使用 Microsoft Purview 資料擁有者原則布建 Azure 儲存體的讀取存取權 (預覽)

重要事項

此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定包含適用于 Beta、預覽版或尚未正式上市之 Azure 功能的其他法律條款。

資料擁有者原則 是一種 Microsoft Purview 存取原則。 它們可讓您管理已在 Microsoft Purview 中註冊 資料使用管理 之來源中使用者資料的存取權。 這些原則可以直接在 Microsoft Purview 治理入口網站中撰寫，發佈之後，資料來源會強制執行這些原則。

本指南涵蓋資料擁有者如何在 Microsoft Purview 管理中委派 Azure 儲存體資料集的存取權。 目前支援下列兩個 Azure 儲存體來源：

• Blob 儲存體
• Azure Data Lake Storage (ADLS) Gen2

必要條件

• 具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• 新的或現有的 Microsoft Purview 帳戶。 請遵循本快速入門手冊來建立一個。

區域支援

• 支援所有 Microsoft Purview 區域 。
• 支援下欄區域中的儲存體帳戶，而不需要額外的設定。 不過，不支援 ZRS) 帳戶 (區域備援儲存體。
  • 美國東部
  • 美國東部 2
  • 美國中南部
  • 美國西部 2
  • 加拿大中部
  • 北歐
  • 西歐
  • 法國中部
  • 英國南部
  • 東南亞
  • 澳大利亞東部
• 設定功能旗標 AllowPurviewPolicyEnforcement之後，支援公用雲端中其他區域中的儲存體帳戶，如下一節所述。 如果在設定功能旗標 AllowPurviewPolicyEnforcement之後建立，則支援新建立的 ZRS 儲存體帳戶。

如有需要，您可以 遵循本指南來建立新的儲存體帳戶。

針對來自 Microsoft Purview 的原則設定 Azure 儲存體帳戶所在的訂用帳戶

只有在某些區域中才需要此步驟， (請參閱前一節) 。 若要讓 Microsoft Purview 管理一或多個 Azure 儲存體帳戶的原則，請在您將部署 Azure 儲存體帳戶的訂用帳戶中執行下列 PowerShell 命令。 這些 PowerShell 命令可讓 Microsoft Purview 管理該訂用帳戶中所有 Azure 儲存體帳戶的原則。

如果您要在本機執行這些命令，請務必以系統管理員身分執行 PowerShell。 或者，您可以在下Azure 入口網站中使用Azure Cloud Shell： https://shell.azure.com 。

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

如果最後一個命令的輸出顯示 RegistrationState為 Registered，則您的訂用帳戶會啟用存取原則。 如果輸出正在 註冊，請等候至少 10 分鐘，然後重試命令。 除非 RegistrationState 顯示為 Registered，否則請勿繼續。

Microsoft Purview 設定

在 Microsoft Purview 中註冊資料來源

您必須先在 Microsoft Purview Studio 中註冊該資料資源，才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶，則必須取消註冊，然後再次在 Microsoft Purview 中註冊。

設定許可權以啟用資料來源的資料使用管理

註冊資源之後，但在 Microsoft Purview 中為該資源建立原則之前，您必須設定許可權。 需要一組許可權，才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理，您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權，以及特定的 Microsoft Purview 許可權：

• 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合，或 (任何父系，也就是使用 IAM 許可權繼承) ：

  • IAM 擁有者
  • IAM 參與者和 IAM 使用者存取系統管理員

  若要 (RBAC) 許可權設定 Azure 角色型存取控制，請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段，以新增角色指派。

  

  注意事項

  資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。

• 如果已啟用繼承) ，您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊，請參閱 管理 Microsoft Purview 角色指派的指南。

  下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

  

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則，您必須在根集合層級取得 Microsoft Purview 中的原則作者角色：

• 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
• 原則 作者 角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱在Microsoft Purview 資料對應中建立和管理集合。

注意事項

原則作者角色必須在根集合層級設定。

此外，若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組，您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權，原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。

設定發佈資料擁有者原則的 Microsoft Purview 許可權

如果您將 Microsoft Purview 原則 作者 和 資料來源系統管理員 角色指派給組織中的不同人員，資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前， (資料來源系統管理員) 必須檢閱該原則，並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則，因為建立或更新這些原則時，會自動發佈這些原則。

若要發佈資料擁有者原則，您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱在Microsoft Purview 資料對應中建立和管理集合。

注意事項

若要發佈資料擁有者原則，必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資料 使用管理的資源之後，任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員、 資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶，這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段，然後選取 [ 角色指派]，以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。

