Conceptos de las directivas de propietario de datos de Microsoft Purview (versión preliminar)
Importante
Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, en versión preliminar o que aún no se han publicado en disponibilidad general.
En este artículo se describen los conceptos relacionados con la administración del acceso de lectura o modificación a los recursos del patrimonio de datos desde el portal de gobernanza de Microsoft Purview.
Nota:
Esta funcionalidad no ofrece control de acceso para el propio Microsoft Purview. La concesión de acceso a roles internos de Microsoft Purview se describe en Control de acceso en Microsoft Purview. Esta funcionalidad se usa para conceder acceso al plano de datos, es decir, acceso a los propios datos en sistemas de datos como Azure Storage. No permite conceder acceso al plano de control. El acceso al plano de control proporciona visibilidad y capacidad para administrar los recursos de la suscripción. Puede administrar el acceso al plano de control a través de Identity and Access Management (IAM)
Información general
Las directivas de acceso de Microsoft Purview le permiten administrar el acceso a diferentes sistemas de datos en todo el patrimonio de datos. Por ejemplo:
Un usuario necesita acceso de lectura a una cuenta de Azure Storage registrada en Microsoft Purview. Puede conceder este acceso directamente en Microsoft Purview mediante la creación de una directiva de acceso a datos a través de la aplicación Directiva de datos en el portal de gobernanza de Microsoft Purview.
Las directivas de propietario de datos solo se pueden aplicar en sistemas de datos habilitados para la aplicación de directivas en Microsoft Purview, es decir, con la opción Cumplimiento de directivas de datos activada en el registro del origen de datos.
Conceptos
Directiva de propietario de datos
Una directiva de propietario de datos es un conjunto con nombre de instrucciones de directiva. Cuando una directiva se publica en uno o varios sistemas de datos bajo la gobernanza de Microsoft Purview, la aplican. Una definición de directiva incluye un nombre de directiva, una descripción y una lista de una o varias instrucciones de directiva.
Nota:
Actualmente solo se admite una sola instrucción de directiva por directiva.
Declaración de directiva
Una instrucción de directiva es una instrucción legible humana que determina cómo debe controlar el origen de datos una operación de acceso a datos específica. La instrucción de directiva consta de Effect, Action, Data Resource y Subject.
Acción
Una acción es la operación que se permite o deniega como parte de esta directiva. Por ejemplo: Leer o modificar. Estas acciones lógicas de alto nivel se asignan a una (o más) acciones de datos en el sistema de datos donde se aplican.
Efecto
El efecto indica qué debe ser el resultado si hay una coincidencia en el recurso Data y Subject de la instrucción de directiva. Actualmente, el único valor admitido es Allow.
Recurso de datos
El recurso de datos es la ruta de acceso del recurso de datos completo al objeto al que se aplica la instrucción de directiva. Se ajusta al siguiente formato:
/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>
Formato data-asset-path de Azure Storage:
Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>
Azure SQL formato data-asset-path de base de datos:
Microsoft.Sql/servers/<server-name>
Asunto
Es una lista de las identidades de usuario final de Microsoft Entra ID a las que se aplica esta instrucción de directiva. Cada identidad puede ser una entidad de servicio, un usuario individual, un grupo o una identidad de servicio administrada (MSI).
Ejemplo
Permitir lectura en el recurso de datos: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData para agrupar Finance-analyst
En la instrucción de directiva anterior, el efecto es Permitir, la acción es Lectura, el recurso de datos es FinData del contenedor de Azure Storage y el asunto es Microsoft Entra grupo Finance-analyst. Si algún usuario que pertenece a este grupo intenta leer datos del contenedor de almacenamiento FinData, se permitirá la solicitud.
Aplicación jerárquica de directivas
El recurso de datos especificado en una instrucción de directiva es jerárquico de forma predeterminada. Esto significa que la instrucción de directiva se aplica al propio objeto de datos y a todos los objetos secundarios contenidos en el objeto de datos. Por ejemplo, una instrucción de directiva en el contenedor de Azure Storage se aplica a todos los blobs incluidos en él.
Algoritmo de combinación de directivas
Un origen de datos combina todas las directivas locales aplicables con todas las directivas de Microsoft Purview y proporciona una decisión consolidada cuando un usuario intenta acceder a un recurso. La estrategia de combinación elige la directiva más restrictiva.
Por ejemplo, supongamos que hay dos directivas diferentes en un contenedor de Azure Storage , FinData , como se indica a continuación,
Directiva 1: permitir la lectura en el recurso de datos /subscription/..../containers/FinData para agrupar Finance-analyst
Directiva 2: Denegar la lectura en el recurso de datos /subscription/..../containers/FinData para agrupar a los contratistas financieros
A continuación, supongamos que el usuario "user1", que forma parte de dos grupos: Finance-analyst y Finance-contractors, ejecuta una llamada a la API de lectura de blobs. Dado que ambas directivas serán aplicables, Azure Storage elegirá la más restrictiva, que es Denegar de lectura. Por lo tanto, se denegará la solicitud de acceso.
Publicación de directivas
Existe una directiva recién creada en el estado de modo borrador, solo visible en Microsoft Purview. El acto de publicación inicia la aplicación de una directiva en los sistemas de datos especificados. Se trata de una acción asincrónica que puede tardar entre 5 minutos y 2 horas en ser efectiva, en función del tipo de origen de datos. Para obtener más información, consulte las guías de procedimientos de directivas de propietario de datos relacionadas con cada tipo de origen de datos.
Una directiva publicada en un origen de datos podría contener instrucciones de directiva que hacen referencia a un origen de datos diferente. Estas referencias se omitirán, ya que el recurso en cuestión no existe en el origen de datos donde se aplica la directiva.
Pasos siguientes
Consulte las guías sobre cómo crear directivas en Microsoft Purview que se aplican en sistemas de datos específicos. Más allá de la interfaz de usuario, ahora puede probar la API de directivas de propietario de datos.
- Documento: Habilitación de la aplicación de directivas para un origen de datos
- Documento: Aprovisionamiento del acceso a los conjuntos de datos de Azure Storage
- Documento: Aprovisionamiento del acceso a todos los orígenes de datos de una suscripción o un grupo de recursos
- Documento: Aprovisionamiento del acceso a los recursos de Azure SQL Database
- Documento: Aprovisionamiento del acceso a los recursos de SQL Server 2022 (habilitado para Arc)
- Blog: Conceder a los usuarios acceso a los recursos de datos de la empresa a través de la API