Compartir vía

Tutorial: Acceso al aprovisionamiento por parte del propietario de datos a conjuntos de datos de Azure Storage (versión preliminar)

  • Artículo

Importante

Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, en versión preliminar o que aún no se han publicado en disponibilidad general.

Las directivas de Microsoft Purview permiten habilitar el acceso a orígenes de datos que se han registrado en una colección. En este tutorial se describe cómo un propietario de datos puede usar Microsoft Purview para habilitar el acceso a conjuntos de datos en Azure Storage a través de Microsoft Purview.

En este tutorial, aprenderá a:

  • Preparación del entorno de Azure
  • Configuración de permisos para permitir que Microsoft Purview se conecte a los recursos
  • Registro del recurso de Azure Storage para la aplicación de directivas de datos
  • Creación y publicación de una directiva para el grupo de recursos o la suscripción

Requisitos previos

Compatibilidad con regiones

  • Se admiten todas las regiones de Microsoft Purview .
  • Las cuentas de almacenamiento de las siguientes regiones se admiten sin necesidad de configuración adicional. Sin embargo, no se admiten cuentas de almacenamiento con redundancia de zona (ZRS).
    • Centro de Australia
    • Este de Australia
    • Sureste de Australia
    • Sur de Brasil
    • Centro de Canadá
    • Este de Canadá
    • Centro de India
    • Centro de EE. UU.
    • Asia Oriental
    • Este de EE. UU. 2
    • Este de EE. UU.
    • Centro de Francia
    • Alemania Central Occidental
    • Este de Japón
    • Oeste de Japón
    • Centro de Corea
    • Centro y norte de EE. UU.
    • Norte de Europa
    • Este de Noruega
    • Centro de Polonia
    • Centro de Qatar
    • Centro y Sur de EE. UU.
    • Norte de Sudáfrica
    • Sudeste de Asia
    • Sur de la India
    • Centro de Suecia
    • Norte de Suiza
    • Centro oeste de EE. UU.
    • Oeste de Europa
    • Oeste de EE. UU.
    • Oeste de EE. UU. 2
    • Oeste de EE. UU. 3
    • Norte de Emiratos Árabes Unidos
    • Sur de Reino Unido
    • Oeste de Reino Unido
  • Las cuentas de almacenamiento de otras regiones de la nube pública se admiten después de establecer la marca de característica AllowPurviewPolicyEnforcement, como se describe en la sección siguiente. Se admiten las cuentas de almacenamiento de ZRS recién creadas, si se crean después de establecer la marca de característica AllowPurviewPolicyEnforcement.

Si es necesario, puede crear una nueva cuenta de Almacenamiento siguiendo esta guía.

Configuración de la suscripción donde reside la cuenta de Azure Storage para las directivas de Microsoft Purview

Este paso solo es necesario en determinadas regiones (consulte la sección anterior). Para permitir que Microsoft Purview administre directivas para una o varias cuentas de Azure Storage, ejecute los siguientes comandos de PowerShell en la suscripción donde implementará la cuenta de Azure Storage. Estos comandos de PowerShell permitirán a Microsoft Purview administrar directivas en todas las cuentas de Azure Storage de esa suscripción.

Si ejecuta estos comandos localmente, asegúrese de ejecutar PowerShell como administrador. Como alternativa, puede usar azure Cloud Shell en el Azure Portal: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Si la salida del último comando muestra RegistrationState como Registrado, la suscripción está habilitada para las directivas de acceso. Si la salida es Registrar, espere al menos 10 minutos y vuelva a intentar el comando. No continúe a menos que RegistrationState se muestre como Registrado.

Configuración

Registro del origen de datos en Microsoft Purview

Para poder crear una directiva en Microsoft Purview para un recurso de datos, debe registrar ese recurso de datos en Microsoft Purview Studio. Encontrará las instrucciones relacionadas con el registro del recurso de datos más adelante en esta guía.

