Compartir vía


Aprovisionamiento de acceso a metadatos del sistema en Azure SQL Managed Instance mediante directivas de Microsoft Purview DevOps

Las directivas de DevOps son un tipo de directivas de acceso de Microsoft Purview. Permiten administrar el acceso a los metadatos del sistema en orígenes de datos que se han registrado para la aplicación de directivas de datos en Microsoft Purview. Estas directivas se configuran directamente desde el portal de gobernanza de Microsoft Purview y, después de guardarlas, se publican automáticamente y el origen de datos las aplica. Las directivas de Microsoft Purview solo administran el acceso para Microsoft Entra entidades de seguridad.

En esta guía paso a paso se explica cómo configurar Azure SQL Managed Instance para aplicar las directivas creadas en Microsoft Purview. Se tratan los pasos de configuración de Azure SQL MI y los de Microsoft Purview para aprovisionar el acceso a Azure SQL metadatos del sistema de MI (DMV y DMF) mediante las acciones de directivas de DevOps Supervisión del rendimiento de SQL o Auditoría de seguridad de SQL.

Requisitos previos

  • Cree un nuevo Azure SQL MI o use uno existente en una de las regiones disponibles actualmente para esta característica. Puede seguir esta guía para crear un nuevo Azure SQL MI.

Compatibilidad con regiones

Se admiten todas las regiones de Microsoft Purview .

La aplicación de directivas de Microsoft Purview solo está disponible en las siguientes regiones para Azure SQL MI:

Nube pública:

  • Este de EE. UU.
  • Este de EE. UU. 2
  • Centro y Sur de EE. UU.
  • Centro oeste de EE. UU.
  • Oeste de EE. UU. 3
  • Centro de Canadá
  • Sur de Brasil
  • Oeste de Europa
  • Norte de Europa
  • Centro de Francia
  • Sur de Reino Unido
  • Norte de Sudáfrica
  • Centro de India
  • Sudeste asiático
  • Asia Oriental
  • Este de Australia

Azure SQL configuración de MI

En esta sección se explica cómo configurar Azure SQL MI para respetar las directivas de Microsoft Purview. Compruebe primero si Azure SQL MI está configurado para el punto de conexión público o privado. En esta guía se explica cómo hacerlo.

Configuración del punto de conexión público de SQL MI

Si Azure SQL MI está configurado para el punto de conexión público, siga estos pasos:

  • Configure un Microsoft Entra Administración. En Azure Portal vaya al Azure SQL MI y, a continuación, vaya a Microsoft Entra ID en el menú lateral (anteriormente denominado administrador de Active Directory). Establezca un nombre Administración y, a continuación, seleccione Guardar.

  • A continuación, vaya a Identidad en el menú lateral. En Estado de comprobación de identidad administrada asignada por el sistema en Activado y, a continuación, seleccione Guardar. Vea la captura de pantalla:

    Captura de pantalla que muestra cómo asignar la identidad administrada del sistema a Azure SQL MI.

Configuración del punto de conexión privado de SQL MI

Si Azure SQL MI está configurado para usar un punto de conexión privado, ejecute los mismos pasos descritos en la configuración del punto de conexión público y, además, haga lo siguiente:

  • Vaya al grupo de seguridad de red (NSG) asociado a la Azure SQL MI.

  • Agregue una regla de seguridad de salida similar a la de la captura de pantalla siguiente. Destination = Service Tag, Destination service tag = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. Asegúrese también de que la prioridad de esta regla sea menor que la de la regla de deny_all_outbound .

    Captura de pantalla que muestra cómo configurar la regla de seguridad de salida en Purview

Configuración de Microsoft Purview

Registro del origen de datos en Microsoft Purview

Para poder crear una directiva en Microsoft Purview para un recurso de datos, debe registrar ese recurso de datos en Microsoft Purview Studio. Encontrará las instrucciones relacionadas con el registro del recurso de datos más adelante en esta guía.

Nota:

Las directivas de Microsoft Purview se basan en la ruta de acceso de ARM del recurso de datos. Si un recurso de datos se mueve a un nuevo grupo de recursos o una suscripción, deberá anular su registro y volver a registrarse en Microsoft Purview.

