 工作空間。
到 資料 區,選擇其中一個 SQL 資料庫。
選擇資料庫名稱旁的省略號 (......) , 然後開始新的 SQL 腳本。
在你的 SQL 腳本中執行以下指令,加入 Microsoft Purview 帳號 MSI (,帳號名稱) 與
db_datareader無伺服器 SQL 資料庫相同:CREATE USER [PurviewAccountName] FOR LOGIN [PurviewAccountName]; ALTER ROLE db_datareader ADD MEMBER [PurviewAccountName];在你的 SQL 腳本中執行以下指令來驗證該角色的加入:
SELECT p.name AS UserName, r.name AS RoleName FROM sys.database_principals p LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id WHERE p.authentication_type_desc = 'EXTERNAL' ORDER BY p.name;
對每個你想掃描的資料庫,都遵循相同的步驟。
授權使用外部資料表的憑證
如果 Synapse Analytics 工作空間有任何外部資料表,你必須授權 Microsoft Purview 管理身份參考權限,存取該外部資料表的範圍憑證。 透過使用 References 權限,Microsoft Purview 可以從外部資料表讀取資料。
在你的 SQL 腳本中執行以下指令,取得資料庫範圍的憑證清單:
Select name, credential_identity from sys.database_scoped_credentials;要授權存取資料庫範圍的憑證,請執行以下指令。 請將資料庫範圍的憑證名稱替換
scoped_credential。GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[scoped_credential] TO [PurviewAccountName];要驗證權限指派,請在您的 SQL 腳本中執行以下指令:
SELECT dp.permission_name, dp.grantee_principal_id, p.name AS grantee_principal_name FROM sys.database_permissions AS dp JOIN sys.database_principals AS p ON dp.grantee_principal_id = p.principal_id JOIN sys.database_scoped_credentials AS c ON dp.major_id = c.credential_id;
Set firewall access for the Azure Synapse Analytics workspace
在 Azure 入口網站,前往 Azure Synapse Analytics workspace。
在左側窗格,選擇 「網路」。
對於允許 Azure 服務與資源存取此工作區,請選擇開啟。
選取 [儲存]。
如果您想掃描一個專用 SQL 池 (前身為 SQL DW) ,該池啟用了 Azure Synapse Analytics workspace 功能,詳見「啟用 Enabled Azure Synapse Workspace Features for a dedicated SQL pool (前身為 SQL DW) 」,請依照以下額外設定步驟來設定專用 SQL 池 (前身為 SQL DW) :
在Azure 入口網站中,前往與專用 SQL 池相關的SQL Server資源, (前身是 SQL DW) 。
在左側窗格,選擇 「網路」。
對於允許 Azure 服務與資源存取此伺服器,請選擇開啟。
選取 [儲存]。
重要事項
如果你無法在 Azure Synapse Analytics 工作空間啟用允許 Azure 服務與資源存取此工作區,當你在 Microsoft Purview 治理入口設定掃描時,會出現無伺服器資料庫列舉失敗。 在這種情況下,你可以選擇手動 輸入 選項來指定你想掃描的資料庫名稱,然後繼續或 使用 API 設定掃描。
建立並執行掃描
在 Microsoft Purview 治理入口網站左側窗格中,選擇 「資料映射」。
選擇你註冊的資料來源。
選擇 查看詳細資料,然後選擇 新掃描。 或者,你也可以選擇來源圖塊上的 掃描快速動作 圖示。
在 掃描 細節欄的 名稱 框中,輸入掃描名稱。
注意事項
關於整合執行時,如果你使用 受管理的 VNet 執行時,務必建立必要的受管理私有端點:
- 要掃描無伺服器池,請為你的 Synapse 工作空間建立一個受管理的 sqlOnDemand 子資源型別私有端點。
- 要掃描專用池,請為你的 Synapse 工作空間建立一個 SQL 子資源類型的管理私有端點。
- 如果你同時掃描無伺服器和專用池,必須同時建立兩個受管理的私有端點,並在向導中選擇其中一個。
在 憑證 下拉選單中,選擇連結你資料來源內資源的憑證。
關於 資料庫選擇方法,請選擇 「從 Synapse 工作區」 或 手動輸入。 預設情況下,Microsoft Purview 會嘗試在工作空間下枚舉資料庫,你可以選擇想要掃描的資料庫。
如果出現錯誤說 Microsoft Purview 未能載入無伺服器資料庫,你可以 手動選擇 Enter 來指定資料庫類型 (專用或無伺服器) 及對應的資料庫名稱。
選擇 測試連線 以驗證設定。 如果出現錯誤,請在報告頁面將滑鼠移到連線狀態上查看詳細資料。
選取 [繼續]。
Select Scan rules sets of type Azure Synapse SQL. 你也可以在內聯建立掃描規則集。
選擇你的掃描觸發器。 你可以設定排程或只執行一次掃描。
檢查掃描結果,然後選擇 儲存 完成設定。
查看您的掃描與掃描跑數
查看現有掃描檔:
- 前往 Microsoft Purview 入口網站。 在左側窗格選擇 「資料地圖」。
- 選擇資料來源。 你可以在 「最近掃描」頁面查看該資料來源上現有的掃描清單,或在 「掃描」 標籤中查看所有掃描。
- 選擇你想查看的掃描結果。 面板會顯示所有之前的掃描紀錄,以及每次掃描的狀態和指標。
- 選擇跑道 ID 來檢查 掃描跑的細節。
管理你的掃描
要編輯、取消或刪除掃描件:
前往 Microsoft Purview 入口網站。 在左側窗格,選擇 資料映射。
選擇資料來源。 你可以在 「最近掃描」頁面查看該資料來源上現有的掃描清單,或在 「掃描」 標籤中查看所有掃描。
選擇你想管理的掃描。 然後您可以:
- 請選擇 「編輯掃描」來編輯掃描。
- 選擇 取消掃描執行,請取消進行中的掃描。
- 選擇 刪除掃描後刪除掃描。
注意事項
- 刪除掃描檔不會刪除之前掃描產生的目錄資產。
透過 API 設定掃描
這裡有一個使用 Microsoft Purview REST API 建立無伺服器資料庫掃描的範例。 把牙套裡的佔位符替換成 ({}) 的設定。 欲了解更多,請參閱 掃描件 - 建立或更新。
PUT https://{purview_account_name}.purview.azure.com/scan/datasources/<data_source_name>/scans/{scan_name}?api-version=2022-02-01-preview
以下程式碼中, collection_id 這不是該集合的友善名稱。 這是一個五字元的ID。 對於根集合, 是 collection_id 集合的名稱。 對於所有子收藏,ID 就是你可以在以下其中一個地方找到:
Microsoft Purview 治理入口網站的網址。 選擇該集合,並查看網址,找出標示 collection=。 那是你的身分證。 以下範例中, 投資 集合的 ID 為 50h55c。
你可以列出根集合的 子集合名稱 來列出集合,然後用名稱取代友誼名稱。
{
"properties":{
"resourceTypes":{
"AzureSynapseServerlessSql":{
"scanRulesetName":"AzureSynapseSQL",
"scanRulesetType":"System",
"resourceNameFilter":{
"resources":[ "{serverless_database_name_1}", "{serverless_database_name_2}", ...]
}
}
},
"credential":{
"referenceName":"{credential_name}",
"credentialType":"SqlAuth | ServicePrincipal | ManagedIdentity (if UAMI authentication)"
},
"collection":{
"referenceName":"{collection_id}",
"type":"CollectionReference"
},
"connectedVia":{
"referenceName":"{integration_runtime_name}",
"integrationRuntimeType":"SelfHosted (if self-hosted IR) | Managed (if VNet IR)"
}
},
"kind":"AzureSynapseWorkspaceCredential | AzureSynapseWorkspaceMsi (if system-assigned managed identity authentication)"
}
要排程掃描,請在掃描建立後建立觸發器。 欲了解更多資訊,請參閱 「觸發點-建立觸發點」。
疑難排解
如果你在掃描時遇到問題:
- 確認你已遵守所有 先決條件。
- 確認你已為資源設置列 舉認證 。
- 確認你已經設定了 驗證。
- 確認 防火牆設定後檢查網路。
- 請查看掃描故障排除文件。
後續步驟
註冊來源後,請參考以下指南,進一步了解 Microsoft Purview 及您的資料: