Habilitación de la aplicación de directivas de datos en los orígenes de Microsoft Purview
La aplicación de directivas de datos es una opción dentro del registro del origen de datos en Microsoft Purview. Esta opción permite a Microsoft Purview administrar el acceso a los datos de los recursos. El concepto de alto nivel es que el propietario de los datos permite que su recurso de datos esté disponible para las directivas de acceso mediante la habilitación de la aplicación de directivas de datos.
Actualmente, un propietario de datos puede habilitar la aplicación de directivas de datos en un recurso de datos, lo que lo habilita para estos tipos de directivas de acceso:
- Directivas de DevOps
- Directivas de acceso del propietario de datos
- Directivas de acceso de autoservicio : directivas de acceso generadas automáticamente por Microsoft Purview después de aprobar una solicitud de acceso de autoservicio .
- Directivas de protección
Para poder crear cualquier directiva de datos en un recurso, primero debe habilitarse la aplicación de directivas de datos en ese recurso. En este artículo se explica cómo habilitar la aplicación de directivas de datos en los recursos de Microsoft Purview.
Importante
Dado que la aplicación de directivas de datos afecta directamente al acceso a los datos, afecta directamente a la seguridad de los datos. Revise las consideraciones adicionales y losprocedimientos recomendados que se indican a continuación antes de habilitar la aplicación de directivas de datos en su entorno.
Requisitos previos
Registro del origen de datos en Microsoft Purview
Para poder crear una directiva en Microsoft Purview para un recurso de datos, debe registrar ese recurso de datos en Microsoft Purview Studio. Encontrará las instrucciones relacionadas con el registro del recurso de datos más adelante en esta guía.
Nota:
Las directivas de Microsoft Purview se basan en la ruta de acceso de ARM del recurso de datos. Si un recurso de datos se mueve a un nuevo grupo de recursos o una suscripción, deberá anular su registro y volver a registrarse en Microsoft Purview.
Configuración de permisos para habilitar la aplicación de directivas de datos en el origen de datos
Una vez registrado un recurso, pero antes de que se pueda crear una directiva en Microsoft Purview para ese recurso, debe configurar los permisos. Se necesita un conjunto de permisos para habilitar la aplicación de directivas de datos. Esto se aplica a orígenes de datos, grupos de recursos o suscripciones. Para habilitar la aplicación de directivas de datos, debe tener privilegios específicos de Administración de identidades y acceso (IAM) en el recurso, así como privilegios específicos de Microsoft Purview:
Debe tener una de las siguientes combinaciones de roles de IAM en la ruta de acceso de Azure Resource Manager del recurso o en cualquier elemento primario del mismo (es decir, mediante la herencia de permisos de IAM):
- Propietario de IAM
- Colaborador de IAM y administrador de acceso de usuarios de IAM
Para configurar permisos de control de acceso basado en rol (RBAC) de Azure, siga esta guía. En la captura de pantalla siguiente se muestra cómo acceder a la sección Access Control de la Azure Portal para que el recurso de datos agregue una asignación de roles.
Nota:
El rol Propietario de IAM para un recurso de datos se puede heredar de un grupo de recursos primario, una suscripción o un grupo de administración de suscripciones. Compruebe qué Microsoft Entra usuarios, grupos y entidades de servicio contienen o heredan el rol propietario de IAM para el recurso.
También debe tener el rol de administrador de origen de datos de Microsoft Purview para la colección o una colección primaria (si la herencia está habilitada). Para obtener más información, consulte la guía sobre la administración de asignaciones de roles de Microsoft Purview.
En la captura de pantalla siguiente se muestra cómo asignar el rol de administrador de origen de datos en el nivel de colección raíz.
Configuración de permisos de Microsoft Purview para crear, actualizar o eliminar directivas de acceso
Para crear, actualizar o eliminar directivas, debe obtener el rol de autor de directivas en Microsoft Purview en el nivel de colección raíz:
- El rol de autor de directivas puede crear, actualizar y eliminar directivas de DevOps y propietario de datos.
- El rol de autor de directivas puede eliminar directivas de acceso de autoservicio.
Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.
Nota:
El rol de autor de directiva debe configurarse en el nivel de colección raíz.
Además, para buscar fácilmente Microsoft Entra usuarios o grupos al crear o actualizar el asunto de una directiva, puede beneficiarse en gran medida de obtener el permiso Lectores de directorio en Microsoft Entra ID. Se trata de un permiso común para los usuarios de un inquilino de Azure. Sin el permiso Lector de directorios, el autor de la directiva tendrá que escribir el nombre de usuario completo o el correo electrónico de todas las entidades de seguridad incluidas en el asunto de una directiva de datos.
Configuración de permisos de Microsoft Purview para publicar directivas de propietario de datos
Las directivas de propietario de datos permiten comprobaciones y saldos si asigna los roles de autor de directiva de Microsoft Purview y Administrador de origen de datos a diferentes personas de la organización. Antes de que se aplique una directiva de propietario de datos, una segunda persona (administrador del origen de datos) debe revisarla y aprobarla explícitamente publicándola. Esto no se aplica a las directivas de acceso de DevOps o autoservicio, ya que la publicación es automática para ellas cuando se crean o actualizan esas directivas.
Para publicar una directiva de propietario de datos, debe obtener el rol Administrador del origen de datos en Microsoft Purview en el nivel de recopilación raíz.
Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.
Nota:
Para publicar directivas de propietario de datos, el rol de administrador del origen de datos debe configurarse en el nivel de recopilación raíz.
Delegar la responsabilidad de aprovisionamiento de acceso a roles en Microsoft Purview
Una vez habilitado un recurso para la aplicación de directivas de datos, cualquier usuario de Microsoft Purview con el rol De autor de directivas en el nivel de recopilación raíz puede aprovisionar el acceso a ese origen de datos desde Microsoft Purview.
Nota:
Cualquier administrador de colección raíz de Microsoft Purview puede asignar nuevos usuarios a roles de autor de directiva raíz. Cualquier administrador de recopilación puede asignar nuevos usuarios a un rol de administrador de origen de datos en la colección. Minimice y examine cuidadosamente a los usuarios que tienen roles de administrador de Microsoft Purview Collection, administrador de origen de datos o autor de directivas .
Si se elimina una cuenta de Microsoft Purview con directivas publicadas, dichas directivas dejarán de aplicarse en un período de tiempo que depende del origen de datos específico. Este cambio puede tener implicaciones en la disponibilidad de acceso a datos y seguridad. Los roles Colaborador y Propietario de IAM pueden eliminar cuentas de Microsoft Purview. Para comprobar estos permisos, vaya a la sección Control de acceso (IAM) de su cuenta de Microsoft Purview y seleccione Asignaciones de roles. También puede usar un bloqueo para evitar que la cuenta de Microsoft Purview se elimine mediante bloqueos de Resource Manager.
Habilitación de la aplicación de directivas de datos
Para habilitar la aplicación de directivas de datos para un recurso, primero deberá registrarse en Microsoft Purview. Para registrar un recurso, siga las secciones Requisitos previos y Registro de las páginas de origen de los recursos.
Una vez que haya registrado el recurso, siga el resto de los pasos para habilitar un recurso individual para la aplicación de directivas de datos.
Desde el portal de gobernanza de Microsoft Purview clásico
Seleccione la pestaña Mapa de datos en el menú izquierdo.
Seleccione la pestaña Orígenes en el menú de la izquierda.
Seleccione el origen donde desea habilitar la aplicación de directivas de datos.
En la parte superior de la página de origen, seleccione Editar origen.
Establezca el botón de alternancia Cumplimiento de directivas de datosen Habilitado, como se muestra en la imagen siguiente.
Desde el nuevo portal de Microsoft Purview
Vaya al nuevo portal de Microsoft Purview.
Seleccione la pestaña Mapa de datos en el menú de la izquierda.
Seleccione la pestaña Orígenes de datos en el menú de la izquierda.
Seleccione el origen donde desea habilitar la aplicación de directivas de datos.
Establezca el botón de alternancia Aplicación de directivas de datosen Activado, como se muestra en la imagen siguiente.
Deshabilitación de la aplicación de directivas de datos
Para deshabilitar la aplicación de directivas de datos para un origen, un grupo de recursos o una suscripción, un usuario debe ser un propietario de IAM de recursos o un administrador de origen de datos de Microsoft Purview. Una vez que tenga esos permisos, siga estos pasos:
Desde el portal de gobernanza de Microsoft Purview clásico
Seleccione la pestaña Mapa de datos en el menú izquierdo.
Seleccione la pestaña Orígenes en el menú de la izquierda.
Seleccione el origen para el que desea deshabilitar la aplicación de directivas de datos.
En la parte superior de la página de origen, seleccione Editar origen.
Establezca el botón de alternancia Cumplimiento de directivas de datosen Deshabilitado.
Desde el nuevo portal de Microsoft Purview
Vaya al nuevo portal de Microsoft Purview.
Seleccione la pestaña Mapa de datos en el menú izquierdo.
Seleccione la pestaña Orígenes en el menú de la izquierda.
Seleccione el origen para el que desea deshabilitar la aplicación de directivas de datos.
Establezca el botón de alternancia Cumplimiento de directivas de datos en Desactivado.
Consideraciones adicionales relacionadas con la aplicación de directivas de datos
- Asegúrese de anotar el nombre que usa al registrarse en Microsoft Purview. Lo necesitará al publicar una directiva. La práctica recomendada es hacer que el nombre registrado sea exactamente el mismo que el nombre del punto de conexión.
- Para deshabilitar un origen para la aplicación de directivas de datos, primero debe quitar las directivas publicadas en ese origen de datos.
- Aunque el usuario debe tener tanto el propietario del origen de datos como el administrador del origen de datos de Microsoft Purview para habilitar un origen para la aplicación de directivas de datos, cualquier administrador de origen de datos para la recopilación puede deshabilitarlo.
- Deshabilitar la aplicación de directivas de datos para una suscripción también la deshabilitará para todos los recursos registrados en esa suscripción.
Advertencia
Problemas conocidos relacionados con el registro de origen
- No se admite el traslado de orígenes de datos a otro grupo de recursos o suscripción. Si quiere hacerlo, anule el registro del origen de datos en Microsoft Purview antes de moverlo y, después, vuelva a registrarlo. Tenga en cuenta que las directivas están enlazadas a la ruta de acceso de ARM del origen de datos. Cambiar la suscripción o el grupo de recursos del origen de datos hace que las directivas no sean eficaces.
- Una vez deshabilitada una suscripción para la aplicación de directivas de datos , se deshabilitarán los recursos subyacentes habilitados para la aplicación de directivas de datos , que es el comportamiento correcto. Sin embargo, las instrucciones de directiva basadas en esos recursos se seguirán permitiendo después de eso.
Procedimientos recomendados para la aplicación de directivas de datos
- Recomendamos encarecidamente registrar orígenes de datos para la aplicación de directivas de datos y administrar todas las directivas de acceso asociadas en una sola cuenta de Microsoft Purview.
- Si tiene varias cuentas de Microsoft Purview, tenga en cuenta que todos los orígenes de datos que pertenecen a una suscripción deben estar registrados para la aplicación de directivas de datos en una sola cuenta de Microsoft Purview. Esa cuenta de Microsoft Purview puede estar en cualquier suscripción del inquilino. El botón de alternancia de cumplimiento de directivas de datos se atenuará cuando haya configuraciones no válidas. En el diagrama siguiente se muestran algunos ejemplos de configuraciones válidas y no válidas:
- El caso 1 muestra una configuración válida en la que una cuenta de Almacenamiento está registrada en una cuenta de Microsoft Purview en la misma suscripción.
- El caso 2 muestra una configuración válida en la que una cuenta de Almacenamiento está registrada en una cuenta de Microsoft Purview en una suscripción diferente.
- El caso 3 muestra una configuración no válida que surge porque las cuentas de almacenamiento S3SA1 y S3SA2 pertenecen a la suscripción 3, pero están registradas en cuentas de Microsoft Purview diferentes. En ese caso, la alternancia de cumplimiento de directivas de datos solo se habilitará en la cuenta de Microsoft Purview que gana y registra primero un origen de datos en esa suscripción. A continuación, el botón de alternancia se atenuará para el otro origen de datos.
- Si el botón de alternancia de cumplimiento de directivas de datos está atenuado y no se puede habilitar, mantenga el puntero sobre él para conocer el nombre de la cuenta de Microsoft Purview que ha registrado primero el recurso de datos.
Pasos siguientes
- Creación de directivas de propietario de datos para los recursos
- Habilitación de directivas de propietario de datos de Microsoft Purview en todos los orígenes de datos de una suscripción o un grupo de recursos
- Habilitación de directivas de propietario de datos de Microsoft Purview en una cuenta de Azure Storage