Crear, enumerar, actualizar y eliminar directivas de Microsoft Purview DevOps
Las directivas de DevOps son un tipo de directivas de acceso de Microsoft Purview. Puede usarlos para administrar el acceso a los metadatos del sistema en los orígenes de datos que se han registrado para la aplicación de directivas de datos en Microsoft Purview.
Puede configurar directivas de DevOps directamente desde el portal de gobernanza de Microsoft Purview. Una vez guardados, el origen de datos los publica automáticamente y, a continuación, los aplica. Las directivas de Microsoft Purview solo administran el acceso para Microsoft Entra entidades de seguridad.
En esta guía se describen los pasos de configuración de Microsoft Purview para aprovisionar el acceso a los metadatos del sistema de base de datos mediante las acciones de directiva de DevOps para los roles sql Monitor de rendimiento y auditor de seguridad de SQL. Muestra cómo crear, enumerar, actualizar y eliminar directivas de DevOps.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta de forma gratuita.
Una cuenta de Microsoft Purview nueva o existente. Siga esta guía de inicio rápido para crear una.
Configuración
Antes de crear directivas en el portal de directivas de Microsoft Purview, debe configurar los orígenes de datos para que puedan aplicar esas directivas:
- Siga los requisitos previos específicos de la directiva para el origen. Compruebe la tabla de orígenes de datos compatibles con Microsoft Purview y seleccione el vínculo de la columna Directiva de acceso para los orígenes donde están disponibles las directivas de acceso. Siga los pasos enumerados en las secciones "Directiva de acceso" y "Requisitos previos".
- Registre el origen de datos en Microsoft Purview. Siga las secciones "Requisitos previos" y "Registrar" de las páginas de origen de los recursos.
- Active el botón de alternancia Cumplimiento de directivas de datos en el registro del origen de datos. Para obtener más información, incluidos los permisos adicionales que necesita para este paso, consulte Habilitación de la aplicación de directivas de datos en los orígenes de Microsoft Purview.
Creación de una nueva directiva de DevOps
Para crear una directiva de DevOps, asegúrese primero de que tiene el rol Autor de directivas de Microsoft Purview en el nivel de colección raíz. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:
Inicie sesión en el portal de gobernanza de Microsoft Purview.
En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.
Seleccione el botón Nueva directiva .
Se abre el panel de detalles de la directiva.
En Tipo de origen de datos, seleccione un origen de datos. En Nombre del origen de datos, seleccione uno de los orígenes de datos enumerados. A continuación, haga clic en Seleccionar para volver al panel Nueva directiva .
Seleccione uno de los dos roles: Supervisión del rendimiento o Auditoría de seguridad. A continuación, seleccione Agregar o quitar asuntos para abrir el panel Asunto .
En el cuadro Seleccionar asuntos, escriba el nombre de una entidad de seguridad de Microsoft Entra (usuario, grupo o entidad de servicio). Se admiten grupos de Microsoft 365, pero las actualizaciones de la pertenencia a grupos tardan hasta una hora en reflejarse en Microsoft Entra ID. Siga agregando o quitando asuntos hasta que esté satisfecho y, a continuación, seleccione Guardar.
Seleccione Guardar para guardar la directiva. La directiva se publica automáticamente. La aplicación comienza en el origen de datos en un plazo de cinco minutos.
Enumerar directivas de DevOps
Para enumerar las directivas de DevOps, primero asegúrese de que tiene uno de los siguientes roles de Microsoft Purview en el nivel de recopilación raíz: Autor de directivas, Administración de origen de datos, Conservador de datos o Lector de datos. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:
Inicie sesión en el portal de gobernanza de Microsoft Purview.
En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.
En el panel Directivas de DevOps se enumeran las directivas que se han creado.
Actualización de una directiva de DevOps
Para actualizar una directiva de DevOps, primero asegúrese de que tiene el rol Autor de directivas de Microsoft Purview en el nivel de colección raíz. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:
Inicie sesión en el portal de gobernanza de Microsoft Purview.
En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.
En el panel Directivas de DevOps , abra los detalles de la directiva para una de las directivas seleccionándola en su ruta de acceso de recursos de datos.
En el panel de detalles de directiva, seleccione Editar.
Realice los cambios y, a continuación, seleccione Guardar.
Eliminación de una directiva de DevOps
Para eliminar una directiva de DevOps, primero asegúrese de que tiene el rol Autor de directivas de Microsoft Purview en el nivel de colección raíz. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:
Inicie sesión en el portal de gobernanza de Microsoft Purview.
En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.
Active la casilla de una de las directivas y, a continuación, seleccione Eliminar.
Prueba de la directiva de DevOps
Después de crear una directiva, cualquiera de los Microsoft Entra usuarios seleccionados como sujetos ahora puede conectarse a los orígenes de datos en el ámbito de la directiva. Para probar, use SQL Server Management Studio (SSMS) o cualquier cliente SQL e intente consultar algunas vistas de administración dinámica (DMV) y funciones de administración dinámica (DMF). En las secciones siguientes se enumeran algunos ejemplos. Para obtener más ejemplos, consulte la asignación de DMV y DMF populares en ¿Qué puedo lograr con las directivas de DevOps de Microsoft Purview?.
Si necesita más solución de problemas, consulte la sección Pasos siguientes de esta guía.
Prueba del acceso de SQL Monitor de rendimiento
Si proporcionó los asuntos de la directiva para el rol sql Monitor de rendimiento, puede emitir los siguientes comandos:
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
Prueba del acceso del auditor de seguridad de SQL
Si proporcionó los asuntos de la directiva para el rol auditor de seguridad de SQL, puede emitir los siguientes comandos desde SSMS o cualquier cliente SQL:
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
Asegurarse de que no hay acceso a los datos del usuario
Intente acceder a una tabla de una de las bases de datos mediante el siguiente comando:
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
Se debe denegar la entidad de seguridad Microsoft Entra con la que está realizando pruebas, lo que significa que los datos están protegidos contra amenazas internas.
Detalles de definición de roles
En la tabla siguiente se asignan los roles de directiva de datos de Microsoft Purview a acciones específicas en orígenes de datos SQL.
| Rol de directiva de Microsoft Purview | Acciones en orígenes de datos |
|---|---|
| SQL Monitor de rendimiento | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
| Auditor de seguridad de SQL | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
Pasos siguientes
Consulte los siguientes blogs, vídeos y artículos relacionados:
- Blog: Las directivas de Microsoft Purview DevOps para Azure SQL Database ya están disponibles con carácter general
- Blog: Solución económica para administrar el acceso al estado, el rendimiento y la información de seguridad de SQL
- Blog: Las directivas de DevOps de Microsoft Purview habilitan el aprovisionamiento de acceso a escala para las operaciones de TI
- Blog: La API de directivas de DevOps de Microsoft Purview ya es pública
- Vídeo: Requisito previo para las directivas: la opción "Cumplimiento de directivas de datos"
- Vídeo: Introducción rápida a las directivas de DevOps
- Vídeo: Análisis detallado de las directivas de DevOps
- Artículo: Guía de concepto de directivas de DevOps de Microsoft Purview
- Artículo: Directivas de DevOps de Microsoft Purview en SQL Server habilitadas para Azure Arc
- Artículo: Directivas de DevOps de Microsoft Purview en Azure SQL Database
- Artículo: Directivas de DevOps de Microsoft Purview en grupos de recursos completos o suscripciones
- Artículo: Solución de problemas de directivas de Microsoft Purview para orígenes de datos SQL