Conexión y administración de áreas de trabajo de Azure Synapse Analytics en Microsoft Purview
En este artículo se describe cómo registrar áreas de trabajo de Azure Synapse Analytics. También describe cómo autenticar e interactuar con áreas de trabajo de Azure Synapse Analytics en Microsoft Purview. Para obtener más información sobre Microsoft Purview, lea el artículo introductorio.
Nota:
Hay grupos de SQL dedicados (anteriormente SQL DW) y grupos de SQL dedicados en Azure Synapse área de trabajo y puede hacer referencia a Cuál es la diferencia entre los grupos de SQL dedicados (SQL DW) y los grupos de SQL dedicados en Azure Synapse áreas de trabajo para ver la diferencia de detalles entre los dos. Actualmente, Microsoft Purview proporciona orígenes de datos independientes para grupos de SQL dedicados (anteriormente SQL DW) y grupos de SQL dedicados:
- Si desea registrar y examinar un grupo de SQL dedicado (anteriormente SQL DW), puede seguir las instrucciones de Conexión y administración de grupos de SQL dedicados en Microsoft Purview.
- Si desea registrar y examinar un grupo de SQL dedicado (anteriormente SQL DW) que ha habilitado Azure Synapse características del área de trabajo, como se documenta en Habilitación de características de área de trabajo de Azure Synapse para un grupo de SQL dedicado (anteriormente SQL DW), también puede seguir las instrucciones de Conexión y administración de áreas de trabajo de Azure Synapse Analytics en Microsoft Purview.
- Si desea registrar y examinar un grupo de SQL dedicado o un grupo de SQL sin servidor en Azure Synapse área de trabajo, debe seguir las instrucciones de Conexión y administración de áreas de trabajo de Azure Synapse Analytics en Microsoft Purview.
Funciones admitidas
Extracción de metadatos | Examen completo | Examen incremental | Examen con ámbito | Clasificación | Etiquetar | Directiva de acceso | Linaje | Compartir datos | Vista en directo |
---|---|---|---|---|---|---|---|---|---|
Sí | Sí | Sí | No | Sí | No | No | Sí: canalizaciones | No | No |
Actualmente, no se admiten las bases de datos de lago de Azure Synapse Analytics.
En el caso de las tablas externas, Azure Synapse Analytics no captura actualmente la relación de esas tablas con sus archivos originales.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta de forma gratuita.
Una cuenta de Microsoft Purview activa.
Permisos de administrador y lector de datos del origen de datos para registrar un origen y administrarlo en el portal de gobernanza de Microsoft Purview. Para obtener más información, consulte Control de acceso en el portal de gobernanza de Microsoft Purview.
Registrarse
En el procedimiento siguiente se describe cómo registrar áreas de trabajo de Azure Synapse Analytics en Microsoft Purview mediante el portal de gobernanza de Microsoft Purview.
Solo un usuario que tenga al menos un rol de lector de datos en el área de trabajo de Azure Synapse Analytics y que también sea administrador de origen de datos en Microsoft Purview puede registrar un área de trabajo de Azure Synapse Analytics.
Abra el portal de gobernanza de Microsoft Purview y seleccione su cuenta de Microsoft Purview.
Como alternativa, vaya al Azure Portal, busque y seleccione la cuenta de Microsoft Purview y, a continuación, seleccione el botón Portal de gobernanza de Microsoft Purview.
En el panel izquierdo, seleccione Orígenes.
Seleccione Registrar.
En Registrar orígenes, seleccione Azure Synapse Analytics (varios)..
Seleccione Continuar.
En la página Registrar orígenes (Azure Synapse Analytics), haga lo siguiente:
En Nombre, escriba un nombre para que el origen de datos aparezca en Catálogo unificado de Microsoft Purview.
Opcionalmente, para la suscripción de Azure, elija una suscripción a la que filtrar.
En Nombre del área de trabajo, seleccione el área de trabajo con la que está trabajando.
Los cuadros de los puntos de conexión de SQL se rellenan automáticamente en función de la selección del área de trabajo.
Seleccione una colección de la lista.
Seleccione Registrar para finalizar el registro del origen de datos.
Examinar
Siga estos pasos para examinar Azure Synapse áreas de trabajo de Analytics para identificar automáticamente los recursos y clasificar los datos. Para obtener más información sobre el examen en general, consulte Exámenes e ingesta en Microsoft Purview.
- Configure la autenticación para enumerar los recursos dedicados o sin servidor . Este paso permitirá a Microsoft Purview enumerar los recursos del área de trabajo y realizar exámenes.
- Aplique permisos para examinar el contenido del área de trabajo.
- Confirme que la red está configurada para permitir el acceso a Microsoft Purview.
Autenticación de enumeración
Use los procedimientos siguientes para configurar la autenticación. Debe ser propietario o administrador de acceso de usuario para agregar los roles especificados.
Autenticación para enumerar recursos de base de datos SQL dedicados
- En el Azure Portal, vaya al recurso del área de trabajo de Azure Synapse Analytics.
- En el panel izquierdo, seleccione Access Control (IAM).
- Seleccione el botón Agregar.
- Establezca el rol Lector y escriba el nombre de la cuenta de Microsoft Purview, que representa su identidad de servicio administrada (MSI).
- Seleccione Guardar para terminar de asignar el rol.
Si desea examinar un grupo de SQL dedicado (anteriormente SQL DW) que ha habilitado Azure Synapse características del área de trabajo, como se documenta en Habilitación de características de área de trabajo de Azure Synapse para un grupo de SQL dedicado (anteriormente SQL DW), estos son los pasos de configuración adicionales necesarios para el grupo de SQL dedicado (anteriormente SQL DW):
- En el Azure Portal, vaya al recurso de SQL Server asociado al grupo de SQL dedicado (anteriormente SQL DW).
- En el panel izquierdo, seleccione Access Control (IAM).
- Seleccione el botón Agregar.
- Establezca el rol Lector y escriba el nombre de la cuenta de Microsoft Purview, que representa su identidad de servicio administrada (MSI).
- Seleccione Guardar para terminar de asignar el rol.
Nota:
Si tiene previsto registrar y examinar varias áreas de trabajo de Azure Synapse Analytics en su cuenta de Microsoft Purview, también puede asignar el rol desde un nivel superior, como un grupo de recursos o una suscripción.
Autenticación para enumerar recursos de base de datos SQL sin servidor
Hay tres lugares en los que debe establecer la autenticación para permitir que Microsoft Purview enumere los recursos de base de datos SQL sin servidor.
Para establecer la autenticación para el área de trabajo de Azure Synapse Analytics:
- En el Azure Portal, vaya al recurso del área de trabajo de Azure Synapse Analytics.
- En el panel izquierdo, seleccione Access Control (IAM).
- Seleccione el botón Agregar.
- Establezca el rol Lector y escriba el nombre de la cuenta de Microsoft Purview, que representa su MSI.
- Seleccione Guardar para terminar de asignar el rol.
Para establecer la autenticación para la cuenta de almacenamiento:
- En el Azure Portal, vaya al grupo de recursos o la suscripción que contiene la cuenta de almacenamiento asociada al área de trabajo de Azure Synapse Analytics.
- En el panel izquierdo, seleccione Access Control (IAM).
- Seleccione el botón Agregar.
- Establezca el rol lector de datos storage blob y escriba el nombre de la cuenta de Microsoft Purview (que representa su MSI) en el cuadro Seleccionar .
- Seleccione Guardar para terminar de asignar el rol.
Para establecer la autenticación para la base de datos sin servidor de Azure Synapse Analytics:
Vaya al área de trabajo de Azure Synapse Analytics y abra Synapse Studio.
En el panel izquierdo, seleccione Datos.
Seleccione los puntos suspensivos (...) junto a una de las bases de datos y, a continuación, inicie un nuevo script SQL.
Ejecute el siguiente comando en el script SQL para agregar el MSI de la cuenta de Microsoft Purview (representada por el nombre de cuenta) en las bases de datos SQL sin servidor:
CREATE LOGIN [PurviewAccountName] FROM EXTERNAL PROVIDER;
Aplicar permisos para examinar el contenido del área de trabajo
Debe configurar la autenticación en cada base de datos SQL que quiera registrar y examinar desde el área de trabajo de Azure Synapse Analytics. Seleccione en los siguientes escenarios los pasos para aplicar permisos.
Importante
Los pasos siguientes para las bases de datos sin servidor no se aplican a las bases de datos replicadas. En Azure Synapse Analytics, las bases de datos sin servidor que se replican desde bases de datos de Spark son actualmente de solo lectura. Para obtener más información, vea Operación no permitida para una base de datos replicada.
Uso de una identidad administrada para bases de datos SQL dedicadas
Importante
Si usa un entorno de ejecución de integración autohospedado para conectarse al recurso en una red privada, las identidades administradas no funcionarán. Debe usar la autenticación de entidad de servicio o la autenticación de SQL.
Para ejecutar los comandos en el procedimiento siguiente, debe ser un administrador Azure Synapse en el área de trabajo. Para obtener más información sobre los permisos de Azure Synapse Analytics, consulte Configuración del control de acceso para el área de trabajo de Azure Synapse Analytics.
Vaya al área de trabajo de Azure Synapse Analytics.
Vaya a la sección Datos y busque una de las bases de datos SQL dedicadas.
Seleccione los puntos suspensivos (...) junto al nombre de la base de datos e inicie un nuevo script SQL.
Ejecute el siguiente comando en el script SQL para agregar el MSI de la cuenta de Microsoft Purview (representada por el nombre de la cuenta) como
db_datareader
en la base de datos SQL dedicada:CREATE USER [PurviewAccountName] FROM EXTERNAL PROVIDER GO EXEC sp_addrolemember 'db_datareader', [PurviewAccountName] GO
Ejecute el siguiente comando en el script SQL para comprobar la adición del rol:
SELECT p.name AS UserName, r.name AS RoleName FROM sys.database_principals p LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id WHERE p.authentication_type_desc = 'EXTERNAL' ORDER BY p.name;
Siga los mismos pasos para cada base de datos que desee examinar.
Uso de una identidad administrada para bases de datos SQL sin servidor
Vaya al área de trabajo de Azure Synapse Analytics.
Vaya a la sección Datos y seleccione una de las bases de datos SQL.
Seleccione los puntos suspensivos (...) junto al nombre de la base de datos e inicie un nuevo script SQL.
Ejecute el siguiente comando en el script SQL para agregar el MSI de la cuenta de Microsoft Purview (representado por el nombre de cuenta) como
db_datareader
en las bases de datos SQL sin servidor:CREATE USER [PurviewAccountName] FOR LOGIN [PurviewAccountName]; ALTER ROLE db_datareader ADD MEMBER [PurviewAccountName];
Ejecute el siguiente comando en el script SQL para comprobar la adición del rol:
SELECT p.name AS UserName, r.name AS RoleName FROM sys.database_principals p LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id WHERE p.authentication_type_desc = 'EXTERNAL' ORDER BY p.name;
Siga los mismos pasos para cada base de datos que desee examinar.
Concesión de permiso para usar credenciales para tablas externas
Si el área de trabajo de Azure Synapse Analytics tiene tablas externas, debe conceder el permiso Referencias de identidad administrada de Microsoft Purview en las credenciales con ámbito de la tabla externa. Con el permiso Referencias, Microsoft Purview puede leer datos de tablas externas.
Ejecute el siguiente comando en el script SQL para obtener la lista de credenciales con ámbito de base de datos:
Select name, credential_identity from sys.database_scoped_credentials;
Para conceder acceso a las credenciales con ámbito de base de datos, ejecute el siguiente comando. Reemplace por
scoped_credential
el nombre de la credencial con ámbito de base de datos.GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[scoped_credential] TO [PurviewAccountName];
Para comprobar la asignación de permisos, ejecute el siguiente comando en el script SQL:
SELECT dp.permission_name, dp.grantee_principal_id, p.name AS grantee_principal_name FROM sys.database_permissions AS dp JOIN sys.database_principals AS p ON dp.grantee_principal_id = p.principal_id JOIN sys.database_scoped_credentials AS c ON dp.major_id = c.credential_id;
Configuración del acceso de firewall para el área de trabajo de Azure Synapse Analytics
En el Azure Portal, vaya al área de trabajo de Azure Synapse Analytics.
En el panel izquierdo, seleccione Redes.
En Permitir que los servicios y recursos de Azure accedan a este control de área de trabajo , seleccione ACTIVADO.
Haga clic en Guardar.
Si desea examinar un grupo de SQL dedicado (anteriormente SQL DW) que ha habilitado Azure Synapse características del área de trabajo, como se documenta en Habilitación de características de área de trabajo de Azure Synapse para un grupo de SQL dedicado (anteriormente SQL DW), estos son los pasos de configuración adicionales necesarios para el grupo de SQL dedicado (anteriormente SQL DW):
En el Azure Portal, vaya al recurso de SQL Server asociado al grupo de SQL dedicado (anteriormente SQL DW).
En el panel izquierdo, seleccione Redes.
En Permitir que los servicios y recursos de Azure accedan a este control de servidor, seleccione ACTIVADO.
Haga clic en Guardar.
Importante
Si no puede habilitar Permitir que los servicios y recursos de Azure accedan a este área de trabajo en las áreas de trabajo de Azure Synapse Analytics, obtendrá un error de enumeración de base de datos sin servidor al configurar un examen en el portal de gobernanza de Microsoft Purview. En este caso, puede elegir la opción Entrar manualmente para especificar los nombres de base de datos que desea examinar y, a continuación, continuar o configurar un examen mediante una API.
Creación y ejecución de un examen
En el portal de gobernanza de Microsoft Purview, en el panel izquierdo, seleccione Mapa de datos.
Seleccione el origen de datos que registró.
Seleccione Ver detalles y, a continuación, seleccione Nuevo examen. Como alternativa, puede seleccionar el icono Scan quick action (Examinar acción rápida ) en el icono de origen.
En el panel Detalles del examen, en el cuadro Nombre , escriba un nombre para el examen.
Nota:
En el caso del entorno de ejecución de integración, si usa Managed VNet Runtime, asegúrese de que ha creado los puntos de conexión privados administrados necesarios:
- Para examinar los grupos sin servidor, cree un punto de entrada privado administrado de tipo de sub resource sqlOnDemand para el área de trabajo de Synapse.
- Para examinar grupos dedicados, cree un punto de entrada privado administrado de tipo de sub-recurso sql para el área de trabajo de Synapse.
- Si va a examinar grupos sin servidor y dedicados, no creará puntos de conexión privados administrados y, en el asistente, seleccione uno.
En la lista desplegable Credencial , seleccione la credencial para conectarse a los recursos del origen de datos.
En Método de selección de base de datos, seleccione Desde el área de trabajo de Synapse o Escriba manualmente. De forma predeterminada, Microsoft Purview intenta enumerar las bases de datos en el área de trabajo y puede seleccionar las que desea examinar.
Si recibe un error que indica que Microsoft Purview no pudo cargar las bases de datos sin servidor, puede seleccionar Entrar manualmente para especificar el tipo de base de datos (dedicada o sin servidor) y el nombre de la base de datos correspondiente.
Seleccione Probar conexión para validar la configuración. Si recibe algún error, en la página del informe, mantenga el puntero sobre el estado de la conexión para ver los detalles.
Seleccione Continuar.
Seleccione Examinar conjuntos de reglas de tipo Azure Synapse SQL. También puede crear conjuntos de reglas de examen insertados.
Elija el desencadenador de examen. Puede configurar una programación o ejecutar el examen una vez.
Revise el examen y, a continuación, seleccione Guardar para completar la configuración.
Visualización de los exámenes y las ejecuciones de examen
Para ver los exámenes existentes:
- Vaya al portal de Microsoft Purview. En el panel izquierdo, seleccione Mapa de datos.
- Seleccione el origen de datos. Puede ver una lista de exámenes existentes en ese origen de datos en Exámenes recientes o puede ver todos los exámenes en la pestaña Exámenes .
- Seleccione el examen que tiene los resultados que desea ver. En el panel se muestran todas las ejecuciones de examen anteriores, junto con el estado y las métricas de cada ejecución de examen.
- Seleccione el identificador de ejecución para comprobar los detalles de la ejecución del examen.
Administrar los exámenes
Para editar, cancelar o eliminar un examen:
Vaya al portal de Microsoft Purview. En el panel izquierdo, seleccione Mapa de datos.
Seleccione el origen de datos. Puede ver una lista de exámenes existentes en ese origen de datos en Exámenes recientes o puede ver todos los exámenes en la pestaña Exámenes .
Seleccione el examen que desea administrar. Después, podrá:
- Edite el examen seleccionando Editar examen.
- Para cancelar un examen en curso, seleccione Cancelar ejecución del examen.
- Para eliminar el examen, seleccione Eliminar examen.
Nota:
- La eliminación del examen no elimina los recursos de catálogo creados a partir de exámenes anteriores.
Configuración de un examen mediante una API
Este es un ejemplo de creación de un examen para una base de datos sin servidor mediante la API REST de Microsoft Purview. Reemplace los marcadores de posición entre llaves ({}
) por la configuración real. Obtenga más información en Exámenes: Creación o actualización.
PUT https://{purview_account_name}.purview.azure.com/scan/datasources/<data_source_name>/scans/{scan_name}?api-version=2022-02-01-preview
En el código siguiente, collection_id
no es el nombre descriptivo de la colección, un identificador de cinco caracteres. Para la colección raíz, collection_id
es el nombre de la colección. Para todas las subcolecciones, es en su lugar el identificador que puede encontrar en uno de estos lugares:
Dirección URL en el portal de gobernanza de Microsoft Purview. Seleccione la colección y compruebe la dirección URL para buscar dónde dice collection=. Ese es tu identificador. En el ejemplo siguiente, la colección Investment tiene el identificador 50h55c.
Puede enumerar los nombres de colección secundarios de la colección raíz para enumerar las colecciones y, a continuación, usar el nombre en lugar del nombre descriptivo.
{
"properties":{
"resourceTypes":{
"AzureSynapseServerlessSql":{
"scanRulesetName":"AzureSynapseSQL",
"scanRulesetType":"System",
"resourceNameFilter":{
"resources":[ "{serverless_database_name_1}", "{serverless_database_name_2}", ...]
}
}
},
"credential":{
"referenceName":"{credential_name}",
"credentialType":"SqlAuth | ServicePrincipal | ManagedIdentity (if UAMI authentication)"
},
"collection":{
"referenceName":"{collection_id}",
"type":"CollectionReference"
},
"connectedVia":{
"referenceName":"{integration_runtime_name}",
"integrationRuntimeType":"SelfHosted (if self-hosted IR) | Managed (if VNet IR)"
}
},
"kind":"AzureSynapseWorkspaceCredential | AzureSynapseWorkspaceMsi (if system-assigned managed identity authentication)"
}
Para programar el examen, cree un desencadenador para él después de la creación del examen. Para obtener más información, vea Desencadenadores- Crear desencadenador.
Solución de problemas
Si tiene algún problema con el examen:
- Confirme que ha seguido todos los requisitos previos.
- Confirme que configuró la autenticación de enumeración para los recursos.
- Confirme que configuró la autenticación.
- Compruebe la red confirmando la configuración del firewall.
- Revise la documentación de solución de problemas del examen.
Pasos siguientes
Ahora que ha registrado el origen, use las siguientes guías para obtener más información sobre Microsoft Purview y sus datos: