事件
Microsoft Purview DevOps 原則可以達成什麼目的?
本文說明如何使用 Microsoft Purview 治理入口網站來管理數據資產中數據源的存取權。 其著重於 DevOps 原則的基本概念。 也就是說,它會提供 DevOps 原則的背景資訊,您應該先知道這些資訊,再遵循其他文章來取得設定步驟。
注意
存取系統元數據對 IT 和 DevOps 人員而言非常重要,以確保重要的資料庫系統狀況良好、符合預期且安全。 您可以透過 Microsoft Purview DevOps 原則,有效率且大規模地授與和撤銷該存取權。
在 Microsoft Purview 中,任何在根集合層級保有原則作者角色的使用者,都可以建立、更新和刪除 DevOps 原則。 儲存DevOps原則之後,系統會自動發佈這些原則。
Microsoft Purview 存取原則可讓客戶管理整個數據資產的數據系統存取權,全都來自雲端中的中央位置。 您可以將這些原則視為可透過 Microsoft Purview Studio 建立的存取權授與,以避免需要程式代碼。 它們會指出是否應該允許或拒絕特定類型的數據源或其中資產存取 Microsoft Entra 主體清單,例如使用者和群組。 Microsoft Purview 會將這些原則傳達給原生強制執行這些原則的數據源。
DevOps 原則是一種特殊類型的 Microsoft Purview 存取原則。 他們會授與資料庫系統元數據的存取權,而不是用戶數據。 它們可簡化IT作業和安全性稽核人員的存取布建。 DevOps 原則只會授與存取權。 它們不會拒絕存取。
三個元素定義DevOps原則:
主旨
這是 Microsoft Entra 授與存取權的使用者、群組或服務主體清單。
數據資源
這是強制執行原則的範圍。 數據資源路徑是訂 > 用帳戶資源群組 > 數據源的組合。
Microsoft Purview DevOps 原則目前支援 SQL 類型的數據源。 您可以在個別數據來源以及整個資源群組和訂用帳戶上進行設定。 只有在開啟 [數據原則 強制 ] 選項的 Microsoft Purview 中註冊數據資源之後,您才能建立 DevOps 原則。
角色
角色會對應至原則允許在數據資源上執行的一組動作。 DevOps 原則支援 SQL 效能監視器 和 SQL 安全性稽核員角色。 這兩個角色都提供 SQL 系統元數據的存取權,更具體來說,也就是動態管理檢視 (DMV) 和動態管理功能, (DMFs) 。 但這些角色授與的 DMV 和 DMF 集不同。 我們 稍後會在本文中提供一些熱門的範例。
建立、列出、更新和刪除 Microsoft Purview DevOps 原則一文詳細說明每個數據源類型的角色定義。 也就是說,它會提供 Purview 中Microsoft角色與該數據源類型中允許之動作的對應。 例如,SQL 效能監視器 和 SQL 安全性稽核員的角色定義包含數據源端伺服器和資料庫層級的連線動作。
基本上,DevOps 原則會將角色的相關許可權指派給主體,並在數據資源路徑的範圍內強制執行。
數據資源的 DevOps 原則會在數據資源本身及其包含的所有子資源上強制執行。 例如,Azure 訂用帳戶上的 DevOps 原則會套用至所有資源群組、每個資源群組內所有已啟用原則的數據源,以及每個數據源內的所有資料庫。
Bob 和 Alice 參與其公司的 DevOps 程式。 他們必須登入數十個內部部署 SQL Server 實例,並 Azure SQL 邏輯伺服器來監視其效能,如此一來,重要的 DevOps 進程就不會中斷。 其經理Mateo 會將所有這些 SQL 數據源放入資源群組 1。 接著,他建立 Microsoft Entra 群組,並包含Alice和Bob。 接下來,他使用下圖 (原則 1 Microsoft Purview DevOps 原則,) 將此 Microsoft Entra 群組存取權授與裝載邏輯伺服器的資源群組 1。
。
這些優點如下:
- Mateo 不需要在每部伺服器中建立本機登入。
- Purview Microsoft原則會藉由限制本機特殊許可權存取來改善安全性。 它們支援最低許可權原則。 在此案例中,Mateo 只會授與 Bob 和 Alice 執行監視系統健康情況和效能工作所需的最低存取權。
- 將新的伺服器新增至資源群組時,Mateo 不需要更新 Microsoft Purview 中的原則,即可在新伺服器上強制執行。
- 如果Alice或Bob離開組織,且作業已反向填入,則Mateo只會更新 Microsoft Entra群組。 他不需要對伺服器或他Microsoft Purview 中建立的原則進行任何變更。
- 在任何時間點,Mateo 或公司的稽核員都可以看到在 Purview Studio 中直接授與的所有許可權Microsoft。
原則 | 效益 |
---|---|
簡化 | 角色定義 SQL 效能監視器 和 SQL 安全性稽核員會擷取一般 IT 和 DevOps 人員執行其工作所需的許可權。 |
每個數據源類型的許可權專業知識需求較少。 | |
減少投入量 | 圖形化介面可讓您快速地移動數據物件階層。 |
Microsoft Purview 支援整個 Azure 資源群組和訂用帳戶的原則。 | |
加強安全性 | 存取權會集中授與,而且可以輕鬆地檢閱和撤銷。 |
特殊許可權帳戶不需要直接在數據源設定存取權。 | |
DevOps 原則透過數據資源範圍和角色定義支援最低許可權原則。 | |
許多複雜的客戶偏好透過腳本與 Microsoft Purview 互動,而不是透過 UI。 Microsoft Purview DevOps 原則現在支援 REST API,可提供完整的建立、讀取、更新和刪除 (CRUD) 功能。 這項功能包括清單、SQL 效能監視器 的原則,以及 SQL 安全性稽核員的原則。 如需詳細資訊,請參閱 API 規格。
。
SQL 動態元數據包含超過 700 個 DMV 和 DMF 的清單。 下表說明一些最受歡迎的專案。 下表會將 DMV 和 DMF 對應至其在 Purview DevOps 原則Microsoft定義。 它也提供參考內容的連結。
DevOps 角色 | 類別 | 範例 DMV 或 DMF |
---|---|---|
SQL 效能監視器 | 查詢系統參數以瞭解您的系統 | sys.configurations |
sys.dm_os_sys_info | ||
識別效能瓶頸 | sys.dm_os_wait_stats | |
分析目前執行中的查詢 | sys.dm_exec_query_stats | |
分析封鎖問題 | sys.dm_tran_locks | |
sys.dm_exec_requests | ||
sys.dm_os_waiting_tasks | ||
分析記憶體使用量 | sys.dm_os_memory_clerks | |
分析檔案使用量和效能 | sys.master_files | |
sys.dm_io_virtual_file_stats | ||
分析索引使用量和片段 | sys.indexes | |
sys.dm_db_index_usage_stats | ||
sys.dm_db_index_physical_stats | ||
管理作用中的用戶連線和內部工作 | sys.dm_exec_sessions | |
取得程序執行統計數據 | sys.dm_exec_procedure_stats | |
使用 查詢存放區 | sys.query_store_plan | |
sys.query_store_query | ||
sys.query_store_query_text | ||
取得尚不支援的 (錯誤記錄檔) | sys.sp_readerrorlog | |
SQL 安全性稽核員 | 取得稽核詳細數據 | sys.dm_server_audit_status |
SQL 效能監視器 和 SQL 安全性稽核員 | sys.dm_audit_actions | |
sys.dm_audit_class_type_map | ||
如需當您透過 Microsoft Purview 角色授與 IT 支援人員存取權時,IT 支援人員可以執行哪些動作的詳細資訊,請參閱下列資源:
- SQL 效能監視器:使用 Microsoft Purview 來大規模存取 Azure SQL 和 SQL Server
- SQL 安全性稽核員: 安全性相關的動態管理檢視和功能
若要開始使用 DevOps 原則,請參閱下列資源:
- 試用 Azure SQL Database 的 DevOps 原則:快速入門指南。
- 請參閱 其他影片、部落格和文章。