Aprovisionamiento del acceso de lectura a SQL Server 2022 habilitado para Azure Arc mediante directivas de propietario de datos de Microsoft Purview (versión preliminar)
Importante
Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, en versión preliminar o que aún no se han publicado en disponibilidad general.
Las directivas de propietario de datos son un tipo de directivas de acceso de Microsoft Purview. Permiten administrar el acceso a los datos de usuario en los orígenes que se han registrado para la aplicación de directivas de datos en Microsoft Purview. Estas directivas se pueden crear directamente en el portal de gobernanza de Microsoft Purview y, después de publicarlas, el origen de datos las aplica.
En esta guía se explica cómo un propietario de datos puede delegar directivas de creación en Microsoft Purview para habilitar el acceso a SQL Server habilitadas para Azure Arc. Las siguientes acciones están habilitadas actualmente: Lectura. Esta acción solo se admite para las directivas en el nivel de servidor. No se admite modificar en este momento.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta de forma gratuita.
Una cuenta de Microsoft Purview nueva o existente. Siga esta guía de inicio rápido para crear una.
- Obtenga SQL Server versión local 2022 e instálelo. Las versiones 2022 o más recientes se admiten en Windows y Linux. Puede probar la edición gratuita Developer.
- Configure los permisos y, a continuación, registre una lista de proveedores de recursos en la suscripción que usará para incorporar la instancia de SQL Server a Azure Arc.
- Complete los requisitos previos e incorpore la instancia de SQL Server con Azure Arc. Una configuración sencilla para Windows SQL Server está aquí. Una configuración alternativa para linux SQL Server está aquí.
- Habilite la autenticación Microsoft Entra en SQL Server. Para una configuración más sencilla, complete los requisitos previos y el proceso descritos en este artículo.
- No olvide conceder permisos de aplicación y conceder consentimiento de administrador
- Debe configurar un administrador de Microsoft Entra para la instancia de SQL Server, pero no es necesario configurar otros inicios de sesión o usuarios de Microsoft Entra. Concederá acceso a esos usuarios mediante directivas de Microsoft Purview.
Compatibilidad con regiones
La aplicación de directivas de datos está disponible en todas las regiones de Microsoft Purview, excepto:
- Oeste de EE. UU. 2
- Asia Oriental
- Gobierno de EE. UU. de Virginia
- Norte de China 3
Consideraciones de seguridad para los SQL Server habilitados para Azure Arc
- El administrador del servidor puede desactivar la aplicación de directivas de Microsoft Purview.
- Los permisos de administrador y administrador de servidor de Azure Arc proporcionan la capacidad de cambiar la ruta de acceso de Azure Resource Manager del servidor. Dado que las asignaciones de Microsoft Purview usan rutas de acceso Resource Manager, puede dar lugar a una aplicación de directivas incorrecta.
- Un administrador de SQL Server (administrador de base de datos) puede obtener el poder de un administrador de servidor y puede alterar las directivas almacenadas en caché de Microsoft Purview.
- La configuración recomendada es crear un registro de aplicación independiente para cada instancia de SQL Server. Esta configuración impide que la segunda instancia de SQL Server lea las directivas destinadas a la primera instancia de SQL Server, en caso de que un administrador no autorizado en la segunda instancia de SQL Server altere la ruta de acceso de Resource Manager.
Comprobación de los requisitos previos
Inicie sesión en el Azure Portal a través de este vínculo.
Vaya a servidores SQL Server en el panel izquierdo. Verá una lista de instancias de SQL Server en Azure Arc.
Seleccione la instancia de SQL Server que desea configurar.
Vaya a Microsoft Entra ID en el panel izquierdo.
Asegúrese de que Microsoft Entra autenticación esté configurada con un inicio de sesión de administrador. Si no es así, consulte la sección de requisitos previos de la directiva de acceso de esta guía.
Asegúrese de que se ha proporcionado un certificado a para que SQL Server se autentique en Azure. Si no es así, consulte la sección de requisitos previos de la directiva de acceso de esta guía.
Asegúrese de que se ha especificado un registro de aplicación para crear una relación de confianza entre SQL Server y Microsoft Entra ID. Si no es así, consulte la sección de requisitos previos de la directiva de acceso de esta guía.
Si ha realizado algún cambio, seleccione el botón Guardar para guardar la configuración y espere a que la operación se complete correctamente. Esto podría tardar unos minutos. El mensaje "Guardado correctamente" se mostrará en la parte superior de la página en fondo verde. Es posible que tenga que desplazarse hacia arriba para verlo.
Configuración de Microsoft Purview
Registro del origen de datos en Microsoft Purview
Para poder crear una directiva en Microsoft Purview para un recurso de datos, debe registrar ese recurso de datos en Microsoft Purview Studio. Encontrará las instrucciones relacionadas con el registro del recurso de datos más adelante en esta guía.
Nota:
Las directivas de Microsoft Purview se basan en la ruta de acceso de ARM del recurso de datos. Si un recurso de datos se mueve a un nuevo grupo de recursos o una suscripción, deberá anular su registro y volver a registrarse en Microsoft Purview.
Configuración de permisos para habilitar la aplicación de directivas de datos en el origen de datos
Una vez registrado un recurso, pero antes de que se pueda crear una directiva en Microsoft Purview para ese recurso, debe configurar los permisos. Se necesita un conjunto de permisos para habilitar la aplicación de directivas de datos. Esto se aplica a orígenes de datos, grupos de recursos o suscripciones. Para habilitar la aplicación de directivas de datos, debe tener privilegios específicos de Administración de identidades y acceso (IAM) en el recurso, así como privilegios específicos de Microsoft Purview:
Debe tener una de las siguientes combinaciones de roles de IAM en la ruta de acceso de Azure Resource Manager del recurso o en cualquier elemento primario del mismo (es decir, mediante la herencia de permisos de IAM):
- Propietario de IAM
- Colaborador de IAM y administrador de acceso de usuarios de IAM
Para configurar permisos de control de acceso basado en rol (RBAC) de Azure, siga esta guía. En la captura de pantalla siguiente se muestra cómo acceder a la sección Access Control de la Azure Portal para que el recurso de datos agregue una asignación de roles.
Nota:
El rol Propietario de IAM para un recurso de datos se puede heredar de un grupo de recursos primario, una suscripción o un grupo de administración de suscripciones. Compruebe qué Microsoft Entra usuarios, grupos y entidades de servicio contienen o heredan el rol propietario de IAM para el recurso.
También debe tener el rol de administrador de origen de datos de Microsoft Purview para la colección o una colección primaria (si la herencia está habilitada). Para obtener más información, consulte la guía sobre la administración de asignaciones de roles de Microsoft Purview.
En la captura de pantalla siguiente se muestra cómo asignar el rol de administrador de origen de datos en el nivel de colección raíz.
Configuración de permisos de Microsoft Purview para crear, actualizar o eliminar directivas de acceso
Para crear, actualizar o eliminar directivas, debe obtener el rol de autor de directivas en Microsoft Purview en el nivel de colección raíz:
- El rol de autor de directivas puede crear, actualizar y eliminar directivas de DevOps y propietario de datos.
- El rol de autor de directivas puede eliminar directivas de acceso de autoservicio.
Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.
Nota:
El rol de autor de directiva debe configurarse en el nivel de colección raíz.
Además, para buscar fácilmente Microsoft Entra usuarios o grupos al crear o actualizar el asunto de una directiva, puede beneficiarse en gran medida de obtener el permiso Lectores de directorio en Microsoft Entra ID. Se trata de un permiso común para los usuarios de un inquilino de Azure. Sin el permiso Lector de directorios, el autor de la directiva tendrá que escribir el nombre de usuario completo o el correo electrónico de todas las entidades de seguridad incluidas en el asunto de una directiva de datos.
Configuración de permisos de Microsoft Purview para publicar directivas de propietario de datos
Las directivas de propietario de datos permiten comprobaciones y saldos si asigna los roles de autor de directiva de Microsoft Purview y Administrador de origen de datos a diferentes personas de la organización. Antes de que se aplique una directiva de propietario de datos, una segunda persona (administrador del origen de datos) debe revisarla y aprobarla explícitamente publicándola. Esto no se aplica a las directivas de acceso de DevOps o autoservicio, ya que la publicación es automática para ellas cuando se crean o actualizan esas directivas.
Para publicar una directiva de propietario de datos, debe obtener el rol Administrador del origen de datos en Microsoft Purview en el nivel de recopilación raíz.
Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.
Nota:
Para publicar directivas de propietario de datos, el rol de administrador del origen de datos debe configurarse en el nivel de recopilación raíz.
Delegar la responsabilidad de aprovisionamiento de acceso a roles en Microsoft Purview
Una vez habilitado un recurso para la aplicación de directivas de datos, cualquier usuario de Microsoft Purview con el rol De autor de directivas en el nivel de recopilación raíz puede aprovisionar el acceso a ese origen de datos desde Microsoft Purview.
Nota:
Cualquier administrador de colección raíz de Microsoft Purview puede asignar nuevos usuarios a roles de autor de directiva raíz. Cualquier administrador de recopilación puede asignar nuevos usuarios a un rol de administrador de origen de datos en la colección. Minimice y examine cuidadosamente a los usuarios que tienen roles de administrador de Microsoft Purview Collection, administrador de origen de datos o autor de directivas .
Si se elimina una cuenta de Microsoft Purview con directivas publicadas, dichas directivas dejarán de aplicarse en un período de tiempo que depende del origen de datos específico. Este cambio puede tener implicaciones en la disponibilidad de acceso a datos y seguridad. Los roles Colaborador y Propietario de IAM pueden eliminar cuentas de Microsoft Purview. Para comprobar estos permisos, vaya a la sección Control de acceso (IAM) de su cuenta de Microsoft Purview y seleccione Asignaciones de roles. También puede usar un bloqueo para evitar que la cuenta de Microsoft Purview se elimine mediante bloqueos de Resource Manager.
Registro de orígenes de datos en Microsoft Purview
Registre cada origen de datos con Microsoft Purview para definir más adelante las directivas de acceso.
Inicie sesión en Microsoft Purview Studio.
Vaya a la característica Mapa de datos en el panel izquierdo, seleccione Orígenes y, a continuación, seleccione Registrar. Escriba "Azure Arc" en el cuadro de búsqueda y seleccione SQL Server en Azure Arc. A continuación, seleccione Continuar.
Escriba un nombre para este registro. Se recomienda hacer que el nombre del registro sea el mismo que el nombre del servidor en el paso siguiente.
Seleccione una suscripción de Azure, un nombre de servidor y un punto de conexión de servidor.
Seleccione una colección en la que colocar este registro.
Habilitar el cumplimiento de directivas de datos. La aplicación de directivas de datos necesita ciertos permisos y puede afectar a la seguridad de los datos, ya que delega a determinados roles de Microsoft Purview para administrar el acceso a los orígenes de datos. Consulte las prácticas seguras relacionadas con el cumplimiento de directivas de datos en esta guía: Habilitación del cumplimiento de directivas de datos
Seleccione Registrar o Aplicar en la parte inferior.
Una vez que el origen de datos tenga habilitado el botón de alternancia Cumplimiento de directivas de datos, tendrá un aspecto similar al de esta imagen.
Habilitación de directivas en SQL Server habilitadas para Azure Arc
En esta sección se describen los pasos para configurar SQL Server en Azure Arc para usar Microsoft Purview. Ejecute estos pasos después de habilitar la opción Cumplimiento de directivas de datos para este origen de datos en la cuenta de Microsoft Purview.
Inicie sesión en el Azure Portal a través de este vínculo.
Vaya a servidores SQL Server en el panel izquierdo. Verá una lista de instancias de SQL Server en Azure Arc.
Seleccione la instancia de SQL Server que desea configurar.
Vaya a Microsoft Entra ID en el panel izquierdo.
Desplácese hacia abajo hasta Directivas de acceso de Microsoft Purview.
Seleccione el botón Para comprobar la gobernanza de Microsoft Purview. Espere mientras se procesa la solicitud. Mientras eso sucede, este mensaje se mostrará en la parte superior de la página. Es posible que tenga que desplazarse hacia arriba para verlo.
En la parte inferior de la página, confirme que estado de gobernanza de Microsoft Purview muestra
Governed
. Tenga en cuenta que el estado correcto puede tardar hasta 30 minutos en reflejarse. Continúe realizando una actualización del explorador hasta que esto ocurra.Confirme que el punto de conexión de Microsoft Purview apunta a la cuenta de Microsoft Purview donde registró este origen de datos y ha habilitado la aplicación de la directiva de datos.
Creación y publicación de una directiva de propietario de datos
Ejecute los pasos descritos en las secciones Crear una nueva directiva y Publicar una directiva del tutorial de creación de directivas de propietario de datos. El resultado será una directiva de propietario de datos similar al ejemplo:
Ejemplo: Leer directiva. Esta directiva asigna la entidad de seguridad de Microsoft Entra "sg-Finance" a la acción lector de datos SQL, en el ámbito de SQL Server DESKTOP-xxx. Esta directiva también se ha publicado en ese servidor. Tenga en cuenta que las directivas relacionadas con esta acción no se admiten por debajo del nivel de servidor.
Nota:
- Dado que el examen no está disponible actualmente para este origen de datos, las directivas de lector de datos solo se pueden crear en el nivel de servidor. Use el cuadro Orígenes de datos en lugar del cuadro Recurso al crear la parte de recursos de datos de la directiva.
- Hay un problema conocido con SQL Server Management Studio que impide hacer clic con el botón derecho en una tabla y elegir la opción "Seleccionar las 1000 filas principales".
Importante
- Publicar es una operación en segundo plano. Los cambios pueden tardar hasta 5 minutos en reflejarse en este origen de datos.
- Cambiar una directiva no requiere una nueva operación de publicación. Los cambios se recogerán con la siguiente extracción.
Anular publicación de una directiva de propietario de datos
Siga este vínculo para ver los pasos para anular la publicación de una directiva de propietario de datos en Microsoft Purview.
Actualización o eliminación de una directiva de propietario de datos
Siga este vínculo para ver los pasos para actualizar o eliminar una directiva de propietario de datos en Microsoft Purview.
Prueba de la directiva
Una vez publicada la directiva y comunicada al origen de datos, cualquiera de los Microsoft Entra usuarios del sujeto debe poder conectarse y ejecutar una consulta destinada a los recursos a los que la directiva concedió acceso. Para probar, use SSMS o cualquier cliente SQL e intente realizar consultas. Por ejemplo, intente acceder a una tabla SQL a la que ha proporcionado acceso de lectura.
Si necesita solución de problemas adicional, consulte la sección Pasos siguientes de esta guía.
Detalles de definición de roles
Esta sección contiene una referencia de cómo los roles de directiva de datos de Microsoft Purview pertinentes se asignan a acciones específicas en orígenes de datos SQL.
Definición de roles de directiva de Microsoft Purview | Acciones específicas del origen de datos |
---|---|
Read | Microsoft.Sql/sqlservers/Connect |
Microsoft.Sql/sqlservers/databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
Pasos siguientes
Consulte el blog, la demostración y las guías de procedimientos relacionadas
- Documento: Conceptos de las directivas de propietario de datos de Microsoft Purview
- Doc: Directivas de propietario de datos de Microsoft Purview en todos los orígenes de datos de una suscripción o un grupo de recursos
- Doc: Directivas de propietario de datos de Microsoft Purview en una base de datos de Azure SQL
- Documento: Solución de problemas de directivas de Microsoft Purview para orígenes de datos SQL
- Blog: Conceder a los usuarios acceso a los recursos de datos de la empresa a través de la API