Configuración de permisos para habilitar la aplicación de directivas de datos en el origen de datos

Una vez registrado un recurso, pero antes de que se pueda crear una directiva en Microsoft Purview para ese recurso, debe configurar los permisos. Se necesita un conjunto de permisos para habilitar la aplicación de directivas de datos. Esto se aplica a orígenes de datos, grupos de recursos o suscripciones. Para habilitar la aplicación de directivas de datos, debe tener privilegios específicos de Administración de identidades y acceso (IAM) en el recurso, así como privilegios específicos de Microsoft Purview:

  • Debe tener una de las siguientes combinaciones de roles de IAM en la ruta de acceso de Azure Resource Manager del recurso o en cualquier elemento primario del mismo (es decir, mediante la herencia de permisos de IAM):

    • Propietario de IAM
    • Colaborador de IAM y administrador de acceso de usuarios de IAM

    Para configurar permisos de control de acceso basado en rol (RBAC) de Azure, siga esta guía. En la captura de pantalla siguiente se muestra cómo acceder a la sección Access Control de la Azure Portal para que el recurso de datos agregue una asignación de roles.

    Captura de pantalla que muestra la sección de la Azure Portal para agregar una asignación de roles.

    Nota:

    El rol Propietario de IAM para un recurso de datos se puede heredar de un grupo de recursos primario, una suscripción o un grupo de administración de suscripciones. Compruebe qué Microsoft Entra usuarios, grupos y entidades de servicio contienen o heredan el rol propietario de IAM para el recurso.

  • También debe tener el rol de administrador de origen de datos de Microsoft Purview para la colección o una colección primaria (si la herencia está habilitada). Para obtener más información, consulte la guía sobre la administración de asignaciones de roles de Microsoft Purview.

    En la captura de pantalla siguiente se muestra cómo asignar el rol de administrador de origen de datos en el nivel de colección raíz.

    Captura de pantalla que muestra las selecciones para asignar el rol de administrador de origen de datos en el nivel de colección raíz.

Configuración de permisos de Microsoft Purview para crear, actualizar o eliminar directivas de acceso

Para crear, actualizar o eliminar directivas, debe obtener el rol de autor de directivas en Microsoft Purview en el nivel de colección raíz:

  • El rol de autor de directivas puede crear, actualizar y eliminar directivas de DevOps y propietario de datos.
  • El rol de autor de directivas puede eliminar directivas de acceso de autoservicio.

Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.

Nota:

El rol de autor de directiva debe configurarse en el nivel de colección raíz.

Además, para buscar fácilmente Microsoft Entra usuarios o grupos al crear o actualizar el asunto de una directiva, puede beneficiarse en gran medida de obtener el permiso Lectores de directorio en Microsoft Entra ID. Se trata de un permiso común para los usuarios de un inquilino de Azure. Sin el permiso Lector de directorios, el autor de la directiva tendrá que escribir el nombre de usuario completo o el correo electrónico de todas las entidades de seguridad incluidas en el asunto de una directiva de datos.

Configuración de permisos de Microsoft Purview para publicar directivas de propietario de datos

Las directivas de propietario de datos permiten comprobaciones y saldos si asigna los roles de autor de directiva de Microsoft Purview y Administrador de origen de datos a diferentes personas de la organización. Antes de que se aplique una directiva de propietario de datos, una segunda persona (administrador del origen de datos) debe revisarla y aprobarla explícitamente publicándola. Esto no se aplica a las directivas de acceso de DevOps o autoservicio, ya que la publicación es automática para ellas cuando se crean o actualizan esas directivas.

Para publicar una directiva de propietario de datos, debe obtener el rol Administrador del origen de datos en Microsoft Purview en el nivel de recopilación raíz.

Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.

Nota:

Para publicar directivas de propietario de datos, el rol de administrador del origen de datos debe configurarse en el nivel de recopilación raíz.

Delegar la responsabilidad de aprovisionamiento de acceso a roles en Microsoft Purview

Una vez habilitado un recurso para la aplicación de directivas de datos, cualquier usuario de Microsoft Purview con el rol De autor de directivas en el nivel de recopilación raíz puede aprovisionar el acceso a ese origen de datos desde Microsoft Purview.

Nota:

Cualquier administrador de colección raíz de Microsoft Purview puede asignar nuevos usuarios a roles de autor de directiva raíz. Cualquier administrador de recopilación puede asignar nuevos usuarios a un rol de administrador de origen de datos en la colección. Minimice y examine cuidadosamente a los usuarios que tienen roles de administrador de Microsoft Purview Collection, administrador de origen de datos o autor de directivas .

