Tutoriel : Accès par propriétaire des données aux jeux de données stockage Azure (préversion)
Importante
Cette fonctionnalité est actuellement en préversion. Les conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure incluent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Les stratégies de Microsoft Purview vous permettent d’activer l’accès aux sources de données qui ont été inscrites dans une collection. Ce tutoriel décrit comment un propriétaire de données peut utiliser Microsoft Purview pour activer l’accès aux jeux de données dans stockage Azure via Microsoft Purview.
Dans ce tutoriel, vous apprenez à effectuer les opérations suivantes :
- Préparer votre environnement Azure
- Configurer des autorisations pour autoriser Microsoft Purview à se connecter à vos ressources
- Inscrire votre ressource Stockage Azure pour l’application de la stratégie de données
- Créer et publier une stratégie pour votre groupe de ressources ou abonnement
Configuration requise
Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
Un compte Microsoft Purview nouveau ou existant. Suivez ce guide de démarrage rapide pour en créer un.
Prise en charge des régions
- Toutes les régions Microsoft Purview sont prises en charge.
- Les comptes de stockage dans les régions suivantes sont pris en charge sans nécessiter de configuration supplémentaire. Toutefois, les comptes de stockage redondant interzone (ZRS) ne sont pas pris en charge.
- Centre de l’Australie
- Australie Est
- Australie Sud-Est
- Sud du Brésil
- Canada Centre
- Canada Est
- Centre de l’Inde
- USA Centre
- Asie Est
- USA Est 2
- USA Est
- France Centre
- Centre Ouest de l’Allemagne
- Japon Est
- Japon Ouest
- Corée du Sud
- USA Centre Nord
- Europe Nord
- Norvège Est
- Pologne Centre
- Qatar Centre
- USA Centre Sud
- Nord de l’Afrique du Sud
- Asie Sud-Est
- Inde Sud
- Suède Centre
- Suisse Nord
- USA Centre Ouest
- Europe Ouest
- USA Ouest
- USA Ouest 2
- USA Ouest 3
- UAE Nord
- Sud du Royaume-Uni
- Ouest du Royaume-Uni
- Les comptes de stockage dans d’autres régions du cloud public sont pris en charge après la définition de l’indicateur de fonctionnalité AllowPurviewPolicyEnforcement, comme indiqué dans la section suivante. Les comptes de stockage ZRS nouvellement créés sont pris en charge, s’ils sont créés après la définition de l’indicateur de fonctionnalité AllowPurviewPolicyEnforcement.
Si nécessaire, vous pouvez créer un compte de stockage en suivant ce guide.
Configurer l’abonnement dans lequel réside le compte de stockage Azure pour les stratégies de Microsoft Purview
Cette étape n’est nécessaire que dans certaines régions (voir la section précédente). Pour permettre à Microsoft Purview de gérer les stratégies d’un ou de plusieurs comptes de stockage Azure, exécutez les commandes PowerShell suivantes dans l’abonnement dans lequel vous allez déployer votre compte stockage Azure. Ces commandes PowerShell permettent à Microsoft Purview de gérer les stratégies sur tous les comptes de stockage Azure de cet abonnement.
Si vous exécutez ces commandes localement, veillez à exécuter PowerShell en tant qu’administrateur. Vous pouvez également utiliser le Cloud Shell Azure dans le Portail Azure : https://shell.azure.com.
# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage
Si la sortie de la dernière commande indique RegistrationState comme Inscrit, votre abonnement est activé pour les stratégies d’accès. Si la sortie est En cours d’inscription, attendez au moins 10 minutes, puis réessayez la commande. Ne continuez pas, sauf si RegistrationState s’affiche comme Enregistré.
Configuration
Inscrire la source de données dans Microsoft Purview
Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.
Remarque
Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.
Configurer les autorisations pour activer l’application de la stratégie de données sur la source de données
Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer l’application de la stratégie de données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer l’application de la stratégie de données, vous devez disposer de privilèges IAM (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :
Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :
- Propriétaire IAM
- Contributeur IAM et Administrateur de l’accès utilisateur IAM
Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.
Remarque
Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels Microsoft Entra utilisateurs, groupes et principaux de service détiennent ou héritent du rôle Propriétaire IAM pour la ressource.
Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.
La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.
Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès
Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :
- Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
- Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.
Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.
Remarque
Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.
En outre, pour rechercher facilement Microsoft Entra utilisateurs ou groupes lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez bénéficier grandement de l’obtention de l’autorisation Lecteurs d’annuaire dans Microsoft Entra ID. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.
Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données
Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.
Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.
Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.
Remarque
Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.
Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview
Une fois qu’une ressource a été activée pour l’application de la stratégie de données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.
Remarque
Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .
Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.
Inscrire les sources de données dans Microsoft Purview pour l’application de la stratégie de données
Votre compte stockage Azure doit être inscrit dans Microsoft Purview pour définir ultérieurement des stratégies d’accès, et lors de l’inscription, nous activerons l’application de la stratégie de données. L’application de la stratégie de données est une fonctionnalité disponible dans Microsoft Purview qui permet aux utilisateurs de gérer l’accès à une ressource à partir de Microsoft Purview. Cela vous permet de centraliser la découverte des données et la gestion des accès, mais il s’agit d’une fonctionnalité qui a un impact direct sur la sécurité de vos données.
Avertissement
Avant d’activer l’application de la stratégie de données pour l’une de vos ressources, lisez notre article Sur l’application de la stratégie de données.
Cet article inclut les meilleures pratiques en matière d’application de la stratégie de données pour vous aider à vous assurer que vos informations sont sécurisées.
Pour inscrire votre ressource et activer l’application de la stratégie de données, procédez comme suit :
Remarque
Vous devez être propriétaire de l’abonnement ou du groupe de ressources pour pouvoir ajouter une identité managée sur une ressource Azure.
Dans le Portail Azure, recherchez le compte de stockage Blob Azure que vous souhaitez inscrire.
Sélectionnez Access Control (IAM) dans le volet de navigation de gauche, puis + Ajouter --Ajouter une attribution de> rôle.
Définissez le rôle sur Lecteur de données Blob du stockage et entrez le nom de votre compte Microsoft Purview sous la zone Sélectionner une entrée. Sélectionnez ensuite Enregistrer pour attribuer cette attribution de rôle à votre compte Microsoft Purview.
Si un pare-feu est activé sur votre compte de stockage, procédez également comme suit :
Accédez à votre compte Stockage Azure dans Portail Azure.
Accédez à Sécurité + mise en réseau > Réseau.
Choisissez Réseaux sélectionnés sous Autoriser l’accès.
Dans la section Exceptions , sélectionnez Autoriser les services Microsoft approuvés à accéder à ce compte de stockage , puis sélectionnez Enregistrer.
Une fois que vous avez configuré l’authentification pour votre compte de stockage, accédez au portail de gouvernance Microsoft Purview.
Sélectionnez Data Map dans le menu de gauche.
Sélectionner Inscription.
Dans Inscrire des sources, sélectionnez Stockage Blob Azure.
Cliquez sur Continuer.
Dans l’écran Inscrire des sources (Azure), procédez comme suit :
Dans la zone Nom , entrez un nom convivial avec lequel la source de données sera répertoriée dans le catalogue.
Dans les zones de liste déroulante Abonnement , sélectionnez l’abonnement dans lequel votre compte de stockage est hébergé. Sélectionnez ensuite votre compte de stockage sous Nom du compte de stockage. Dans Sélectionner une collection , sélectionnez la collection dans laquelle vous souhaitez inscrire votre compte stockage Azure.
Dans la zone Sélectionner une collection , sélectionnez une collection ou créez-en une (facultatif).
Définissez le bouton bascule Application de la stratégie de données sur Activé, comme illustré dans l’image ci-dessous.
Conseil
Si le bouton bascule Application de la stratégie de données est grisé et ne peut pas être sélectionné :
- Vérifiez que vous avez respecté toutes les conditions préalables pour activer l’application de la stratégie de données sur l’ensemble de vos ressources.
- Vérifiez que vous avez sélectionné un compte de stockage à inscrire.
- Il se peut que cette ressource soit déjà inscrite dans un autre compte Microsoft Purview. Pointez dessus pour connaître le nom du compte Microsoft Purview qui a inscrit la ressource de données.first. Un seul compte Microsoft Purview peut inscrire une ressource pour l’application de la stratégie de données à la fois.
Sélectionnez Inscrire pour inscrire le groupe de ressources ou l’abonnement auprès de Microsoft Purview avec l’application de la stratégie de données activée.
Conseil
Pour plus d’informations sur l’application de la stratégie de données, y compris les bonnes pratiques ou les problèmes connus, consultez notre article Sur l’application de la stratégie de données.
Créer une stratégie de propriétaire de données
Connectez-vous au portail de gouvernance Microsoft Purview.
Accédez à la fonctionnalité Stratégie de données à l’aide du volet gauche. Sélectionnez ensuite Stratégies de données.
Sélectionnez le bouton Nouvelle stratégie dans la page de stratégie.
La nouvelle page de stratégie s’affiche. Entrez le nom et la description de la stratégie.
Pour ajouter une instruction de stratégie à la nouvelle stratégie, sélectionnez le bouton Nouvelle instruction de stratégie . Le générateur d’instructions de stratégie s’affiche.
Sélectionnez le bouton Effet et choisissez Autoriser dans la liste déroulante.
Sélectionnez le bouton Action et choisissez Lire ou Modifier dans la liste déroulante.
Sélectionnez le bouton Ressources de données pour afficher la fenêtre permettant d’entrer des informations sur les ressources de données, qui s’ouvre à droite.
Sous le panneau Ressources de données , effectuez l’une des deux opérations en fonction de la granularité de la stratégie :
- Pour créer une instruction de stratégie générale qui couvre l’intégralité d’une source de données, d’un groupe de ressources ou d’un abonnement précédemment inscrit, utilisez la zone Sources de données et sélectionnez son Type.
- Pour créer une stratégie affinée, utilisez la zone Ressources à la place. Entrez le Type de source de données et le Nom d’une source de données précédemment inscrite et analysée. Consultez l’exemple dans l’image.
Sélectionnez le bouton Continuer et parcourez la hiérarchie pour sélectionner et data-object sous-jacent (par exemple : dossier, fichier, etc.). Sélectionnez Récursif pour appliquer la stratégie à partir de ce point dans la hiérarchie à tous les objets de données enfants. Sélectionnez ensuite le bouton Ajouter . Cela vous ramène à l’éditeur de stratégie.
Sélectionnez le bouton Sujets et entrez l’identité de l’objet en tant que principal, groupe ou MSI. Sélectionnez ensuite le bouton OK . Cela vous ramènera à l’éditeur de stratégie.
Sélectionnez le bouton Enregistrer pour enregistrer la stratégie.
Publier une stratégie de propriétaire de données
Connectez-vous au portail de gouvernance Microsoft Purview.
Accédez à la fonctionnalité Stratégie de données à l’aide du volet gauche. Sélectionnez ensuite Stratégies de données.
Le portail des stratégies présente la liste des stratégies existantes dans Microsoft Purview. Recherchez la stratégie qui doit être publiée. Sélectionnez le bouton Publier dans le coin supérieur droit de la page.
Une liste de sources de données s’affiche. Vous pouvez entrer un nom pour filtrer la liste. Ensuite, sélectionnez chaque source de données dans laquelle cette stratégie doit être publiée, puis sélectionnez le bouton Publier .
Importante
- La publication est une opération en arrière-plan. Jusqu’à 2 heures peuvent être nécessaires pour que les modifications soient reflétées dans le ou les comptes de stockage.
Nettoyer les ressources
Pour supprimer une stratégie dans Microsoft Purview, procédez comme suit :
Connectez-vous au portail de gouvernance Microsoft Purview.
Accédez à la fonctionnalité Stratégie de données à l’aide du volet gauche. Sélectionnez ensuite Stratégies de données.
Le portail des stratégies présente la liste des stratégies existantes dans Microsoft Purview. Sélectionnez la stratégie à mettre à jour.
La page des détails de la stratégie s’affiche, y compris les options Modifier et Supprimer. Sélectionnez le bouton Modifier pour faire apparaître le générateur d’instructions de stratégie. À présent, toutes les parties des instructions de cette stratégie peuvent être mises à jour. Pour supprimer la stratégie, utilisez le bouton Supprimer .
Étapes suivantes
Consultez notre démonstration et les tutoriels associés :