在 Azure 中布建雲端規模分析的安全性
本文說明貴組織如何透過 Azure 中的資料存取和權利管理來實作安全性布建。
管理資料存取
組織可以使用 驗證 和 授權 來控制其案例服務的存取權。 我們的最佳做法一節提供設定每個特定服務安全性的指引。 例如,Azure Data Lake 最佳做法一節說明 Azure Data Lake 儲存體 中的存取控制和資料湖組態。
在先前的文章中,我們已說明如何讓建立資料產品的資料應用程式上線。 我們的重點是盡可能多地使用自動化。
在 Azure 平臺中,有兩種方式可讓您存取資料產品:
- 使用 Azure Purview (資料原則)
- 使用自訂資料市集,透過 Microsoft Entra 權利管理授與存取權
Azure Purview 方法會在資料擁有者針對 Azure 儲存體 布建資料集中 說明。 請注意,資料擁有者也可以定義資源群組和訂用帳戶 的 原則。
本文說明如何使用 Microsoft Entra 權利管理搭配自訂資料市集來授與資料產品的存取權。
注意
每個企業都必須針對每個資料產品詳細定義其資料控管程式。 例如,具有 公用 分類或內部使用的資料可能只 受到資源保護,但任何 機密 或 更新版本都會使用 Azure 中雲端規模分析資料隱私權中所述 的選項來保護。 若要深入瞭解分類類型,請參閱 管理新式企業 中 Azure 資料的需求。
管理 Microsoft Entra 權利
權利管理是一種身分識別治理 (部分機器翻譯) 功能,可讓組織透過將存取要求工作流程、存取指派、檢閱和到期自動化,以大規模管理身分識別與存取生命週期。 如需權利管理及其值的回顧,請參閱 什麼是 Microsoft Entra 權利管理? 影片。
本文假設您已熟悉 Microsoft Entra ID 權利管理 ,或您至少已研究過 Microsoft 檔,並瞭解下列術語。
| 詞彙 | 描述 |
|---|---|
| 存取套件 | 小組或專案需要的資源組合,由原則控管。 存取套件一律必須包含在目錄中。 針對使用者要求存取權的案例,建立新的存取套件。 |
| 存取要求 | 在存取套件中存取資源的要求。 存取要求通常會經過核准工作流程。 如果已核准,要求者會收到存取套件指派。 |
| 指派 | 將存取套件指派給使用者。 使用者會提供存取套件的所有資源角色。 存取套件指派通常會設定為在特定時間之後過期。 |
| 目錄 | 相關資源和存取套件的容器。 目錄用於委派,允許非系統管理員建立自己的存取套件。 目錄擁有者可以將自己擁有的資源新增至目錄。 |
| 目錄建立者 | 已獲授權建立新目錄的使用者。 當已獲授權而成為目錄建立者的非系統管理員使用者建立新的目錄時,就會自動成為該目錄的擁有者。 |
| 連線組織 | 您與外部 Microsoft Entra 目錄或網域有關聯性。 您可以將來自已連線組織的使用者指定為允許要求存取權。 |
| 原則 | 定義資料存取生命週期的一組規則。 規則可以包括使用者如何取得存取權、誰可以核准使用者,以及使用者透過指派存取的時間長度。 原則會連結至存取套件。 存取套件可以有多個原則。 例如,套件具有一個原則供要求存取的員工,以及要求存取的外部使用者的第二個原則。 |
重要
Microsoft Entra 租使用者目前可以使用 500 個存取套件布建 500 個目錄。 如果您的組織需要增加這些容量,請連絡 Azure 支援 。
資料存取管理工作流程
您的組織可以使用自訂應用程式搭配 Microsoft Entra 權利管理,將存取權委派給網域資料管理人和首席資料官。 此委派會釋出資料應用程式小組來支援自己,而不需要延遲您的平臺小組。 您可以設定多個層級的核准,並透過 Microsoft Graph REST API 和權利管理 REST API 將端對端上線和資料 存取管理自動化。
Microsoft Entra 權利管理套件可讓您將存取權委派給非系統管理員(例如您的資料應用程式小組),讓他們可以建立存取套件。 存取套件包含使用者可以要求的資源,例如存取資料產品。 您的資料管家和其他委派存取套件管理員可以定義原則,其中包含使用者可以要求存取的規則、誰可以核准其存取權,以及其核准的存取到期時間。
建立目錄
如果您要實作 Data Lakehouse,請在每個資料登陸區域的權利管理中建立目錄。 視自動化和實作的大小而定,您可以:
- 呼叫權利管理 REST API 來建立網域的目錄。
- 透過權利管理入口網站,為每個資料登陸區域建立另一個目錄。
如果您要實作資料網格,請在每個網域的權利管理中建立目錄。 視自動化和實作的大小而定,您可以:
- 呼叫權利管理 REST API 來建立網域的目錄。
- 透過權利管理入口網站為每個網域建立另一個目錄。
