使用 Microsoft Purview 資料擁有者原則布建整個資源群組或訂用帳戶的存取權 (預覽)

  • 發行項

重要事項

此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定包含適用于 Beta、預覽版或尚未正式上市之 Azure 功能的其他法律條款。

資料擁有者原則 是一種 Microsoft Purview 存取原則。 它們可讓您管理已在 Microsoft Purview 中註冊 資料使用管理 之來源中使用者資料的存取權。 這些原則可以直接在 Microsoft Purview 治理入口網站中撰寫,發佈之後,資料來源會強制執行這些原則。

在本指南中,我們將討論如何註冊整個資源群組或訂用帳戶,然後建立單一原則來管理該資源群組或訂用帳戶中 所有 資料來源的存取權。 該單一原則將涵蓋所有現有的資料來源,以及之後建立的任何資料來源。

必要條件

只有這些資料來源會針對資源群組或訂用帳戶上的存取原則啟用。 請 遵循下列 指南中資料來源 () 特有的必要條件一節:

(*) SQL 類型資料來源目前不支援 修改 動作。

Microsoft Purview 設定

在 Microsoft Purview 中註冊資料來源

您必須先在 Microsoft Purview Studio 中註冊該資料資源,才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後再次在 Microsoft Purview 中註冊。

設定許可權以啟用資料來源的資料使用管理

註冊資源之後,但在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理,您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:

  • 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :

    • IAM 擁有者
    • IAM 參與者和 IAM 使用者存取系統管理員

    若要 (RBAC) 許可權設定 Azure 角色型存取控制,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段,以新增角色指派。

    顯示新增角色指派之Azure 入口網站區段的螢幕擷取畫面。

    注意事項

    資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。

  • 如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南

    下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

    顯示在根集合層級指派資料來源系統管理員角色之選取專案的螢幕擷取畫面。

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:

  • 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
  • 原則 作者 角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合

注意事項

原則作者角色必須在根集合層級設定。

此外,若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組,您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。

設定發佈資料擁有者原則的 Microsoft Purview 許可權

如果您將 Microsoft Purview 原則 作者資料來源系統管理員 角色指派給組織中的不同人員,資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前, (資料來源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。

若要發佈資料擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合

注意事項

若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資料 使用管理的資源之後,任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。

註冊資料使用管理的訂用帳戶或資源群組

您必須先向 Microsoft Purview 註冊訂用帳戶或資源群組,才能建立存取原則。 若要註冊您的訂用帳戶或資源群組,請遵循本指南 的必要條件註冊 章節:

註冊資源之後,您必須啟用資料使用管理。 資料使用管理需要特定許可權,而且可能會影響資料的安全性,因為它會委派給特定的 Microsoft Purview 角色來管理資料來源的存取權。 請參閱本指南中與資料使用管理相關的安全做法如何啟用資料使用管理

最後,您的資源將會啟[資料使用管理]切換,如螢幕擷取畫面所示:

此螢幕擷取畫面顯示如何在資源編輯器中切換 [啟用] 索引標籤,以註冊原則的資源群組或訂用帳戶。

建立和發佈資料擁有者原則

執行資料擁有者原則撰寫教學課程的建立新原則發佈原則一節中的步驟。 結果會是類似影像中所示之範例的資料擁有者原則:提供安全性群組 sg-Finance修改 資源群組 finance-rg存取權的原則。 使用原則使用者體驗中的 [資料來源] 方塊。

此螢幕擷取畫面顯示提供資源群組存取權的範例資料擁有者原則。

重要事項

  • 發佈是背景作業。 例如,Azure 儲存體帳戶最多可能需要 2 小時 來反映變更。
  • 變更原則不需要新的發佈作業。 下一次提取時將會挑選變更。

解除發佈資料擁有者原則

請遵循此連結,以取得 在 Microsoft Purview 中解除發佈資料擁有者原則的步驟。

更新或刪除資料擁有者原則

請遵循此連結,以取得 在 Microsoft Purview 中更新或刪除資料擁有者原則的步驟。

其他資訊

  • 在訂用帳戶或資源群組層級建立原則,可讓主體存取 Azure 儲存體系統容器,例如 ,$logs。 如果這是非預期的,請先掃描資料來源,然後針對容器或子容器層級) 的每個 (建立更精細的原則。

限制

儲存體帳戶可以強制執行的 Microsoft Purview 原則限制是每個訂用帳戶 100 MB,這大約等於 5000 個原則。

後續步驟

請參閱部落格、示範和相關教學課程: