Compartir vía


Crear, enumerar, actualizar y eliminar directivas de Microsoft Purview DevOps

Las directivas de DevOps son un tipo de directivas de acceso de Microsoft Purview. Puede usarlos para administrar el acceso a los metadatos del sistema en los orígenes de datos que se han registrado para la aplicación de directivas de datos en Microsoft Purview.

Puede configurar directivas de DevOps directamente desde el portal de gobernanza de Microsoft Purview. Una vez guardados, el origen de datos los publica automáticamente y, a continuación, los aplica. Las directivas de Microsoft Purview solo administran el acceso para Microsoft Entra entidades de seguridad.

En esta guía se describen los pasos de configuración de Microsoft Purview para aprovisionar el acceso a los metadatos del sistema de base de datos mediante las acciones de directiva de DevOps para los roles sql Monitor de rendimiento y auditor de seguridad de SQL. Muestra cómo crear, enumerar, actualizar y eliminar directivas de DevOps.

Requisitos previos

Configuración

Antes de crear directivas en el portal de directivas de Microsoft Purview, debe configurar los orígenes de datos para que puedan aplicar esas directivas:

  1. Siga los requisitos previos específicos de la directiva para el origen. Compruebe la tabla de orígenes de datos compatibles con Microsoft Purview y seleccione el vínculo de la columna Directiva de acceso para los orígenes donde están disponibles las directivas de acceso. Siga los pasos enumerados en las secciones "Directiva de acceso" y "Requisitos previos".
  2. Registre el origen de datos en Microsoft Purview. Siga las secciones "Requisitos previos" y "Registrar" de las páginas de origen de los recursos.
  3. Active el botón de alternancia Cumplimiento de directivas de datos en el registro del origen de datos. Para obtener más información, incluidos los permisos adicionales que necesita para este paso, consulte Habilitación de la aplicación de directivas de datos en los orígenes de Microsoft Purview.

Creación de una nueva directiva de DevOps

Para crear una directiva de DevOps, asegúrese primero de que tiene el rol Autor de directivas de Microsoft Purview en el nivel de colección raíz. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.

  3. Seleccione el botón Nueva directiva .

    Captura de pantalla que muestra el botón para crear una nueva directiva de SQL DevOps.

    Se abre el panel de detalles de la directiva.

  4. En Tipo de origen de datos, seleccione un origen de datos. En Nombre del origen de datos, seleccione uno de los orígenes de datos enumerados. A continuación, haga clic en Seleccionar para volver al panel Nueva directiva .

    Captura de pantalla que muestra el panel para seleccionar el origen de datos de una directiva.

  5. Seleccione uno de los dos roles: Supervisión del rendimiento o Auditoría de seguridad. A continuación, seleccione Agregar o quitar asuntos para abrir el panel Asunto .

    En el cuadro Seleccionar asuntos, escriba el nombre de una entidad de seguridad de Microsoft Entra (usuario, grupo o entidad de servicio). Se admiten grupos de Microsoft 365, pero las actualizaciones de la pertenencia a grupos tardan hasta una hora en reflejarse en Microsoft Entra ID. Siga agregando o quitando asuntos hasta que esté satisfecho y, a continuación, seleccione Guardar.

    Captura de pantalla que muestra la selección de roles y asuntos para una directiva.

  6. Seleccione Guardar para guardar la directiva. La directiva se publica automáticamente. La aplicación comienza en el origen de datos en un plazo de cinco minutos.

Enumerar directivas de DevOps

Para enumerar las directivas de DevOps, primero asegúrese de que tiene uno de los siguientes roles de Microsoft Purview en el nivel de recopilación raíz: Autor de directivas, Administración de origen de datos, Conservador de datos o Lector de datos. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.

    En el panel Directivas de DevOps se enumeran las directivas que se han creado.

    Captura de pantalla que muestra las selecciones para abrir una lista de directivas de SQL DevOps.

Actualización de una directiva de DevOps

Para actualizar una directiva de DevOps, primero asegúrese de que tiene el rol Autor de directivas de Microsoft Purview en el nivel de colección raíz. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.

  3. En el panel Directivas de DevOps , abra los detalles de la directiva para una de las directivas seleccionándola en su ruta de acceso de recursos de datos.

    Captura de pantalla que muestra las selecciones para abrir directivas de SQL DevOps.

  4. En el panel de detalles de directiva, seleccione Editar.

  5. Realice los cambios y, a continuación, seleccione Guardar.

Eliminación de una directiva de DevOps

Para eliminar una directiva de DevOps, primero asegúrese de que tiene el rol Autor de directivas de Microsoft Purview en el nivel de colección raíz. Consulte la sección sobre la administración de asignaciones de roles de Microsoft Purview en esta guía. Luego, haga lo siguiente:

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. En el panel izquierdo, seleccione Directiva de datos. A continuación, seleccione Directivas de DevOps.

  3. Active la casilla de una de las directivas y, a continuación, seleccione Eliminar.

    Captura de pantalla que muestra las selecciones para eliminar una directiva de SQL DevOps.

Prueba de la directiva de DevOps

Después de crear una directiva, cualquiera de los Microsoft Entra usuarios seleccionados como sujetos ahora puede conectarse a los orígenes de datos en el ámbito de la directiva. Para probar, use SQL Server Management Studio (SSMS) o cualquier cliente SQL e intente consultar algunas vistas de administración dinámica (DMV) y funciones de administración dinámica (DMF). En las secciones siguientes se enumeran algunos ejemplos. Para obtener más ejemplos, consulte la asignación de DMV y DMF populares en ¿Qué puedo lograr con las directivas de DevOps de Microsoft Purview?.

Si necesita más solución de problemas, consulte la sección Pasos siguientes de esta guía.

Prueba del acceso de SQL Monitor de rendimiento

Si proporcionó los asuntos de la directiva para el rol sql Monitor de rendimiento, puede emitir los siguientes comandos:

-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats

Captura de pantalla que muestra una prueba de SQL Monitor de rendimiento.

Prueba del acceso del auditor de seguridad de SQL

Si proporcionó los asuntos de la directiva para el rol auditor de seguridad de SQL, puede emitir los siguientes comandos desde SSMS o cualquier cliente SQL:

-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys

Asegurarse de que no hay acceso a los datos del usuario

Intente acceder a una tabla de una de las bases de datos mediante el siguiente comando:

-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName

Se debe denegar la entidad de seguridad Microsoft Entra con la que está realizando pruebas, lo que significa que los datos están protegidos contra amenazas internas.

Captura de pantalla que muestra una prueba para acceder a los datos de usuario.

Detalles de definición de roles

En la tabla siguiente se asignan los roles de directiva de datos de Microsoft Purview a acciones específicas en orígenes de datos SQL.

Rol de directiva de Microsoft Purview Acciones en orígenes de datos
SQL Monitor de rendimiento Microsoft.Sql/Sqlservers/Connect
Microsoft.Sql/Sqlservers/Databases/Connect
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select
Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute
Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop
Auditor de seguridad de SQL Microsoft.Sql/Sqlservers/Connect
Microsoft.Sql/Sqlservers/Databases/Connect
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select

Pasos siguientes

Consulte los siguientes blogs, vídeos y artículos relacionados: