在繼續之前,請務必取得儲存體探索服務的概觀,以及其可以提供給您的值。
請確定服務適用於您的案例
Azure 儲存體探索目前會針對 Azure Blob 儲存體服務的資源呈現深入解析。 涵蓋範圍也包含使用階層命名空間功能設定的儲存體帳戶,以啟用 Azure Data Lake Storage。
探索目前不適用於 Azure 檔案儲存體或其他儲存體類型。
部署基本
使用 Azure 儲存體探索分析 Azure 儲存體資源時,這些資源 (例如記憶體帳戶) 不會有任何交易或效能影響。
部署服務表示將儲存體探索工作區資源部署到其中一個訂用帳戶中的資源群組。 探索服務用於有關計算和儲存 Azure Blob 儲存體資產的深入解析。 這些計算深入解析會儲存在所建立工作區的區域中。 除了儲存體探索工作區之外,不需要部署其他基礎結構。
工作區可以設定為在工作區部署所在的 Azure 租用戶中跨任何訂用帳戶彙總深入解析。 若要產生有關 Azure 儲存體資源的深入解析,例如儲存體帳戶,您必須是每個儲存體資源的 RBAC (角色型存取控制) 讀者角色的成員。
這很重要
若要取得精確的深入解析,您必須為具有其權限的資源設定工作區。
本文中的權限一節有您應該檢閱的重要詳細資料。
準備好您的訂用帳戶
您需要選擇與您想要接收其深入解析的 Azure 儲存體資源 (例如儲存體帳戶) 相同的 Azure 租用戶所控管的訂閱。 當您決定儲存體探索工作區的 Azure 訂用帳戶和資源群組時,請檢閱下列各節,以確保您的訂用帳戶已準備就緒。
資源提供者命名空間
在服務初次用於 Azure 訂用帳戶之前,您必須先向所選訂用帳戶註冊一次該資源提供者命名空間。 Azure 儲存體探索具有相同的需求。 訂用帳戶「擁有者」或「參與者」可以執行此動作。 在實際的儲存體探索工作區部署之前執行此註冊動作,可讓擁有較少權限的系統管理員部署及使用儲存體探索服務。
這很重要
訂用帳戶必須向資源提供者命名空間 Microsoft.StorageDiscovery 註冊。
註冊資源提供者:
小提示
當您透過 Azure 入口網站將儲存體探索工作區部署為訂用帳戶擁有者或參與者時,您的訂用帳戶會自動向這個資源提供者命名空間註冊。 您只需要在使用 Azure PowerShell 或 CLI 時手動執行註冊。
一旦針對此資源提供者命名空間啟用了訂用帳戶,其就會保持已啟用狀態,直到手動取消註冊為止。 您甚至可以刪除最後一個儲存體探索工作區,而訂用帳戶仍會保持已啟用狀態。 接著,後續的儲存體探索工作區部署需要系統管理員的縮減權限。下一節包含不同管理案例及其必要權限的明細。
決定您需要的工作區數目
儲存體探索工作區必須搭配範圍設定。 管理元件一文共用工作區範圍的詳細資料。 範圍是儲存體資源的邏輯群組。 例如,範圍可以指特定工作負載或部門的所有儲存體資源,而您想要單獨取得該工作負載或部門的深入解析。
由於您只能在工作區中設定有限的範圍數目,因此可能需要多個工作區來涵蓋您的深入解析報告需求。
如果工作區要用於較高層級的深入解析,您可以針對整個 Azure 儲存體資產建立一個範圍,然後為每個部門新增範圍。 如果指定工作區來提供特定工作負載的深入解析,您可以建立一個工作區,包含每個工作負載的範圍。
檢閱您的 Azure 資源標籤
您可以選取哪些儲存體資源包含在工作區範圍中,方法為首先選取特定的訂用帳戶或資源群組,然後依 Azure 資源標籤篩選其中儲存體資源。 您務必熟悉儲存體資源上可用的資源標籤。 確定一致地套用它們,然後編目它們以在工作區中建置範圍。 規劃您需要的範圍,以便讓每個部門、工作負載或其他群組都有可用的深入解析供您使用。