在 Microsoft Purview 中註冊資料來源以進行資料使用管理

Azure 儲存體資源必須先向 Microsoft Purview 註冊，以稍後定義存取原則。

若要註冊您的資源，請遵循下列指南 的必要條件 和 註冊 章節：

• 註冊和掃描 Azure 儲存體 Blob - Microsoft Purview

• 註冊及掃描 Azure Data Lake Storage (ADLS) Gen2 - Microsoft Purview

註冊資源之後，您必須啟用資料使用管理。 資料使用管理需要特定許可權，而且可能會影響資料的安全性，因為它會委派給特定的 Microsoft Purview 角色來管理資料來源的存取權。 請參閱本指南中與資料使用管理相關的安全做法： 如何啟用資料使用管理

一旦您的資料來源已啟用[資料使用管理] 切換，它看起來會像下列螢幕擷取畫面：

建立和發佈資料擁有者原則

執行資料擁有者原則撰寫教學課程的建立新原則和發佈原則一節中的步驟。 結果會是類似影像中所示之範例的資料擁有者原則：提供群組 Contoso Team讀取存儲 器帳戶 marketinglake1存取權的原則：

重要事項

• 發佈是背景作業。 Azure 儲存體帳戶最多可能需要 2 小時 的時間來反映變更。

解除發佈資料擁有者原則

請遵循此連結，以取得 在 Microsoft Purview 中解除發佈資料擁有者原則的步驟。

更新或刪除資料擁有者原則

請遵循此連結，以取得 在 Microsoft Purview 中更新或刪除資料擁有者原則的步驟。

資料耗用量

• 資料取用者可以使用 Power BI 或 Azure Synapse Analytics 工作區等工具來存取要求的資料集。
• 除了 Purview 中的 [允許修改] 原則之外，Azure 儲存體總管中的 [複製] 和 [複製] 命令還需要額外的 IAM 許可權才能運作。 將 IAM 中的 Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action 許可權提供給 Azure AD 主體。
• 子容器存取：支援在儲存體帳戶上設定低於容器層級的原則語句。 不過，如果只在 Azure 儲存體帳戶的檔案或資料夾層級授與存取權，使用者將無法使用Azure 入口網站的儲存體瀏覽器或Microsoft Azure 儲存體總管工具流覽至資料資產。 這是因為這些應用程式會嘗試從容器層級開始向下編目階層，而要求會失敗，因為該層級沒有授與存取權。 相反地，要求資料的應用程式必須藉由提供資料物件的完整名稱來執行直接存取。 下列檔示範如何執行直接存取的範例。 另請參閱本操作指南後續 步驟 一節中的部落格。
  • ADLS Gen2 的abfs
  • az storage Blob download for Blob Storage

其他資訊

• 在儲存體帳戶層級建立原則可讓主體存取系統容器，例如 $logs。 如果未預期，請先掃描資料來源 (的) ，然後針對容器或子容器層級) 的每個 (建立更精細的原則。
• 如果這類原則的範圍是訂用帳戶、資源群組、儲存體帳戶或儲存體帳戶中的容器，則 Microsoft Purview 允許類型 RBAC 原則中的 Azure AD 主體可以存取容器中的根 Blob。
• 如果這類原則的範圍是訂用帳戶、資源群組或儲存體帳戶，則 Microsoft Purview 允許類型 RBAC 原則中的 Azure AD 主體可以存取儲存體帳戶中的根容器。

限制

• 儲存體帳戶可以強制執行的 Microsoft Purview 原則限制是每個訂用帳戶 100 MB，這大約等於 5000 個原則。

已知問題

建立原則的相關已知問題

• 請勿根據 Microsoft Purview 資源集建立原則聲明。 即使顯示在 Microsoft Purview 原則撰寫 UI 中，它們仍不會強制執行。 深入瞭解 資源集。

原則動作對應

本節包含 Microsoft Purview 資料原則中的動作如何對應至 Azure 儲存體中特定動作的參考。

Microsoft Purview 原則動作	資料來源特定動作
Read	Microsoft.Storage/storageAccounts/blobServices/containers/read
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
修改	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
	Microsoft.Storage/storageAccounts/blobServices/containers/read
	Microsoft.Storage/storageAccounts/blobServices/containers/write
	Microsoft.Storage/storageAccounts/blobServices/containers/delete

後續步驟

請參閱部落格、示範和相關教學課程：

• Azure 儲存體的存取原則示範
• 檔： Microsoft Purview 資料擁有者原則的概念
• 檔： 布建訂用帳戶或資源群組中所有資料來源的存取權
• 部落格： Microsoft Ignite 2021 的 Microsoft Purview 新功能
• 部落格：授 與資料夾層級許可權時存取資料
• 部落格： 授與檔案層級許可權時存取資料
• 部落格： 透過 API 為使用者授與您企業中資料資產的存取權