在 Microsoft Purview 中连接到 Azure SQL 托管实例并对其进行管理
本文概述了如何注册和 Azure SQL 托管实例,以及如何对 Microsoft Purview 中的 Azure SQL 托管实例进行身份验证和交互。 有关 Microsoft Purview 的详细信息,请阅读简介文章。
支持的功能
元数据提取 | 完全扫描 | 增量扫描 | 限定范围扫描 | 分类 | 访问策略 | 沿袭 |
---|---|---|---|---|---|---|
是 | 是 | 是 | 是 | 是 | 否 | 受限制** |
** 如果数据集用作数据工厂复制活动中的源/接收器,则支持世系
先决条件
具有活动订阅的 Azure 帐户。 创建帐户。
活动的 Microsoft Purview 帐户。
需是数据源管理员和数据读者才能在 Microsoft Purview 治理门户中注册和管理源。 有关详细信息,请参阅“Microsoft Purview 权限”页。
-
注意
现在,支持使用 Microsoft Purview 引入专用终结点和自承载集成运行时 VM 通过专用连接扫描 Azure SQL 托管实例。 有关与先决条件相关的详细信息,请参阅私密且安全地连接到你的 Microsoft Purview 并扫描数据源
注册
这部分介绍了如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册 Azure SQL 托管实例。
为注册进行身份验证
如果需要创建新的身份验证,则需要授予对 SQL 数据库 SQL 托管实例的数据库访问权限。 目前,Microsoft Purview 支持三种身份验证方法:
要注册的系统或用户分配的托管标识
注意
如果使用专用终结点连接到 Microsoft Purview,则不支持托管标识。
可使用 Microsoft Purview 系统分配的托管标识 (SAMI) 或用户分配的托管标识 (UAMI) 进行身份验证。 这两个选项都允许你将身份验证直接分配给 Microsoft Purview,就像对任何其他用户、组或服务主体一样。 创建帐户时,会自动创建 Microsoft Purview 系统分配的托管标识,其名称与 Microsoft Purview 帐户相同。 用户分配的托管标识是可单独创建的资源。 若要创建该标识,可按照用户分配的托管标识指南操作。
可以通过执行以下步骤,在 Azure 门户中找到托管标识对象 ID:
对于 Microsoft Purview 帐户的系统的分配的托管标识:
- 打开 Azure 门户,然后导航到 Microsoft Purview 帐户。
- 选择左侧菜单上的属性选项卡。
- 选择 托管标识对象 ID 值并复制。
对于用户分配的托管标识(预览版):
- 打开 Azure 门户,然后导航到 Microsoft Purview 帐户。
- 在左侧菜单中选择“托管标识”选项卡
- 选择用户分配的托管标识,选择预期标识以查看详细信息。
- 对象(主体)ID 显示在概览基本部分中。
托管标识需要权限来获取数据库、架构和表的元数据,并查询表以进行分类。
- 按照创建映射到 Microsoft Entra 标识的包含的用户的先决条件和教程,在 Azure SQL 托管实例中创建 Microsoft Entra 用户
- 向标识分配
db_datareader
权限。
用于注册的服务主体
Microsoft Purview 可以通过几个步骤使用服务主体扫描 Azure SQL 托管实例。
创建或使用现有的服务主体
若要使用服务主体,可以使用现有的服务主体,也可以创建一个新的服务主体。 如果要使用现有服务主体,请跳到下一步。 如果必须创建新的服务主体,请执行以下步骤:
- 导航到 Azure 门户。
- 从左侧菜单中选择“Microsoft Entra ID”。
- 选择“应用注册”。
- 选择“+ 新建应用程序注册”。
- 为应用程序输入名称(服务主体名称)。
- 选择“仅此组织目录中的帐户”。
- 对于重定向 URI,请选择“Web”并输入所需的任何 URL;它不需要是真实的,也不需要有效。
- 然后选择“注册”。
在数据库帐户中配置 Microsoft Entra 身份验证
服务主体或托管标识必须具有获取数据库、架构和表的元数据的权限。 它还必须能够查询表以进行采样分类。
- 使用 Azure SQL 配置和管理 Microsoft Entra 身份验证
- 按照创建映射到 Microsoft Entra 标识的包含的用户的先决条件和教程,在 Azure SQL 托管实例中创建 Microsoft Entra 用户
