我可以使用 Microsoft Purview DevOps 原則來完成什麼作業?
本文說明如何使用 Microsoft Purview 治理入口網站來管理資料資產中資料來源的存取權。 其著重于 DevOps 原則的基本概念。 也就是說,它會提供 DevOps 原則的背景資訊,您應該先知道這些資訊,再遵循其他文章來取得設定步驟。
注意事項
此功能與 Microsoft Purview 治理入口網站中的內部存取控制不同。
存取系統中繼資料對 IT 和 DevOps 人員而言非常重要,以確保重要的資料庫系統狀況良好、符合預期且安全。 您可以透過 Microsoft Purview DevOps 原則,有效率且大規模地授與和撤銷該存取權。
在 Microsoft Purview 的根集合層級持有原則作者角色的任何使用者,都可以建立、更新和刪除 DevOps 原則。 儲存 DevOps 原則之後,系統會自動發佈這些原則。
存取原則與 DevOps 原則
Microsoft Purview 存取原則可讓客戶管理整個資料資產的資料系統存取權,全都來自雲端中的中央位置。 您可以將這些原則視為可透過 Microsoft Purview Studio 建立的存取權授與,以避免需要程式碼。 它們會規定是否應該允許或拒絕 Azure AD) 主體的 Azure Active Directory (清單,例如使用者和群組,或拒絕特定類型的資料來源或其中資產存取。 Microsoft Purview 會將這些原則傳達給原生強制執行的資料來源。
DevOps 原則是特殊類型的 Microsoft Purview 存取原則。 他們會授與資料庫系統中繼資料的存取權,而不是使用者資料。 它們可簡化 IT 作業和安全性稽核人員的存取布建。 DevOps 原則只會授與存取權。 它們不會拒絕存取。
DevOps 原則的元素
三個元素定義 DevOps 原則:
主旨
這是已授與存取權的 Azure AD 使用者、群組或服務主體清單。
資料資源
這是強制執行原則的範圍。 資料資源路徑是訂 > 用帳戶資源群組 > 資料來源的組合。
Microsoft Purview DevOps 原則目前支援 SQL 類型的資料來源。 您可以在個別資料來源以及整個資源群組和訂用帳戶上進行設定。 只有在開啟 [資料 使用管理 ] 選項的 Microsoft Purview 中註冊資料資源之後,才能建立 DevOps 原則。
角色
角色會對應至原則允許在資料資源上執行的一組動作。 DevOps 原則支援 SQL 效能監視器和 SQL 安全性稽核員角色。 這兩個角色都提供 SQL 系統中繼資料的存取權,更具體來說,也就是動態管理檢視 (DMV) 和動態管理功能, (DMFs) 。 但這些角色授與的 DMV 和 DMF 集不同。 我們 稍後會在本文中提供一些熱門的範例。
建立、列出、更新和刪除 Microsoft Purview DevOps 原則一文詳細說明每個資料來源類型的角色定義。 也就是說,它會提供 Microsoft Purview 中的角色與該資料來源類型中允許的動作的對應。 例如,SQL 效能監視器 和 SQL 安全性稽核員的角色定義包含資料來源端伺服器和資料庫層級的Connect動作。
基本上,DevOps 原則會將角色的相關許可權指派給主體,並在資料資源路徑的範圍內強制執行。
原則的階層式強制執行
資料資源的 DevOps 原則會在資料資源本身及其包含的所有子資源上強制執行。 例如,Azure 訂用帳戶上的 DevOps 原則會套用至所有資源群組、每個資源群組內所有已啟用原則的資料來源,以及每個資料來源內的所有資料庫。
示範概念和優點的範例案例
Bob 和 Alice 參與其公司的 DevOps 程式。 他們必須登入內部部署的數十個SQL Server實例,並Azure SQL邏輯伺服器來監視其效能,如此一來,重要的 DevOps 進程就不會中斷。 其經理Mateo 會將所有這些 SQL 資料來源放入資源群組 1。 接著,他建立 Azure AD 群組,並包含 Alice 和 Bob。 接下來,他使用下圖中的 Microsoft Purview DevOps 原則 (原則 1) ,將裝載邏輯伺服器的資源群組 1 存取權授與此 Azure AD 群組。
。
這些優點如下:
- Mateo 不需要在每部伺服器中建立本機登入。
- Microsoft Purview 的原則會藉由限制本機特殊許可權存取來改善安全性。 它們支援最低許可權原則。 在此案例中,Mateo 只會授與 Bob 和 Alice 執行監視系統健康情況和效能工作所需的最低存取權。
- 將新的伺服器新增至資源群組時,Mateo 不需要更新 Microsoft Purview 中的原則,即可在新伺服器上強制執行。
- 如果 Alice 或 Bob 離開組織,且作業已反向填入,則Mateo 只會更新 Azure AD 群組。 他不需要對伺服器或在 Microsoft Purview 中建立的原則進行任何變更。
- 在任何時間點,Mateo 或公司的稽核員都可以看到直接在 Microsoft Purview Studio 中授與的擁有權限。
| 原則 | 效益 |
|---|---|
| 簡化 | 角色定義 SQL 效能監視器和 SQL 安全性稽核員會擷取一般 IT 和 DevOps 人員執行其工作所需的許可權。 |
| 每個資料來源類型的許可權專業知識需求較少。 | |
| 減少投入量 | 圖形化介面可讓您快速地移動資料物件階層。 |
| Microsoft Purview 支援整個 Azure 資源群組和訂用帳戶的原則。 | |
| 加強安全性 | 存取權會集中授與,而且可以輕鬆地檢閱和撤銷。 |
| 特殊許可權帳戶不需要直接在資料來源設定存取權。 | |
| DevOps 原則透過資料資源範圍和角色定義支援最低許可權原則。 | |
DevOps 原則 API
許多複雜的客戶偏好透過腳本與 Microsoft Purview 互動,而不是透過 UI。 Microsoft Purview DevOps 原則現在支援 REST API,可提供完整的建立、讀取、更新和刪除 (CRUD) 功能。 這項功能包括清單、SQL 效能監視器的原則,以及 SQL 安全性稽核員的原則。 如需詳細資訊,請參閱 API 規格。
。
熱門 DMV 和 DMF 的對應
SQL 動態中繼資料包含超過 700 個 DMV 和 DMF 的清單。 下表說明一些最受歡迎的專案。 下表會將 DMV 和 DMF 對應至其在 Microsoft Purview DevOps 原則中的角色定義。 它也提供參考內容的連結。
| DevOps 角色 | 類別 | 範例 DMV 或 DMF |
|---|---|---|
| SQL 效能監視器 | 查詢系統參數以瞭解您的系統 | sys.configurations |
| sys.dm_os_sys_info | ||
| 識別效能瓶頸 | sys.dm_os_wait_stats | |
| 分析目前執行中的查詢 | sys.dm_exec_query_stats | |
| 分析封鎖問題 | sys.dm_tran_locks | |
| sys.dm_exec_requests | ||
| sys.dm_os_waiting_tasks | ||
| 分析記憶體使用量 | sys.dm_os_memory_clerks | |
| 分析檔案使用量和效能 | sys.master_files | |
| sys.dm_io_virtual_file_stats | ||
| 分析索引使用量和片段 | sys.indexes | |
| sys.dm_db_index_usage_stats | ||
| sys.dm_db_index_physical_stats | ||
| 管理作用中的使用者連線和內部工作 | sys.dm_exec_sessions | |
| 取得程式執行統計資料 | sys.dm_exec_procedure_stats | |
| 使用 查詢存放區 | sys.query_store_plan | |
| sys.query_store_query | ||
| sys.query_store_query_text | ||
| 取得尚不支援的 (錯誤記錄檔) | sys.sp_readerrorlog | |
| SQL 安全性稽核員 | 取得稽核詳細資料 | sys.dm_server_audit_status |
| SQL 效能監視器 和 SQL 安全性稽核員 | sys.dm_audit_actions | |
| sys.dm_audit_class_type_map | ||
如需當您透過 Microsoft Purview 角色授與他們存取權時,IT 支援人員可以執行哪些動作的詳細資訊,請參閱下列資源:
- SQL 效能監視器:使用 Microsoft Purview 來大規模存取Azure SQL和SQL Server
- SQL 安全性稽核員: 安全性相關的動態管理檢視和功能
後續步驟
若要開始使用 DevOps 原則,請參閱下列資源:
- 試用 Azure SQL 資料庫的 DevOps 原則:快速入門手冊。
- 請參閱 其他影片、部落格和文章。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應