選取要用於部署的 Azure 區域
當您部署儲存體探索工作區時,必須選擇區域。 您選取的區域會決定有關 Azure 儲存體資源的計算深入解析儲存在哪個位置。 您仍然可以擷取位於其他區域的 Azure 儲存體資源的深入解析。 一般最佳做法是根據適用於您且更接近您位置的中繼資料落地需求,為您的工作區選擇區域。 從更接近您的工作區可視化您的深入解析,可能會有輕微的效能優勢。
您可以在下列區域中建立儲存體探索工作區:
- 法國中部
- 加拿大中部
- 美國東部 2
- 北歐
- 西歐
- 美國西部 2
- 美國中南部
- 澳大利亞東部
- 印度中部
- 日本東部
- 巴西南部
儲存體探索工作區可以涵蓋位於任何公用雲端區域的儲存體帳戶。 如果新的 Azure 公用雲端區域可供使用,則可能會延遲,直到儲存體探索服務涵蓋此新區域的儲存體資源為止。
權限
權限是透過熟悉的 Azure 角色型存取控制 (RBAC) 來管理。 本節涵蓋:
- 您要從探索服務取得其深入解析的儲存體資源權限。
- 工作區資源的權限考量。
儲存體資源的權限
在建立儲存體探索工作區期間,您可以設定工作區根目錄。 管理元件一文為此設定提供更多的詳細資料。 在工作區根目錄中,您列出至少一個和最多 100 個不同類型的 Azure 資源:
- subscriptions
- 資源群組
針對工作區根目錄的每一個資源,部署工作區的人至少必須有角色型存取控制 (RBAC) 角色指派 讀取。 讀者是所需的最低權限等級。 也支援參與者和擁有者。
您可能會看到 Azure 入口網站中列出的訂用帳戶,但您沒有這個直接讀者角色指派。 當您看到沒有角色指派的資源時,最有可能是您對此訂用帳戶中的子資源具有權限。 在此情況下,向您透露此「父系」存在,但您對訂用帳戶資源本身沒有權限。 這個範例也可以延伸至資源群組。 缺少讀者或更高直接角色指派,讓 Azure 資源沒有資格成為工作區的基礎 (根目錄)。
只有在建立工作區時,才會驗證權限。 對建立工作區的 Azure 帳戶權限進行任何變更 (包括刪除) 都不會影響工作區或探索服務功能。
工作區資源的權限考量
Azure 儲存體探索工作區會儲存儲存體資產的計算深入解析。 您可以在 Azure 入口網站中存取報告,或透過 Azure Copilot 使用這些深入解析。 若要存取工作區中儲存的深入解析,使用者必須對工作區至少具有 RBAC 角色讀者。 參與者和擁有者角色指派也適用。 您可以透過為另一個使用者指派工作區中先前列出的三個角色之一,為其提供深入解析存取權。
| 狀況 | 所需的最小 RBAC 角色指派 |
|---|---|
| 向訂用帳戶註冊資源提供者命名空間 | 訂用帳戶:Contributor |
| 部署儲存體探索工作區 (資源提供者命名空間已註冊) |
資源群組:Contributor |
| 與另一個人分享儲存體探索深入解析 | 儲存體探索工作區:Owner |
| 讓人員可對工作區設定進行變更 | 儲存體探索工作區:Contributor |
謹慎
當您為其他使用者提供工作區的存取權時,您將公開工作區的所有深入解析。 其他使用者可能沒有特權知道 Azure 資源是否存在,或了解其所儲存資料的深入解析。 提供工作區的存取權並不會提供個別儲存體帳戶、資源群組或訂用帳戶的存取權。 個別資源仍由 RBAC 控管。