- 向标识分配
db_datareader
权限。
将服务主体添加到密钥保管库和 Microsoft Purview 的凭据
需要获取服务主体的应用程序 ID 和机密:
- 导航到 Azure 门户中的服务主体
- 复制“概述”中的“应用程序(客户端) ID”和“证书和机密”中的“客户端机密”的值。
- 导航到你的密钥保管库
- 选择“设置”“机密”
- 选择“+ 生成/导入”并输入所选的“名称”和“值”作为服务主体的“客户端机密”
- 选择“创建”以完成
- 如果密钥保管库尚未连接到 Microsoft Purview,你将需要创建新的密钥保管库连接
- 最后,使用”服务主体“创建新凭据来设置扫描。
用于注册的 SQL 身份验证
注意
只有服务器级别主体登录(由预配过程创建)或 master 数据库中的 loginmanager
数据库角色成员可以创建新的登录。 授予权限后大约需要 15 分钟,Microsoft Purview 帐户应具有适当的权限才能扫描资源。
如果没有可用的登录名,则可以按照创建登录名中的说明为 Azure SQL 托管实例创建登录名。 后续步骤将使用用户名和密码。
- 在 Azure 门户中,导航到密钥保管库
- 选择“设置”“机密”
- 选择“+ 生成/导入”并在 Azure SQL 托管实例中输入“名称”和“值”作为密码
- 选择“创建”以完成
- 如果密钥保管库尚未连接到 Microsoft Purview,你将需要创建新的密钥保管库连接
- 最后,请使用用户名和密码创建新凭据以设置扫描。
注册步骤
使用以下方法打开 Microsoft Purview 治理门户:
- 直接浏览到 https://web.purview.azure.cn 并选择你的 Microsoft Purview 帐户。
- 打开 Azure 门户,搜索并选择 Microsoft Purview 帐户。 选择“Microsoft Purview 治理门户”按钮。
导航到“数据映射”。
选择“注册”
选择“Azure SQL 托管实例”,然后选择“继续”。
选择“从 Azure 订阅中”,然后从“Azure 订阅”下拉框中选择相应订阅,并从“服务器名称”下拉框中选择相应服务器 。
提供公共终结点完全限定的域名和端口号 。 然后选择“注册”以注册数据源。
例如:
foobar.public.123.database.chinacloudapi.cn,3342
扫描
按照以下步骤扫描 Azure SQL 托管实例,以自动识别资产并对数据进行分类。 若要大致了解有关扫描的更多信息,请参阅扫描和引入简介。
创建并运行扫描
若要创建并运行新扫描,请完成以下步骤:
在 Microsoft Purview 治理门户的左侧窗格中选择“数据映射”选项卡。
选择你注册的 Azure SQL 托管实例源。
选择“新建扫描”
如果源是公开访问的,请选择 Azure 集成运行时,如果源位于专用虚拟网络中,则选择自承载集成运行时。 有关要使用的集成运行时的详细信息,请参阅《选择正确的集成运行时配置》一文。
选择要连接到数据源的凭据。
通过在列表中选择适当的项,可以将扫描范围限定到特定的表。
然后选择扫描规则集。 可以在系统默认项和现有的自定义规则集之间选择,或者可以以内联方式创建新规则集。
选择扫描触发器。 可以设置一个计划或运行一次扫描。
查看扫描并选择“保存并运行”。
如果在连接到数据源或运行扫描时遇到问题,请参阅扫描和连接故障排除指南。
查看扫描和扫描运行情况
若要查看现有扫描,请执行以下操作:
- 转到 Microsoft Purview 门户。 在左窗格中,选择“数据映射”。
- 选择数据源。 可以在“最近使用的扫描”下查看该数据源上的现有扫描列表,或者可以在“扫描”选项卡上查看所有扫描。
- 选择要查看结果的扫描。 窗格会显示先前的所有扫描运行,以及每次扫描运行的状态和指标。
- 选择运行 ID 以检查扫描运行详细信息。
管理扫描
若要编辑、取消或删除扫描:
转到 Microsoft Purview 门户。 在左窗格中,选择“数据映射”。
选择数据源。 可以在“最近使用的扫描”下查看该数据源上的现有扫描列表,或者可以在“扫描”选项卡上查看所有扫描。
选择要管理的扫描。 然后,可以:
- 通过选择“编辑扫描”来编辑扫描。
- 通过选择“取消扫描运行”来取消正在进行的扫描。
- 通过选择“删除扫描”来删除扫描。
注意
- 删除扫描不会删除以前扫描中创建的类别资产。
后续步骤
现在,你已经注册了源,请按照以下指南来详细了解 Microsoft Purview 和你的数据。