提示
每個目錄都可以有自己的群組許可權,以便建立套件及管理許可權。
資料產品建立
資料產品會在 Azure 中的雲端規模分析資料產品中 討論。 針對自訂應用程式,資料上線牽涉到預期會布建端對端安全性。
資料上執行緒序需要金鑰中繼資料,包括:
- Polyglot 儲存位置 (計算或資料湖)
- 核准者(例如資料主管或網域的首席資料官)
- 生命週期需求
- 檢閱需求
- 網域
- 資料產品名稱
- 分類
圖 1:資料存取管理資料產品建立
圖 1 說明資料應用程式小組如何自動布建位於 Data Lake 中的資料產品的安全性布建。 資料產品上線之後,要求會傳送至 Microsoft Graph REST API:
透過 Azure Active Directory 圖形 API 建立兩個安全性群組,一個允許讀取/寫入存取,另一個只允許讀取存取。
- 針對 Data Lake 中的 Microsoft Entra 傳遞驗證,建議使用下列 Microsoft Entra 群組命名慣例:
- 功能變數名稱或資料登陸區功能變數名稱稱
- 資料產品名稱
- 資料湖層:
RAW表示未經處理ENR用於擴充CUR適用于策展
- 資料產品名稱
RW用於讀寫R為唯讀
- 下列 Microsoft Entra 群組命名慣例建議用於資料表存取控制:
- 功能變數名稱或資料登陸區功能變數名稱稱
- 資料產品名稱
- 架構或資料表馴服
RW用於讀寫R為唯讀
- 針對 Data Lake 中的 Microsoft Entra 傳遞驗證,建議使用下列 Microsoft Entra 群組命名慣例:
將安全性群組指派給資料產品。 針對 Data Lake,這牽涉到在資料產品資料夾層級和正確的湖層套用您的兩個安全性群組(原始、擴充或策劃)。
建立一個存取套件,將安全性群組與必要的核准者和生命週期一起組合在一起(存取權檢閱和到期日)。
提示
在複雜的案例中,您可以建立許可權集合安全性群組來擷取多個安全性群組,但在您已建立資料產品安全性群組之後,這會是手動工作。
要求資料產品存取
您可以使用自訂應用程式和 權利管理 REST API ,自動授與資料產品存取權。
圖 2:要求存取資料產品。
圖 2 提供資料產品存取要求工作流程的概觀。
使用者存取要求
- 資料使用者流覽資料市集,以探索他們想要存取的產品。
- 資料市集會與 權利管理 REST API 介面,並要求存取使用者的資料產品。
- 根據原則和帳戶,核准者會收到通知,並在其存取管理入口網站中檢閱存取要求。 如果已核准要求,則會通知使用者並取得資料集的存取權。
- 如果您的組織想要根據中繼資料授與使用者許可權(例如使用者的部門、標題或位置),您可以在 Microsoft Entra ID 中新增 動態群組作為核准的群組。
使用者要求狀態
資料市集中包含的其他服務可以檢查資料產品存取要求的目前狀態。 這些服務可以與 權利管理 REST API 介面介面,列出使用者或服務主體名稱的所有未處理要求。
資料存取管理摘要
Azure 中的資料存取管理分為下列層級:
- 實體層 (例如儲存資料集的 polyglot)
- Microsoft Entra 安全性群組
- 存取套件
- 存取資料集的使用者和小組
上圖提供一個範例資料網格實作,其中已為每個網域建立一個目錄。 資料產品小組會將新的資料集或產品上線至資料欄。 Microsoft Entra 群組會建立並指派給資料集。 您可以使用 Microsoft Entra 傳遞驗證或資料表存取控制,使用 Azure Databricks、Azure Synapse Analytics 或其他分析 Polyglot 存放區來授與存取權。
Microsoft Entra 權利管理會在網域存取套件目錄中建立存取套件。 存取套件可以包含多個 Microsoft Entra 群組。 套件 Finance Analysis 提供財務和 LOB A 的存取權,而 Finance Writers 套件則提供架構 F 和 LOB A 的存取權。只授與資料集建立者的寫入權限。 否則,唯讀存取權應該是您的預設值。
重要
上圖說明如何新增 Microsoft Entra 使用者群組。 您可以使用相同的程式來新增 Azure 服務主體,這些主體是由整合或資料產品小組用於擷取管線等等。 您應該設定兩個生命週期設定:一個供使用者要求短期存取 (30 天),另一個用於要求較長存取權 (90 天)。
下一步
- 在 Azure 中組織資料作業小組成員以進行雲端規模分析
- 部署 Microsoft Entra 權利管理 (影片)
- 如需如何管理權利的詳細資訊,請探索 Microsoft Entra 權利管理 中的常見案例。