Partager via


Concepts pour les stratégies de propriétaire de données Microsoft Purview (préversion)

Importante

Cette fonctionnalité est actuellement en préversion. Les conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure incluent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Cet article décrit les concepts liés à la gestion de la lecture ou de la modification de l’accès aux ressources dans votre patrimoine de données à partir du portail de gouvernance Microsoft Purview.

Remarque

Cette fonctionnalité n’offre pas de contrôle d’accès pour Microsoft Purview lui-même. L’octroi de l’accès aux rôles internes Microsoft Purview est décrit dans Contrôle d’accès dans Microsoft Purview. Cette fonctionnalité est utilisée pour accorder l’accès au plan de données, c’est-à-dire l’accès aux données elles-mêmes dans des systèmes de données comme stockage Azure. Il ne vous permet pas d’accorder l’accès au plan de contrôle. L’accès au plan de contrôle offre une visibilité et une capacité de gestion des ressources dans votre abonnement. Vous pouvez gérer l’accès au plan de contrôle via la gestion des identités et des accès (IAM)

Vue d’ensemble

Les stratégies d’accès dans Microsoft Purview vous permettent de gérer l’accès à différents systèmes de données dans l’ensemble de votre patrimoine de données. Par exemple :

Un utilisateur a besoin d’un accès en lecture à un compte de stockage Azure qui a été inscrit dans Microsoft Purview. Vous pouvez accorder cet accès directement dans Microsoft Purview en créant une stratégie d’accès aux données via l’application Stratégie de données dans le portail de gouvernance Microsoft Purview.

Les stratégies de propriétaire des données peuvent être appliquées uniquement sur les systèmes de données qui ont été activés pour l’application de la stratégie dans Microsoft Purview, c’est-à-dire avec l’option Application de la stratégie de données activée dans l’inscription de la source de données.

Concepts

Stratégie de propriétaire des données

Une stratégie de propriétaire de données est un ensemble nommé d’instructions de stratégie. Lorsqu’une stratégie est publiée sur un ou plusieurs systèmes de données sous la gouvernance de Microsoft Purview, elle est ensuite appliquée par ces derniers. Une définition de stratégie inclut un nom de stratégie, une description et une liste d’une ou plusieurs instructions de stratégie.

Remarque

Actuellement, une seule instruction de stratégie est prise en charge par stratégie.

Instruction de stratégie

Une instruction de stratégie est une instruction lisible par l’homme qui dicte la façon dont la source de données doit gérer une opération d’accès aux données spécifique. L’instruction de stratégie comprend Effet, Action, Ressource de données et Objet.

Opération

Une action est l’opération autorisée ou refusée dans le cadre de cette stratégie. Par exemple : Read ou Modify. Ces actions logiques de haut niveau sont mappées à une (ou plusieurs) actions de données dans le système de données où elles sont appliquées.

Effet

L’effet indique ce qui doit être le résultat s’il existe une correspondance entre la ressource de données et l’objet de l’instruction de stratégie. Actuellement, la seule valeur prise en charge est Autoriser.

Ressource de données

La ressource de données est le chemin d’accès complet de la ressource de données à l’objet que l’instruction de stratégie applique. Il est conforme au format suivant :

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Format de chemin d’accès des ressources de ressources de stockage Azure :

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Azure SQL format data-asset-path de base de données :

Microsoft.Sql/servers/<server-name>

Sujet

Il s’agit d’une liste des identités des utilisateurs finaux de Microsoft Entra ID auxquels cette déclaration de stratégie s’applique. Chaque identité peut être un principal de service, un utilisateur individuel, un groupe ou une identité de service managé (MSI).

Exemple

Autoriser la lecture sur la ressource de données : /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData pour regrouper Finance-analyst

Dans l’instruction de stratégie ci-dessus, l’effet est Autoriser, l’action est Read, la ressource de données est le conteneur De stockage Azure FinData et l’objet est Microsoft Entra groupe Finance-analyst. Si un utilisateur appartenant à ce groupe tente de lire des données à partir du conteneur de stockage FinData, la demande est autorisée.

Application hiérarchique des stratégies

La ressource de données spécifiée dans une instruction de stratégie est hiérarchique par défaut. Cela signifie que l’instruction de stratégie s’applique à l’objet de données lui-même et à tous les objets enfants contenus dans l’objet de données. Par exemple, une instruction de stratégie sur le conteneur Stockage Azure s’applique à tous les objets blob qu’il contient.

Algorithme de combinaison de stratégies

Une source de données combine toutes les stratégies locales applicables avec toutes les stratégies de Microsoft Purview et fournit une décision consolidée lorsqu’un utilisateur tente d’accéder à une ressource. La stratégie de combinaison choisit la stratégie la plus restrictive.

Par exemple, supposons que deux stratégies différentes sur un conteneur De stockage Azure FinData sont les suivantes :

Stratégie 1 - Autoriser la lecture sur la ressource de données /subscription/..../containers/FinData pour grouper Finance-analyst

Stratégie 2 - Refuser la lecture sur la ressource de données /subscription/..../containers/FinData pour groupe Finance-contractors

Supposons ensuite que l’utilisateur « user1 », qui fait partie de deux groupes : Finance-analyst et Finance-contractors, exécute un appel à l’API de lecture d’objets blob. Étant donné que les deux stratégies sont applicables, stockage Azure choisit la plus restrictive, à savoir Refuser la lecture. Par conséquent, la demande d’accès sera refusée.

Publication de stratégie

Une stratégie nouvellement créée existe dans l’état du mode brouillon, visible uniquement dans Microsoft Purview. L’acte de publication lance l’application d’une stratégie dans les systèmes de données spécifiés. Il s’agit d’une action asynchrone qui peut prendre entre 5 minutes et 2 heures pour être efficace, selon le type de source de données. Pour plus d’informations, consultez les guides pratiques stratégies de propriétaire de données relatifs à chaque type de source de données.

Une stratégie publiée dans une source de données peut contenir des instructions de stratégie qui font référence à une autre source de données. Ces références seront ignorées, car la ressource en question n’existe pas dans la source de données où la stratégie est appliquée.

Étapes suivantes

Consultez les guides sur la création de stratégies dans Microsoft Purview qui sont appliquées dans des systèmes de données spécifiques. Au-delà de l’interface utilisateur, vous pouvez maintenant essayer l’API Stratégies de propriétaire des données.