Nota:

Las directivas de Microsoft Purview se basan en la ruta de acceso de ARM del recurso de datos. Si un recurso de datos se mueve a un nuevo grupo de recursos o una suscripción, deberá anular su registro y volver a registrarse en Microsoft Purview.

Configuración de permisos para habilitar la aplicación de directivas de datos en el origen de datos

Una vez registrado un recurso, pero antes de que se pueda crear una directiva en Microsoft Purview para ese recurso, debe configurar los permisos. Se necesita un conjunto de permisos para habilitar la aplicación de directivas de datos. Esto se aplica a orígenes de datos, grupos de recursos o suscripciones. Para habilitar la aplicación de directivas de datos, debe tener privilegios específicos de Administración de identidades y acceso (IAM) en el recurso, así como privilegios específicos de Microsoft Purview:

  • Debe tener una de las siguientes combinaciones de roles de IAM en la ruta de acceso de Azure Resource Manager del recurso o en cualquier elemento primario del mismo (es decir, mediante la herencia de permisos de IAM):

    • Propietario de IAM
    • Colaborador de IAM y administrador de acceso de usuarios de IAM

    Para configurar permisos de control de acceso basado en rol (RBAC) de Azure, siga esta guía. En la captura de pantalla siguiente se muestra cómo acceder a la sección Access Control de la Azure Portal para que el recurso de datos agregue una asignación de roles.

    Captura de pantalla que muestra la sección de la Azure Portal para agregar una asignación de roles.

    Nota:

    El rol Propietario de IAM para un recurso de datos se puede heredar de un grupo de recursos primario, una suscripción o un grupo de administración de suscripciones. Compruebe qué Microsoft Entra usuarios, grupos y entidades de servicio contienen o heredan el rol propietario de IAM para el recurso.

  • También debe tener el rol de administrador de origen de datos de Microsoft Purview para la colección o una colección primaria (si la herencia está habilitada). Para obtener más información, consulte la guía sobre la administración de asignaciones de roles de Microsoft Purview.

    En la captura de pantalla siguiente se muestra cómo asignar el rol de administrador de origen de datos en el nivel de colección raíz.

    Captura de pantalla que muestra las selecciones para asignar el rol de administrador de origen de datos en el nivel de colección raíz.

Configuración de permisos de Microsoft Purview para crear, actualizar o eliminar directivas de acceso

Para crear, actualizar o eliminar directivas, debe obtener el rol de autor de directivas en Microsoft Purview en el nivel de colección raíz:

  • El rol de autor de directivas puede crear, actualizar y eliminar directivas de DevOps y propietario de datos.
  • El rol de autor de directivas puede eliminar directivas de acceso de autoservicio.

Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.

Nota:

El rol de autor de directiva debe configurarse en el nivel de colección raíz.

Además, para buscar fácilmente Microsoft Entra usuarios o grupos al crear o actualizar el asunto de una directiva, puede beneficiarse en gran medida de obtener el permiso Lectores de directorio en Microsoft Entra ID. Se trata de un permiso común para los usuarios de un inquilino de Azure. Sin el permiso Lector de directorios, el autor de la directiva tendrá que escribir el nombre de usuario completo o el correo electrónico de todas las entidades de seguridad incluidas en el asunto de una directiva de datos.

Configuración de permisos de Microsoft Purview para publicar directivas de propietario de datos

Las directivas de propietario de datos permiten comprobaciones y saldos si asigna los roles de autor de directiva de Microsoft Purview y Administrador de origen de datos a diferentes personas de la organización. Antes de que se aplique una directiva de propietario de datos, una segunda persona (administrador del origen de datos) debe revisarla y aprobarla explícitamente publicándola. Esto no se aplica a las directivas de acceso de DevOps o autoservicio, ya que la publicación es automática para ellas cuando se crean o actualizan esas directivas.

Para publicar una directiva de propietario de datos, debe obtener el rol Administrador del origen de datos en Microsoft Purview en el nivel de recopilación raíz.

Para obtener más información sobre cómo administrar asignaciones de roles de Microsoft Purview, consulte Creación y administración de colecciones en el Mapa de datos de Microsoft Purview.

Nota:

Para publicar directivas de propietario de datos, el rol de administrador del origen de datos debe configurarse en el nivel de recopilación raíz.

Delegar la responsabilidad de aprovisionamiento de acceso a roles en Microsoft Purview

Una vez habilitado un recurso para la aplicación de directivas de datos, cualquier usuario de Microsoft Purview con el rol De autor de directivas en el nivel de recopilación raíz puede aprovisionar el acceso a ese origen de datos desde Microsoft Purview.

Nota:

Cualquier administrador de colección raíz de Microsoft Purview puede asignar nuevos usuarios a roles de autor de directiva raíz. Cualquier administrador de recopilación puede asignar nuevos usuarios a un rol de administrador de origen de datos en la colección. Minimice y examine cuidadosamente a los usuarios que tienen roles de administrador de Microsoft Purview Collection, administrador de origen de datos o autor de directivas .

Si se elimina una cuenta de Microsoft Purview con directivas publicadas, dichas directivas dejarán de aplicarse en un período de tiempo que depende del origen de datos específico. Este cambio puede tener implicaciones en la disponibilidad de acceso a datos y seguridad. Los roles Colaborador y Propietario de IAM pueden eliminar cuentas de Microsoft Purview. Para comprobar estos permisos, vaya a la sección Control de acceso (IAM) de su cuenta de Microsoft Purview y seleccione Asignaciones de roles. También puede usar un bloqueo para evitar que la cuenta de Microsoft Purview se elimine mediante bloqueos de Resource Manager.

Registro de los orígenes de datos en Microsoft Purview para la aplicación de directivas de datos

La cuenta de Azure Storage debe registrarse en Microsoft Purview para definir posteriormente las directivas de acceso y, durante el registro, habilitaremos la aplicación de directivas de datos. Cumplimiento de directivas de datos es una característica disponible en Microsoft Purview que permite a los usuarios administrar el acceso a un recurso desde Microsoft Purview. Esto le permite centralizar la detección de datos y la administración de acceso, pero es una característica que afecta directamente a la seguridad de los datos.

Advertencia

Antes de habilitar el cumplimiento de directivas de datos para cualquiera de los recursos, lea nuestro artículo Cumplimiento de directivas de datos.

En este artículo se incluyen los procedimientos recomendados de cumplimiento de directivas de datos para ayudarle a asegurarse de que la información es segura.

Para registrar el recurso y habilitar la aplicación de directivas de datos, siga estos pasos:

Nota:

Debe ser propietario de la suscripción o del grupo de recursos para poder agregar una identidad administrada en un recurso de Azure.

  1. En el Azure Portal, busque la cuenta de Azure Blob Storage que desea registrar.

    Captura de pantalla que muestra la cuenta de almacenamiento

  2. Seleccione Access Control (IAM) en el panel de navegación izquierdo y, a continuación, seleccione + Agregar -->Agregar asignación de roles.

    Captura de pantalla que muestra el control de acceso de la cuenta de almacenamiento

  3. Establezca el rol enLector de datos de Storage Blob y escriba el nombre de la cuenta de Microsoft Purview en el cuadro Seleccionar entrada. A continuación, seleccione Guardar para asignar esta asignación de roles a su cuenta de Microsoft Purview.

    Captura de pantalla que muestra los detalles para asignar permisos para la cuenta de Microsoft Purview

  4. Si tiene un firewall habilitado en la cuenta de almacenamiento, siga estos pasos también:

    1. Vaya a la cuenta de Azure Storage en Azure Portal.

    2. Vaya a Seguridad y redes de red>.

    3. Elija Redes seleccionadas en Permitir acceso desde.

    4. En la sección Excepciones , seleccione Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento y seleccione Guardar.

      Captura de pantalla que muestra las excepciones para permitir que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento.

  5. Una vez que haya configurado la autenticación para la cuenta de almacenamiento, vaya al portal de gobernanza de Microsoft Purview.

  6. Seleccione Mapa de datos en el menú izquierdo.

    Captura de pantalla que muestra el menú de la izquierda del portal de gobernanza de Microsoft Purview abierto con Mapa de datos resaltado.

  7. Seleccione Registrar.

    Captura de pantalla que muestra los orígenes del mapa de datos del portal de gobernanza de Microsoft Purview, con el botón registrar resaltado en la parte superior.

  8. En Registrar orígenes, seleccione Azure Blob Storage.

    Captura de pantalla que muestra el icono de Azure Multiple en la pantalla para registrar varios orígenes.

  9. Seleccione Continuar.

  10. En la pantalla Registrar orígenes (Azure), haga lo siguiente:

    1. En el cuadro Nombre , escriba un nombre descriptivo con el que se mostrará el origen de datos en el catálogo.

    2. En los cuadros de lista desplegable Suscripción , seleccione la suscripción donde se encuentra la cuenta de almacenamiento. A continuación, seleccione la cuenta de almacenamiento en Nombre de la cuenta de almacenamiento. En Seleccionar una colección , seleccione la colección donde desea registrar la cuenta de Azure Storage.

      Captura de pantalla que muestra los cuadros para seleccionar una cuenta de almacenamiento.

    3. En el cuadro Seleccionar una colección , seleccione una colección o cree una nueva (opcional).

    4. Establezca el botón de alternancia Cumplimiento de directivas de datosen Habilitado, como se muestra en la imagen siguiente.

      Captura de pantalla que muestra el botón de alternancia Aplicación de directivas de datos establecido en activo en la página de recursos registrado.

      Sugerencia

      Si el botón de alternancia Cumplimiento de directivas de datos está atenuado y no se puede seleccionar:

      1. Confirme que ha seguido todos los requisitos previos para habilitar la aplicación de directivas de datos en todos los recursos.
      2. Confirme que ha seleccionado una cuenta de almacenamiento que se va a registrar.
      3. Puede ser que este recurso ya esté registrado en otra cuenta de Microsoft Purview. Mantenga el puntero sobre él para conocer el nombre de la cuenta de Microsoft Purview que ha registrado el recurso de datos.first. Solo una cuenta de Microsoft Purview puede registrar un recurso para la aplicación de directivas de datos en ese momento.

    5. Seleccione Registrar para registrar el grupo de recursos o la suscripción con Microsoft Purview con cumplimiento de directivas de datos habilitado.

Sugerencia

Para obtener más información sobre el cumplimiento de directivas de datos, incluidos los procedimientos recomendados o problemas conocidos, consulte nuestro artículo Cumplimiento de directivas de datos.

Creación de una directiva de propietario de datos

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. Vaya a la característica Directiva de datos mediante el panel izquierdo. A continuación, seleccione Directivas de datos.

  3. Seleccione el botón Nueva directiva en la página directiva.

    El propietario de los datos puede acceder a la funcionalidad directiva de Microsoft Purview cuando quiere crear directivas.

  4. Aparecerá la nueva página de directiva. Escriba el nombre y la descripción de la directiva.

  5. Para agregar una instrucción de directiva a la nueva directiva, seleccione el botón Nueva instrucción de directiva . Esto abrirá el generador de instrucciones de directiva.

    El propietario de los datos puede crear una nueva instrucción de directiva.

  6. Seleccione el botón Efecto y elija Permitir en la lista desplegable.

  7. Seleccione el botón Acción y elija Leer o Modificar en la lista desplegable.

  8. Seleccione el botón Recursos de datos para abrir la ventana para escribir información de recursos de datos, que se abrirá a la derecha.

  9. En el panel Recursos de datos , realice una de las dos cosas en función de la granularidad de la directiva:

    • Para crear una instrucción de directiva amplia que cubra todo un origen de datos, un grupo de recursos o una suscripción que se registró anteriormente, use el cuadro Orígenes de datos y seleccione su tipo.
    • Para crear una directiva específica, use el cuadro Activos en su lugar. Escriba el tipo de origen de datos y el nombre de un origen de datos registrado y examinado previamente. Vea el ejemplo de la imagen.

    Captura de pantalla que muestra el editor de directivas, con Recursos de datos seleccionados, y Tipo de origen de datos resaltado en el menú Recursos de datos.

  10. Seleccione el botón Continuar y recorra la jerarquía para seleccionar y el objeto de datos subyacente (por ejemplo: carpeta, archivo, etc.). Seleccione Recursivo para aplicar la directiva desde ese punto de la jerarquía a los objetos de datos secundarios. A continuación, seleccione el botón Agregar . Esto le llevará de vuelta al editor de directivas.

    Captura de pantalla que muestra el menú Seleccionar recurso y el botón Agregar resaltado.

  11. Seleccione el botón Asuntos y escriba la identidad del sujeto como entidad de seguridad, grupo o MSI. A continuación, seleccione el botón Aceptar . Esto le llevará de vuelta al editor de directivas.

    Captura de pantalla que muestra el menú Asunto, con un asunto seleccionado en la búsqueda y el botón Aceptar resaltado en la parte inferior.

  12. Seleccione el botón Guardar para guardar la directiva.

    Captura de pantalla que muestra una directiva de propietario de datos de ejemplo que da acceso a una cuenta de Azure Storage.

Publicación de una directiva de propietario de datos

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. Vaya a la característica Directiva de datos mediante el panel izquierdo. A continuación, seleccione Directivas de datos.

    Captura de pantalla que muestra el portal de gobernanza de Microsoft Purview con el menú más a la izquierda abierto, Administración de directivas resaltado y Directivas de datos seleccionados en la página siguiente.

  3. El portal de directivas presentará la lista de directivas existentes en Microsoft Purview. Busque la directiva que debe publicarse. Seleccione el botón Publicar de la esquina superior derecha de la página.

    Captura de pantalla que muestra el menú de edición de directivas con el botón Publicar resaltado en la parte superior derecha de la página.

  4. Se muestra una lista de orígenes de datos. Puede escribir un nombre para filtrar la lista. A continuación, seleccione cada origen de datos donde se va a publicar esta directiva y, a continuación, seleccione el botón Publicar .

    Captura de pantalla que muestra el menú Publicación de directivas con un recurso de datos seleccionado y el botón Publicar resaltado.

Importante

  • Publicar es una operación en segundo plano. Los cambios pueden tardar hasta 2 horas en reflejarse en las cuentas de almacenamiento.

Limpie los recursos

Para eliminar una directiva en Microsoft Purview, siga estos pasos:

  1. Inicie sesión en el portal de gobernanza de Microsoft Purview.

  2. Vaya a la característica Directiva de datos mediante el panel izquierdo. A continuación, seleccione Directivas de datos.

    Captura de pantalla que muestra el menú más a la izquierda abierto, la administración de directivas resaltada y las directivas de datos seleccionadas en la página siguiente.

  3. El portal de directivas presentará la lista de directivas existentes en Microsoft Purview. Seleccione la directiva que debe actualizarse.

  4. Aparecerá la página de detalles de la directiva, incluidas las opciones Editar y Eliminar. Seleccione el botón Editar , que abre el generador de instrucciones de directiva. Ahora, se puede actualizar cualquier parte de las instrucciones de esta directiva. Para eliminar la directiva, use el botón Eliminar .

    Captura de pantalla que muestra una directiva abierta con el botón Editar resaltado en el menú superior de la página.

Pasos siguientes

Consulte nuestra demostración y tutoriales relacionados:

Demostración de directiva de acceso para conceptos de Azure Storagepara directivas de propietario de datos de Microsoft PurviewHabilitar directivas de propietario de datos de Microsoft Purview en todos los orígenes de datos de una suscripción o un grupo de recursos