Si se elimina una cuenta de Microsoft Purview con directivas publicadas, dichas directivas dejarán de aplicarse en un período de tiempo que depende del origen de datos específico. Este cambio puede tener implicaciones en la disponibilidad de acceso a datos y seguridad. Los roles Colaborador y Propietario de IAM pueden eliminar cuentas de Microsoft Purview. Para comprobar estos permisos, vaya a la sección Control de acceso (IAM) de su cuenta de Microsoft Purview y seleccione Asignaciones de roles. También puede usar un bloqueo para evitar que la cuenta de Microsoft Purview se elimine mediante bloqueos de Resource Manager.

Registro de los orígenes de datos en Microsoft Purview

El origen de datos Azure SQL Managed Instance debe registrarse primero en Microsoft Purview para poder crear directivas de acceso. Puede seguir las secciones "Requisitos previos" y "Registrar el origen de datos" de esta guía: Registro y examen Azure SQL MI.

Después de registrar los recursos, deberá habilitar la aplicación de directivas de datos (anteriormente Administración del uso de datos). La aplicación de directivas de datos necesita ciertos permisos y puede afectar a la seguridad de los datos, ya que delega a determinados roles de Microsoft Purview la capacidad de administrar el acceso a los orígenes de datos. Consulte las prácticas seguras relacionadas con la aplicación de directivas de datos en esta guía: Habilitación de la aplicación de directivas

Una vez que el origen de datos tenga habilitado el botón de alternancia Cumplimiento de directivas de datos, tendrá un aspecto similar al de esta captura de pantalla. Esto permitirá que las directivas de acceso se usen con el origen de datos especificado.

Captura de pantalla que muestra cómo habilitar la aplicación de directivas.

Vuelva a la Azure Portal de Azure SQL Database para comprobar que ahora se rige por Microsoft Purview:

  1. Inicie sesión en el Azure Portal a través de este vínculo.

  2. Seleccione el Azure SQL Server que desea configurar.

  3. Vaya a Microsoft Entra ID en el panel izquierdo.

  4. Desplácese hacia abajo hasta Directivas de acceso de Microsoft Purview.

  5. Seleccione el botón Para comprobar la gobernanza de Microsoft Purview. Espere mientras se procesa la solicitud. Podría tardar unos minutos.

    Captura de pantalla que muestra Azure SQL se rige por Microsoft Purview.

  6. Confirme que el estado de gobernanza de Microsoft Purview muestra Governed. Tenga en cuenta que podría tardar unos minutos después de habilitar la aplicación de directivas de datos en Microsoft Purview para que se refleje el estado correcto.

Nota:

Si deshabilita la aplicación de directivas de datos para este origen de datos de Azure SQL Database, el estado de gobernanza de Microsoft Purview podría tardar hasta 24 horas en actualizarse automáticamente a Not Governed. Para acelerar esto, seleccione Comprobar la gobernanza de Microsoft Purview. Antes de habilitar la aplicación de directivas de datos para el origen de datos en otra cuenta de Microsoft Purview, asegúrese de que el estado de gobernanza de Purview se muestra como Not Governed. A continuación, repita los pasos anteriores con la nueva cuenta de Microsoft Purview.

Creación de una nueva directiva de DevOps

Siga este vínculo para ver los pasos para crear una nueva directiva de DevOps en Microsoft Purview.

Enumerar directivas de DevOps

Siga este vínculo para ver los pasos para enumerar las directivas de DevOps en Microsoft Purview.

Actualización de una directiva de DevOps

Siga este vínculo para ver los pasos para actualizar las directivas de DevOps en Microsoft Purview.

Eliminación de una directiva de DevOps

Siga este vínculo para ver los pasos para eliminar directivas de DevOps en Microsoft Purview.

Importante

Las directivas de DevOps se publican automáticamente y los cambios pueden tardar hasta 5 minutos en aplicarse por el origen de datos.

Prueba de la directiva de DevOps

Vea cómo probar la directiva que ha creado.

Detalles de definición de roles

Consulte la asignación del rol de DevOps a las acciones del origen de datos.

Pasos siguientes

Consulte vídeos, blogs y documentos relacionados.