注释
Microsoft Purview 数据目录(经典版)和数据健康洞察(经典版)已经停止接受新客户,且这些服务(以前为 Azure Purview)现在转为只支持现有客户。
重要
此功能目前处于预览状态。 Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
数据所有者策略 是一种Microsoft Purview 访问策略。 它们允许你管理对已在 Microsoft Purview 中为 数据策略强制 注册的源中的用户数据的访问权限。 可以直接在 Microsoft Purview 治理门户中创作这些策略,发布后,数据源会强制实施这些策略。
本指南介绍如何注册整个资源组或订阅,然后创建一个策略来管理对该资源组或订阅 中所有 数据源的访问。 该单一策略将涵盖所有现有数据源以及之后创建的任何数据源。
先决条件
拥有有效订阅的 Azure 帐户。 创建账户。
新的或现有的 Microsoft Purview 帐户。 按照本快速入门指南创建一个。
仅为资源组或订阅上的访问策略启用这些数据源。 按照以下指南中特定于数据源 () 的 先决条件 部分进行作:
(*) SQL 类型数据源当前不支持 “修改” 作。
Microsoft Purview 配置
在 Microsoft Purview 中注册数据源
你必须先在 Microsoft Purview Studio 中注册一个数据资源,然后才能在 Microsoft Purview 中为该数据资源创建策略。 本指南稍后将会提供与注册数据资源相关的说明。
注释
Azure Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要先将它取消注册,然后在 Microsoft Purview 中重新注册它。
配置权限以启用数据源上的数据策略实施
注册资源后,必须在 Microsoft Purview 中为该资源创建策略之前配置权限。 需要具有一组权限才能启用“数据策略实施”。 这适用于数据源、资源组或订阅。 若要启用“数据策略实施”,则必须同时拥有对资源的特定标识和访问管理 (IAM) 特权以及特定的 Microsoft Purview 特权:
你必须在资源的 Azure 资源管理器路径或其任何父路径上拥有以下任一 IAM 角色组合(即使用 IAM 权限继承):
- IAM 所有者
- IAM 参与者和 IAM 用户访问管理员
若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照指南进行操作。 以下屏幕截图显示了如何访问 Azure 门户中的访问控制部分,以便为数据资源添加角色分配。
注释
数据资源的IAM 所有者角色可以从父资源组、订阅或订阅管理组继承。 检查哪些 Microsoft Entra 用户、组别和服务主体持有或继承资源的“IAM 所有者”角色。
你还需要有集合或父集合(如果启用了继承)的 Microsoft Purview“数据源管理员”角色。 有关详细信息,请参阅有关管理 Microsoft Purview 角色分配的指南。
以下屏幕截图显示了如何在根集合级别分配数据源管理员角色。
配置 Microsoft Purview 权限以创建、更新或删除访问策略
若要创建、更新或删除策略,你需要在 Microsoft Purview 中的根集合级别获取“策略创建者”角色:
- “策略创建者”角色可以创建、更新以及删除 DevOps 和数据所有者策略。
- 策略创建者角色可以删除自助服务访问策略。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注释
必须在根集合级别配置“策略创建者”角色。
此外,为了在创建或更新策略主题时能够轻松搜索 Microsoft Entra 用户或组,在 Microsoft Entra ID 中获取目录读取者权限可为你提供极大的帮助。 这是 Azure 租户中用户的常见权限。 如果没有目录读取者权限,策略创建者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件地址。
将访问权限配置职责委托给 Microsoft Purview 中的角色
在为某个资源启用“数据策略实施”后,任何在根集合级别具有“策略创建者”角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。
注释
任何 Microsoft Purview 根集合管理员都可以将新用户分配到根“策略创建者”角色。 任何集合管理员都可以将新用户分配到该集合下的“数据源管理员”角色。 最大程度地减少具有 Microsoft Purview 集合管理员、数据源管理员或策略创建者角色的用户并对其仔细审查。
如果带有已发布策略的 Microsoft Purview 帐户被删除,则此类策略将在一段时间内停止强制执行,具体取决于特定数据源。 此更改可能对安全性和数据访问可用性都有影响。 IAM 中的参与者角色和所有者角色可以删除 Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的访问控制 (IAM) 部分并选择“角色分配”来检查这些权限。 还可以使用锁以防止 Microsoft Purview 帐户通过 Azure 资源管理器锁被删除。
为数据策略强制注册订阅或资源组
需要先向 Microsoft Purview 注册订阅或资源组,然后才能创建访问策略。 若要注册订阅或资源组,请遵循本指南的 先决条件 和 注册 部分:
注册资源后,需要启用数据策略强制实施。 数据策略强制需要某些权限,并且可能会影响数据的安全性,因为它委托给某些Microsoft Purview 角色来管理对数据源的访问。 本指南详细介绍了与数据策略强制实施相关的安全做法:如何启用数据策略强制实施
最后,资源将启用数据策略强制切换,如屏幕截图所示:
创建和发布数据所有者策略
执行数据所有者策略创作教程的创建新策略和发布策略部分中的步骤。 结果将是类似于图中所示示例的数据所有者策略:提供安全组 sg-Finance修改 资源组 finance-rg 访问权限的策略。 使用策略用户体验中的“数据源”框。
重要
- 发布是一项后台作。 例如,Azure 存储帐户最多可能需要 2 小时 才能反映更改。
- 更改策略不需要新的发布作。 将在下一次拉取时选取更改。
取消发布数据所有者策略
单击此链接,了解 在 Microsoft Purview 中取消发布数据所有者策略的步骤。
更新或删除数据所有者策略
通过此链接了解 更新或删除 Microsoft Purview 中的数据所有者策略的步骤。
其他信息
- 在订阅或资源组级别创建策略将使使用者能够访问 Azure 存储系统容器,例如 ,$logs。 如果这是不需要的,请先扫描数据源,然后为每个 ((即容器或子容器级别) )创建精细的策略。
限制
存储帐户可以强制实施Microsoft Purview 策略的限制为每个订阅 100 MB,这大致相当于 5000 个策略。
后续步骤
查看博客、演示和相关教程: