Directivas de autoservicio para Azure SQL Database (versión preliminar)
Importante
Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, en versión preliminar o que aún no se han publicado en disponibilidad general.
Las directivas de autoservicio le permiten administrar el acceso desde Microsoft Purview a los orígenes de datos que se han registrado para la aplicación de directivas de datos.
En esta guía paso a paso se describe cómo se crean directivas de autoservicio en Microsoft Purview para habilitar el acceso a Azure SQL Database. Las siguientes acciones están habilitadas actualmente: Leer tablas y Leer vistas.
Precaución
El encadenamiento de propiedad debe existir para que la selección funcione en Azure SQL vistas de base de datos.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta de forma gratuita.
Una cuenta de Microsoft Purview nueva o existente. Siga esta guía de inicio rápido para crear una.
- Cree una nueva instancia de Azure SQL Database o use una existente en una de las regiones disponibles actualmente para esta característica. Puede seguir esta guía para crear una instancia de Azure SQL Database.
Compatibilidad con regiones
Se admiten todas las regiones de Microsoft Purview .
La aplicación de directivas de Microsoft Purview solo está disponible en las siguientes regiones para Azure SQL Database:
Nube pública:
- Este de EE. UU.
- Este de EE. UU. 2
- Centro y Sur de EE. UU.
- Centro oeste de EE. UU.
- Oeste de EE. UU. 3
- Centro de Canadá
- Sur de Brasil
- Oeste de Europa
- Norte de Europa
- Centro de Francia
- Sur de Reino Unido
- Norte de Sudáfrica
- Centro de India
- Sudeste asiático
- Asia Oriental
- Este de Australia
Nubes soberanas:
- USGov Virginia
- Norte de China 3
Configuración de la instancia de Azure SQL Database para las directivas de Microsoft Purview
Para que el servidor lógico asociado a Azure SQL Database respete las directivas de Microsoft Purview, debe configurar un administrador de Microsoft Entra. En el Azure Portal, vaya al servidor lógico que hospeda la instancia de Azure SQL Database. En el menú lateral, seleccione Microsoft Entra ID. Establezca un nombre de administrador en cualquier usuario o grupo Microsoft Entra que prefiera y, a continuación, seleccione Guardar.
A continuación, en el menú lateral, seleccione Identidad. En Identidad administrada asignada por el sistema, active el estado y seleccioneGuardar.
Configuración de Microsoft Purview
Registro del origen de datos en Microsoft Purview
Para poder crear una directiva en Microsoft Purview para un recurso de datos, debe registrar ese recurso de datos en Microsoft Purview Studio. Encontrará las instrucciones relacionadas con el registro del recurso de datos más adelante en esta guía.
Nota:
Las directivas de Microsoft Purview se basan en la ruta de acceso de ARM del recurso de datos. Si un recurso de datos se mueve a un nuevo grupo de recursos o una suscripción, deberá anular su registro y volver a registrarse en Microsoft Purview.
Configuración de permisos para habilitar la aplicación de directivas de datos en el origen de datos
Una vez registrado un recurso, pero antes de que se pueda crear una directiva en Microsoft Purview para ese recurso, debe configurar los permisos. Se necesita un conjunto de permisos para habilitar la aplicación de directivas de datos. Esto se aplica a orígenes de datos, grupos de recursos o suscripciones. Para habilitar la aplicación de directivas de datos, debe tener privilegios específicos de Administración de identidades y acceso (IAM) en el recurso, así como privilegios específicos de Microsoft Purview:
Debe tener una de las siguientes combinaciones de roles de IAM en la ruta de acceso de Azure Resource Manager del recurso o en cualquier elemento primario del mismo (es decir, mediante la herencia de permisos de IAM):
- Propietario de IAM
- Colaborador de IAM y administrador de acceso de usuarios de IAM
Para configurar permisos de control de acceso basado en rol (RBAC) de Azure, siga esta guía. En la captura de pantalla siguiente se muestra cómo acceder a la sección Access Control de la Azure Portal para que el recurso de datos agregue una asignación de roles.
