共用方式為

教學課程:資料擁有者對 Azure 儲存體資料集的存取布建 (預覽)

  • 發行項

重要事項

此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定包含適用于 Beta、預覽版或尚未正式上市之 Azure 功能的其他法律條款。

Microsoft Purview中的原則可讓您存取已註冊至集合的資料來源。 本教學課程說明資料擁有者如何使用 Microsoft Purview,透過 Microsoft Purview 存取 Azure 儲存體中的資料集。

在本教學課程中,您將瞭解如何:

  • 準備您的 Azure 環境
  • 設定許可權以允許 Microsoft Purview 連線到您的資源
  • 註冊您的 Azure 儲存體資源以進行資料使用管理
  • 建立和發佈資源群組或訂用帳戶的原則

必要條件

區域支援

  • 支援所有 Microsoft Purview 區域
  • 支援下欄區域中的儲存體帳戶,而不需要額外的設定。 不過,不支援 ZRS) 帳戶 (區域備援儲存體。
    • 美國東部
    • 美國東部 2
    • 美國中南部
    • 美國西部 2
    • 加拿大中部
    • 北歐
    • 西歐
    • 法國中部
    • 英國南部
    • 東南亞
    • 澳大利亞東部
  • 設定功能旗標 AllowPurviewPolicyEnforcement之後,支援公用雲端中其他區域中的儲存體帳戶,如下一節所述。 如果在設定功能旗標 AllowPurviewPolicyEnforcement之後建立,則支援新建立的 ZRS 儲存體帳戶。

如有需要,您可以 遵循本指南來建立新的儲存體帳戶。

針對來自 Microsoft Purview 的原則設定 Azure 儲存體帳戶所在的訂用帳戶

只有在某些區域中才需要此步驟, (請參閱前一節) 。 若要讓 Microsoft Purview 管理一或多個 Azure 儲存體帳戶的原則,請在您將部署 Azure 儲存體帳戶的訂用帳戶中執行下列 PowerShell 命令。 這些 PowerShell 命令可讓 Microsoft Purview 管理該訂用帳戶中所有 Azure 儲存體帳戶的原則。

如果您要在本機執行這些命令,請務必以系統管理員身分執行 PowerShell。 或者,您可以在下Azure 入口網站中使用Azure Cloud Shell: https://shell.azure.com

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

如果最後一個命令的輸出顯示 RegistrationState為 Registered,則您的訂用帳戶會啟用存取原則。 如果輸出正在 註冊,請等候至少 10 分鐘,然後重試命令。 除非 RegistrationState 顯示為 Registered,否則請勿繼續

設定

在 Microsoft Purview 中註冊資料來源

您必須先在 Microsoft Purview Studio 中註冊該資料資源,才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後再次在 Microsoft Purview 中註冊。

設定許可權以啟用資料來源的資料使用管理

註冊資源之後,但在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理,您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:

  • 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :

    • IAM 擁有者
    • IAM 參與者和 IAM 使用者存取系統管理員

    若要 (RBAC) 許可權設定 Azure 角色型存取控制,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段,以新增角色指派。

    顯示新增角色指派之Azure 入口網站區段的螢幕擷取畫面。

    注意事項

    資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。

  • 如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南

    下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

    顯示在根集合層級指派資料來源系統管理員角色之選取專案的螢幕擷取畫面。

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:

  • 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
  • 原則 作者 角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合

注意事項

原則作者角色必須在根集合層級設定。

此外,若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組,您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。

設定發佈資料擁有者原則的 Microsoft Purview 許可權

如果您將 Microsoft Purview 原則 作者資料來源系統管理員 角色指派給組織中的不同人員,資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前, (資料來源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。

若要發佈資料擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合

注意事項

若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資料 使用管理的資源之後,任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。

在 Microsoft Purview 中註冊資料來源以進行資料使用管理

您的 Azure 儲存體帳戶必須在 Microsoft Purview 中註冊,以稍後定義存取原則,並在註冊期間啟用資料使用管理。 資料使用管理 是 Microsoft Purview 中可用的功能,可讓使用者從 Microsoft Purview 管理資源的存取權。 這可讓您集中資料探索和存取管理,但這是直接影響資料安全性的功能。

警告

啟用任何資源的資料使用管理之前,請先閱讀資料 使用管理一文

本文包含資料使用管理最佳做法,可協助您確保資訊安全。

若要註冊您的資源並啟用資料使用管理,請遵循下列步驟:

注意事項

您必須是訂用帳戶或資源群組的擁有者,才能在 Azure 資源上新增受控識別。

  1. Azure 入口網站中,尋找您想要註冊的 Azure Blob 儲存體帳戶。

    顯示儲存體帳戶的螢幕擷取畫面

  2. 選存取控制 (左側導覽中的[IAM) ],然後選取[+ 新增-- >新增角色指派]

    顯示儲存體帳戶存取控制的螢幕擷取畫面

  3. [角色] 設定為[儲存體 Blob 資料讀取器],然後在 [取輸入] 方塊下輸入您的Microsoft Purview 帳戶名稱。 然後,選取 [儲存 ] 將此角色指派給您的 Microsoft Purview 帳戶。

    顯示指派 Microsoft Purview 帳戶許可權詳細資料的螢幕擷取畫面

  4. 如果您已在儲存體帳戶上啟用防火牆,請遵循下列步驟:

    1. 在 Azure 入口網站 中移至您的 Azure 存儲帳戶。

    2. 流覽至 [安全性 + 網路 > 功能]

    3. 在 [允許存取來源]下選擇 [選取的網路]。

    4. 在 [ 例外狀況] 區段中 ,選 取 [允許受信任的 Microsoft 服務存取此儲存體帳戶 ],然後選取 [ 儲存]

      此螢幕擷取畫面顯示允許受信任的 Microsoft 服務存取儲存體帳戶的例外狀況。

  5. 設定儲存體帳戶的驗證之後,請移至 Microsoft Purview 治理入口網站

  6. 選取左側功能表上的 [資料對應 ]。

    顯示 Microsoft Purview 治理入口網站中最左側功能表的螢幕擷取畫面,其中已醒目提示 [資料對應]。

  7. 選取 [登錄]

    顯示 Microsoft Purview 治理入口網站資料對應來源的螢幕擷取畫面,頂端已醒目提示 [註冊] 按鈕。

  8. 在 [註冊來源]上,選取 [Azure Blob 儲存體]。

    此螢幕擷取畫面顯示畫面上用於註冊多個來源的 Azure Multiple 圖格。

  9. 選取 [繼續]

  10. 在 [ 註冊來源 (Azure) 畫面上,執行下列動作:

    1. 在 [ 名稱] 方 塊中,輸入資料來源將在目錄中列出的易記名稱。

    2. 在 [ 用帳戶] 下拉式清單方塊中,選取儲存體帳戶所在的訂用帳戶。 然後在 [儲存體帳戶名稱] 下選取您的 儲存體帳戶。 在 [選取集合] 中,選取您要在其中註冊 Azure 儲存體帳戶的集合。

      顯示選取儲存體帳戶之方塊的螢幕擷取畫面。

    3. 在 [ 選取集合] 方塊中,選取集合或建立新的集合 (選擇性) 。

    4. [資料使用管理] 切換開關設定為 [ 已啟用],如下圖所示。

      顯示已註冊資源頁面上 [資料使用管理] 切換設定為 [作用中] 的螢幕擷取畫面。

      提示

      如果 [資料使用管理] 切換為灰色且無法選取:

      1. 確認您已遵循所有必要條件來啟用整個資源的資料使用管理。
      2. 確認您已選取要註冊的儲存體帳戶。
      3. 可能是此資源已在另一個 Microsoft Purview 帳戶中註冊。 將滑鼠暫留在其上方,以瞭解已註冊資料資源的 Microsoft Purview 帳戶名稱。第一個。 一次只有一個 Microsoft Purview 帳戶可以註冊資料使用管理的資源。

    5. 取 [註冊 ] 以向已啟用資料使用管理的 Microsoft Purview 註冊資源群組或訂用帳戶。

提示

如需資料使用管理的詳細資訊,包括最佳做法或已知問題,請參閱資料 使用管理一文

建立資料擁有者原則

  1. 登入 Microsoft Purview 治理入口網站

  2. 使用左側面板流覽至 [資料 原則] 功能。 然後選取 [資料原則]

  3. 選取原則頁面中的 [ 新增 原則] 按鈕。

    當資料擁有者想要建立原則時,可以存取 Microsoft Purview 中的原則功能。

  4. 新的原則頁面隨即出現。 輸入原則 [名稱 ] 和 [ 描述]

  5. 若要將原則語句新增至新原則,請選取 [ 新增原則聲明 ] 按鈕。 這會顯示原則語句產生器。

    資料擁有者可以建立新的原則語句。

  6. 選取 [ 效果 ] 按鈕,然後從下拉式清單中選擇 [ 允許 ]。

  7. 選取 [ 動作] 按鈕,然後從下拉式清單中選擇 [ 取] 或 [ 修改 ]。

  8. 選取 [ 資料資源] 按鈕以顯示視窗以輸入將開啟至右側的資料資源資訊。

  9. [資料資源 面板] 底下,根據原則的細微性執行下列兩項動作之一:

    • 若要建立涵蓋先前註冊之整個資料來源、資源群組或訂用帳戶的廣泛原則聲明,請使用 [ 資料來源] 方塊並選取其 [類型]
    • 若要建立更細緻的原則,請改用 [ 資產 ] 方塊。 輸入 [資料來源類型] 和 [先前已註冊和掃描的資料來源 名稱 ]。 請參閱影像中的範例。

    顯示原則編輯器的螢幕擷取畫面,其中已選取 [資料資源],並在 [資料資源] 功能表中反白顯示 [資料來源類型]。

  10. 選取 [ 繼續] 按鈕,然後周遊階層以選取和基礎資料物件 (例如:資料夾、檔案等 ) 。 選取 [遞迴] ,將該原則從階層中的該點向下套用至任何子資料物件。 然後選取 [ 新增] 按鈕。 這會帶您回到原則編輯器。

    顯示 [選取資產] 功能表的螢幕擷取畫面,並醒目提示 [新增] 按鈕。

  11. 選取 [ 主體] 按鈕,然後輸入主體身分識別作為主體、群組或 MSI。 然後選取 [ 確定] 按鈕。 這會帶您回到原則編輯器

    顯示 [主旨] 功能表的螢幕擷取畫面,其中從搜尋中選取主旨,並在底部反白顯示 [確定] 按鈕。

  12. 重複步驟 #5 到 #11,以輸入更多原則語句。

  13. 選取 [ 儲存] 按鈕以儲存原則。

    顯示範例資料擁有者原則的螢幕擷取畫面,可讓您存取 Azure 儲存體帳戶。

發佈資料擁有者原則

  1. 登入 Microsoft Purview 治理入口網站

  2. 使用左側面板流覽至 [資料 原則] 功能。 然後選取 [資料原則]

    顯示 Microsoft Purview 治理入口網站的螢幕擷取畫面,其中最左邊的功能表已開啟、已醒目提示 [原則管理],並在下一個頁面上選取 [資料原則]。

  3. 原則入口網站會在 Microsoft Purview 中顯示現有原則的清單。 找出需要發佈的原則。 選取頁面右上角的 [ 發佈 ] 按鈕。

    顯示原則編輯功能表的螢幕擷取畫面,其中頁面右上方反白顯示 [發佈] 按鈕。

  4. 隨即顯示資料來源清單。 您可以輸入名稱來篩選清單。 然後,選取要發佈此原則的每個資料來源,然後選取 [ 發佈] 按鈕。

    顯示 [原則發佈] 功能表的螢幕擷取畫面,其中已選取資料資源,並醒目提示 [發佈] 按鈕。

重要事項

  • 發佈是背景作業。 變更最多可能需要 2 小時 ,才會反映在儲存體帳戶 () 中。

清除資源

若要刪除 Microsoft Purview 中的原則,請遵循下列步驟:

  1. 登入 Microsoft Purview 治理入口網站

  2. 使用左側面板流覽至 [資料 原則] 功能。 然後選取 [資料原則]

    顯示最左側功能表開啟、已醒目提示 [原則管理],以及在下一個頁面上選取 [資料原則] 的螢幕擷取畫面。

  3. 原則入口網站會在 Microsoft Purview 中顯示現有原則的清單。 選取需要更新的原則。

  4. 原則詳細資料頁面隨即出現,包括 [編輯] 和 [刪除] 選項。 選取 [ 編輯] 按鈕,這會顯示原則語句產生器。 現在,可以更新此原則中語句的任何部分。 若要刪除原則,請使用 [ 刪除] 按鈕。

    顯示開啟原則的螢幕擷取畫面,其中頁面頂端功能表中反白顯示 [編輯] 按鈕。

後續步驟

請查看我們的示範和相關教學課程:

Microsoft Purview 資料擁有者原則的Azure 存儲器概念存取原則示範在訂用帳戶或資源群組中的所有資料來源上啟用 Microsoft Purview 資料擁有者原則