Freigeben über


Konzepte für Microsoft Purview-Datenbesitzerrichtlinien (Vorschau)

Wichtig

Dieses Feature ist derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

In diesem Artikel werden Konzepte im Zusammenhang mit der Verwaltung des Lese- oder Änderungszugriffs auf Ressourcen in Ihrem Datenbestand im Microsoft Purview-Governanceportal erläutert.

Hinweis

Diese Funktion bietet keine Zugriffssteuerung für Microsoft Purview selbst. Das Gewähren des Zugriffs auf interne Microsoft Purview-Rollen wird unter Zugriffssteuerung in Microsoft Purview beschrieben. Diese Funktion wird verwendet, um Zugriff auf Datenebene zu gewähren, d. h. Zugriff auf die Daten selbst in Datensystemen wie Azure Storage. Es ist nicht möglich, Zugriff auf Steuerungsebene zu gewähren. Der Zugriff auf Steuerungsebene bietet Sichtbarkeit und Die Möglichkeit, Ressourcen in Ihrem Abonnement zu verwalten. Sie können den Zugriff auf Steuerungsebene über die Identitäts- und Zugriffsverwaltung (IAM) verwalten.

Übersicht

Zugriffsrichtlinien in Microsoft Purview ermöglichen es Ihnen, den Zugriff auf verschiedene Datensysteme in Ihrem gesamten Datenbestand zu verwalten. Zum Beispiel:

Ein Benutzer benötigt Lesezugriff auf ein Azure Storage-Konto, das in Microsoft Purview registriert wurde. Sie können diesen Zugriff direkt in Microsoft Purview gewähren, indem Sie eine Datenzugriffsrichtlinie über die Datenrichtlinien-App im Microsoft Purview-Governanceportal erstellen.

Datenbesitzerrichtlinien können nur für Datensysteme erzwungen werden, die für die Richtlinienerzwingung in Microsoft Purview aktiviert wurden, d. h. wenn die Option Datenrichtlinienerzwingung in der Datenquellenregistrierung aktiviert ist.

Konzepte

Datenbesitzerrichtlinie

Eine Datenbesitzerrichtlinie ist ein benannter Satz von Richtlinienanweisungen. Wenn eine Richtlinie auf einem oder mehreren Datensystemen unter der Governance von Microsoft Purview veröffentlicht wird, wird sie von diesen erzwungen. Eine Richtliniendefinition enthält einen Richtliniennamen, eine Beschreibung und eine Liste mit einer oder mehreren Richtlinienanweisungen.

Hinweis

Derzeit wird nur eine einzelne Richtlinienanweisungen pro Richtlinie unterstützt.

Richtlinienanweisung

Eine Richtlinienanweisung ist eine lesbare Anweisung, die vorschreibt, wie die Datenquelle einen bestimmten Datenzugriffsvorgang behandeln soll. Die Richtlinienerklärung umfasst "Effect", "Action", "Data Resource" und "Subject".

Aktion

Eine Aktion ist der Vorgang, der im Rahmen dieser Richtlinie zugelassen oder verweigert wird. Beispiel: Lesen oder Ändern. Diese allgemeinen logischen Aktionen sind einer (oder mehreren) Datenaktionen im Datensystem zugeordnet, in dem sie erzwungen werden.

Effekt

Der Effekt gibt an, was sich ergeben soll, wenn eine Übereinstimmung mit der Datenressource und dem Betreff der Richtlinienanweisungen vorliegt. Derzeit wird nur der Wert Zulassen unterstützt.

Datenressource

Die Datenressource ist der vollqualifizierte Datenassetpfad zu dem Objekt, für das die Richtlinienanweisungen gelten. Es entspricht dem folgenden Format:

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Azure Storage-Format für Datenressourcenpfad:

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Azure SQL Db-Datenobjektpfadformat:

Microsoft.Sql/servers/<server-name>

Betreff

Es handelt sich um eine Liste der Endbenutzeridentitäten aus Microsoft Entra ID, für die diese Richtlinienausweisung gilt. Jede Identität kann ein Dienstprinzipal, ein einzelner Benutzer, eine Gruppe oder eine verwaltete Dienstidentität (Managed Service Identity, MSI) sein.

Beispiel

Lesen von Datenasset zulassen: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData to group Finance-analyst

In der obigen Richtlinienanweisung lautet die Auswirkung Zulassen, die Aktion ist Lesen, die Datenressource ist der Azure Storage-Container FinData, und der Betreff ist Microsoft Entra Gruppe Finance-analyst. Wenn ein Benutzer, der zu dieser Gruppe gehört, versucht, Daten aus dem Speichercontainer FinData zu lesen, wird die Anforderung zugelassen.

Hierarchische Erzwingung von Richtlinien

Die in einer Richtlinienanweisungen angegebene Datenressource ist standardmäßig hierarchisch. Dies bedeutet, dass die Richtlinienanweisungen für das Datenobjekt selbst und für alle untergeordneten Objekte gelten, die im Datenobjekt enthalten sind. Beispielsweise gilt eine Richtlinienanweisungen für den Azure Storage-Container für alle darin enthaltenen Blobs.

Richtlinienkombinierungsalgorithmus

Eine Datenquelle kombiniert alle anwendbaren lokalen Richtlinien mit allen Richtlinien von Microsoft Purview und bietet eine konsolidierte Entscheidung, wenn ein Benutzer versucht, auf ein Medienobjekt zuzugreifen. Die Kombinationsstrategie wählt die restriktivste Richtlinie aus.

Angenommen, es werden zwei verschiedene Richtlinien für einen Azure Storage-Container FinData wie folgt angenommen:

Richtlinie 1 – Zulassen von Lesevorgängen für Datenasset /subscription/..../containers/FinData zur Gruppe "Finance-analyst"

Richtlinie 2– Verweigern des Lesevorgangs für Datenasset /subscription/..../containers/FinData für Die Gruppe "Finance-contractors"

Nehmen wir dann an, dass der Benutzer "user1", der Teil von zwei Gruppen ist: Finance-analyst und Finance-contractors, einen Aufruf der Bloblese-API ausführt. Da beide Richtlinien anwendbar sind, wählt Azure Storage die restriktivste, d. h. Leseverweigerung. Daher wird die Zugriffsanforderung verweigert.

Richtlinienveröffentlichung

Eine neu erstellte Richtlinie ist im Entwurfsmodus vorhanden und nur in Microsoft Purview sichtbar. Der Akt der Veröffentlichung initiiert die Durchsetzung einer Richtlinie in den angegebenen Datensystemen. Es handelt sich um eine asynchrone Aktion, die je nach Datenquellentyp zwischen 5 Minuten und 2 Stunden wirksam werden kann. Weitere Informationen finden Sie in den Anleitungen zu den einzelnen Datenquellentypen in den Richtlinien für Datenbesitzer.

Eine Richtlinie, die in einer Datenquelle veröffentlicht wird, kann Richtlinienanweisungen enthalten, die auf eine andere Datenquelle verweisen. Solche Verweise werden ignoriert, da das betreffende Objekt in der Datenquelle, in der die Richtlinie angewendet wird, nicht vorhanden ist.

Nächste Schritte

Lesen Sie die Anleitungen zum Erstellen von Richtlinien in Microsoft Purview, die in bestimmten Datensystemen erzwungen werden. Über die Benutzeroberfläche hinaus können Sie jetzt die Datenbesitzerrichtlinien-API ausprobieren.