Nota:
El rol Propietario de IAM para un recurso de datos se puede heredar de un grupo de recursos primario, una suscripción o un grupo de administración de suscripciones. Compruebe qué Microsoft Entra usuarios, grupos y entidades de servicio contienen o heredan el rol propietario de IAM para el recurso.
También debe tener el rol de administrador de origen de datos de Microsoft Purview para la colección o una colección primaria (si la herencia está habilitada). Para obtener más información, consulte la guía sobre la administración de asignaciones de roles de Microsoft Purview.
En la captura de pantalla siguiente se muestra cómo asignar el rol de administrador de origen de datos en el nivel de colección raíz.
Configuración de permisos de Microsoft Purview para crear, actualizar o eliminar directivas de acceso
Para crear, actualizar o eliminar directivas, debe obtener el rol de autor de directivas en Microsoft Purview en el nivel de colección raíz:
- El rol de autor de directivas puede crear, actualizar y eliminar directivas de DevOps y propietario de datos.
- El rol de autor de directivas puede eliminar directivas de acceso de autoservicio.
Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.
Nota:
El rol de autor de directiva debe configurarse en el nivel de colección raíz.
Además, para buscar fácilmente Microsoft Entra usuarios o grupos al crear o actualizar el asunto de una directiva, puede beneficiarse en gran medida de obtener el permiso Lectores de directorio en Microsoft Entra ID. Se trata de un permiso común para los usuarios de un inquilino de Azure. Sin el permiso Lector de directorios, el autor de la directiva tendrá que escribir el nombre de usuario completo o el correo electrónico de todas las entidades de seguridad incluidas en el asunto de una directiva de datos.
Configuración de permisos de Microsoft Purview para publicar directivas de propietario de datos
Las directivas de propietario de datos permiten comprobaciones y saldos si asigna los roles de autor de directiva de Microsoft Purview y Administrador de origen de datos a diferentes personas de la organización. Antes de que se aplique una directiva de propietario de datos, una segunda persona (administrador del origen de datos) debe revisarla y aprobarla explícitamente publicándola. Esto no se aplica a las directivas de acceso de DevOps o autoservicio, ya que la publicación es automática para ellas cuando se crean o actualizan esas directivas.
Para publicar una directiva de propietario de datos, debe obtener el rol Administrador del origen de datos en Microsoft Purview en el nivel de recopilación raíz.
Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.
Nota:
Para publicar directivas de propietario de datos, el rol de administrador del origen de datos debe configurarse en el nivel de recopilación raíz.
Delegar la responsabilidad de aprovisionamiento de acceso a roles en Microsoft Purview
Una vez habilitado un recurso para la aplicación de directivas de datos, cualquier usuario de Microsoft Purview con el rol De autor de directivas en el nivel de recopilación raíz puede aprovisionar el acceso a ese origen de datos desde Microsoft Purview.
Nota:
Cualquier administrador de colección raíz de Microsoft Purview puede asignar nuevos usuarios a roles de autor de directiva raíz. Cualquier administrador de recopilación puede asignar nuevos usuarios a un rol de administrador de origen de datos en la colección. Minimice y examine cuidadosamente a los usuarios que tienen roles de administrador de Microsoft Purview Collection, administrador de origen de datos o autor de directivas .
Si se elimina una cuenta de Microsoft Purview con directivas publicadas, dichas directivas dejarán de aplicarse en un período de tiempo que depende del origen de datos específico. Este cambio puede tener implicaciones en la disponibilidad de acceso a datos y seguridad. Los roles Colaborador y Propietario de IAM pueden eliminar cuentas de Microsoft Purview. Para comprobar estos permisos, vaya a la sección Control de acceso (IAM) de su cuenta de Microsoft Purview y seleccione Asignaciones de roles. También puede usar un bloqueo para evitar que la cuenta de Microsoft Purview se elimine mediante bloqueos de Resource Manager.
Registro de los orígenes de datos en Microsoft Purview
Los recursos de Azure SQL Database deben registrarse primero en Microsoft Purview para definir posteriormente las directivas de acceso. Puede seguir estas guías:
Registro y examen Azure SQL base de datos
Después de registrar los recursos, deberá habilitar la aplicación de directivas de datos. La aplicación de directivas de datos puede afectar a la seguridad de los datos, ya que delega a determinados roles de Microsoft Purview para administrar el acceso a los orígenes de datos. Consulte las prácticas seguras relacionadas con la aplicación de directivas de datos en esta guía:
Habilitación de la aplicación de directivas de datos
Una vez que el origen de datos tenga habilitado el botón de alternancia Cumplimiento de directivas de datos, tendrá un aspecto similar al de esta imagen. Esto permitirá que las directivas de acceso se usen con el servidor SQL server especificado y todas sus bases de datos independientes.
Creación de una solicitud de acceso a datos de autoservicio
Para buscar un recurso de datos, use la funcionalidad de búsqueda o exploración de Microsoft Purview.
Seleccione el recurso para ir a los detalles del recurso.
Seleccione Solicitar acceso.
Nota:
Si esta opción no está disponible, no se ha creado un flujo de trabajo de acceso de autoservicio o no se ha asignado a la colección donde está registrado el recurso. Póngase en contacto con el administrador de recopilación, el administrador del origen de datos o el administrador de flujo de trabajo de la colección para obtener más información. O bien, para obtener información sobre cómo crear un flujo de trabajo de acceso de autoservicio, consulte nuestra documentación sobre el flujo de trabajo de acceso de autoservicio.
Se abrirá la ventana Solicitar acceso . Puede proporcionar comentarios sobre por qué se solicita el acceso a datos.
Seleccione Enviar para desencadenar el flujo de trabajo de acceso a datos de autoservicio.
Nota:
Si desea solicitar acceso en nombre de otro usuario, active la casilla Solicitar para otra persona y rellene el identificador de correo electrónico de ese usuario.
Nota:
Una solicitud de acceso al conjunto de recursos enviará realmente la solicitud de acceso a datos para la carpeta de un nivel superior que contiene todos estos archivos de conjunto de recursos.
Los propietarios de datos recibirán una notificación de su solicitud y aprobarán o rechazarán la solicitud.
Importante
- Publicar es una operación en segundo plano. Los cambios pueden tardar hasta 5 minutos en reflejarse en este origen de datos.
- Cambiar una directiva no requiere una nueva operación de publicación. Los cambios se recogerán con la siguiente extracción.
Ver una directiva de autoservicio
Para ver las directivas que ha creado, siga el artículo para ver las directivas de autoservicio.
Prueba de la directiva
La cuenta de Microsoft Entra, grupo, MSI o SPN para la que se crearon las directivas de autoservicio, ahora debería poder conectarse a la base de datos en el servidor y ejecutar una consulta selecta en la tabla o vista solicitadas.
Forzar descarga de directivas
Es posible forzar una descarga inmediata de las directivas publicadas más recientes en la base de datos SQL actual mediante la ejecución del siguiente comando. El permiso mínimo necesario para ejecutar el comando es la pertenencia al rol ##MS_ServerStateManager##-server.
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
Análisis del estado de la directiva descargado de SQL
Las siguientes DMV se pueden usar para analizar qué directivas se han descargado y están asignadas actualmente a cuentas de Microsoft Entra. El permiso mínimo necesario para ejecutarlos es VIEW DATABASE SECURITY STATE o el auditor de seguridad SQL del grupo de acciones asignado.
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
Información adicional
Asignación de acciones de directiva
Esta sección contiene una referencia de cómo las acciones de las directivas de datos de Microsoft Purview se asignan a acciones específicas en Azure SQL Database.
| Acción de directiva de Microsoft Purview | Acciones específicas del origen de datos |
|---|---|
| Read | Microsoft.Sql/sqlservers/Connect |
| Microsoft.Sql/sqlservers/databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
Pasos siguientes
Consulte el blog, la demostración y las guías de procedimientos relacionadas