Condividi tramite

Effettuare il provisioning dell'accesso ai metadati di sistema in Istanza gestita di SQL di Azure usando i criteri DevOps di Microsoft Purview

  • Articolo

I criteri DevOps sono un tipo di criteri di accesso di Microsoft Purview. Consentono di gestire l'accesso ai metadati di sistema nelle origini dati registrate per l'applicazione dei criteri di dati in Microsoft Purview. Questi criteri vengono configurati direttamente dal portale di governance di Microsoft Purview e, dopo il salvataggio, vengono pubblicati automaticamente e quindi applicati dall'origine dati. I criteri di Microsoft Purview gestiscono l'accesso solo per le entità Microsoft Entra.

Questa guida pratica illustra come configurare Istanza gestita di SQL di Azure per applicare i criteri creati in Microsoft Purview. Vengono illustrati i passaggi di configurazione per Azure SQL MI e quelli in Microsoft Purview per effettuare il provisioning dell'accesso ai metadati del sistema mi Azure SQL (DMV e DDF) usando le azioni dei criteri DevOps Monitoraggio prestazioni SQL o Controllo della sicurezza SQL.

Prerequisiti

  • Creare un nuovo Azure SQL MI o usarne uno esistente in una delle aree attualmente disponibili per questa funzionalità. È possibile seguire questa guida per creare un nuovo Azure SQL MI.

Supporto dell'area

Sono supportate tutte le aree di Microsoft Purview .

L'applicazione dei criteri di Microsoft Purview è disponibile solo nelle aree seguenti per Azure SQL MI:

Cloud pubblico:

  • Stati Uniti orientali
  • Stati Uniti orientali2
  • Stati Uniti centro-meridionali
  • Stati Uniti centro-occidentali
  • Stati Uniti occidentali3
  • Canada centrale
  • Brasile meridionale
  • Europa occidentale
  • Europa settentrionale
  • Francia centrale
  • Regno Unito meridionale
  • Sudafrica settentrionale
  • India centrale
  • Asia sud-orientale
  • Asia orientale
  • Australia orientale

configurazione dell'mi Azure SQL

Questa sezione illustra come configurare Azure SQL MI per rispettare i criteri di Microsoft Purview. Verificare prima di tutto se Azure SQL'interfaccia della riga di comando è configurata per l'endpoint pubblico o privato. Questa guida illustra come eseguire questa operazione.

Configurazione per l'endpoint pubblico dell'mi utente SQL

Se Azure SQL MI è configurato per l'endpoint pubblico, seguire questa procedura:

  • Configurare un Microsoft Entra Amministrazione. In portale di Azure passare all'mi Azure SQL, quindi passare a Microsoft Entra ID nel menu laterale (in precedenza denominato amministratore di Active Directory). Impostare un nome Amministrazione e quindi selezionare Salva.

  • Passare quindi a Identità nel menu laterale. In Stato di controllo identità gestita assegnata dal sistema su e quindi selezionare Salva. Vedere lo screenshot:

    Screenshot che mostra come assegnare un'identità gestita di sistema a Azure SQL MI.

Configurazione per l'endpoint privato dell'interfaccia utente di SQL

Se Azure SQL'interfaccia della riga di comando è configurata per l'uso dell'endpoint privato, eseguire gli stessi passaggi descritti nella configurazione per l'endpoint pubblico e, inoltre, eseguire le operazioni seguenti:

  • Passare al gruppo di sicurezza di rete (NSG) associato all'interfaccia della riga di comando Azure SQL.

  • Aggiungere una regola di sicurezza in uscita simile a quella nello screenshot seguente. Destination = Service Tag, Destination service tag = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. Assicurarsi anche che la priorità di questa regola sia inferiore a quella della regola deny_all_outbound .

    Screenshot che mostra come configurare la regola di sicurezza in uscita in Purview

Configurazione di Microsoft Purview

Registrare l'origine dati in Microsoft Purview

Prima di creare un criterio in Microsoft Purview per una risorsa dati, è necessario registrare tale risorsa dati in Microsoft Purview Studio. Le istruzioni relative alla registrazione della risorsa dati sono disponibili più avanti in questa guida.

Nota

I criteri di Microsoft Purview si basano sul percorso arm della risorsa dati. Se una risorsa dati viene spostata in un nuovo gruppo di risorse o sottoscrizione, sarà necessario deregistrarla e quindi registrarla di nuovo in Microsoft Purview.

Configurare le autorizzazioni per abilitare l'imposizione dei criteri dati nell'origine dati

Dopo aver registrato una risorsa, ma prima di poter creare un criterio in Microsoft Purview per tale risorsa, è necessario configurare le autorizzazioni. Per abilitare l'imposizione dei criteri dati, è necessario un set di autorizzazioni. Questo vale per le origini dati, i gruppi di risorse o le sottoscrizioni. Per abilitare l'imposizione dei criteri di dati, è necessario disporre di privilegi specifici di Gestione identità e accesso (IAM) per la risorsa e di privilegi specifici di Microsoft Purview:

  • È necessario disporre di una delle combinazioni di ruoli IAM seguenti nel percorso di Azure Resource Manager della risorsa o in qualsiasi altro elemento padre, ovvero usando l'ereditarietà delle autorizzazioni IAM:

    • Proprietario di IAM
    • Collaboratore IAM e Amministratore accesso utente di IAM

    Per configurare le autorizzazioni del controllo degli accessi in base al ruolo di Azure, seguire questa guida. Lo screenshot seguente mostra come accedere alla sezione Controllo di accesso nel portale di Azure per la risorsa dati per aggiungere un'assegnazione di ruolo.

    Screenshot che mostra la sezione nel portale di Azure per l'aggiunta di un'assegnazione di ruolo.

    Nota

    Il ruolo proprietario di IAM per una risorsa dati può essere ereditato da un gruppo di risorse padre, una sottoscrizione o un gruppo di gestione della sottoscrizione. Controllare quali Microsoft Entra utenti, gruppi ed entità servizio contengono o ereditano il ruolo di proprietario di IAM per la risorsa.

  • È anche necessario avere il ruolo di amministratore dell'origine dati di Microsoft Purview per la raccolta o una raccolta padre (se l'ereditarietà è abilitata). Per altre informazioni, vedere la guida sulla gestione delle assegnazioni di ruolo di Microsoft Purview.

    Lo screenshot seguente mostra come assegnare il ruolo di amministratore dell'origine dati a livello di raccolta radice.

    Screenshot che mostra le selezioni per l'assegnazione del ruolo di amministratore dell'origine dati a livello di raccolta radice.

Configurare le autorizzazioni di Microsoft Purview per creare, aggiornare o eliminare i criteri di accesso

Per creare, aggiornare o eliminare criteri, è necessario ottenere il ruolo Autore criteri in Microsoft Purview a livello di raccolta radice:

  • Il ruolo Autore criteri può creare, aggiornare ed eliminare i criteri DevOps e Proprietario dati.
  • Il ruolo Autore criteri può eliminare i criteri di accesso self-service.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Il ruolo di autore dei criteri deve essere configurato a livello di raccolta radice.

Inoltre, per eseguire facilmente ricerche Microsoft Entra utenti o gruppi durante la creazione o l'aggiornamento dell'oggetto di un criterio, è possibile ottenere l'autorizzazione Lettori directory in Microsoft Entra ID. Si tratta di un'autorizzazione comune per gli utenti in un tenant di Azure. Senza l'autorizzazione Lettore di directory, l'autore dei criteri dovrà digitare il nome utente o il messaggio di posta elettronica completo per tutte le entità incluse nell'oggetto di un criterio dati.

Configurare le autorizzazioni di Microsoft Purview per la pubblicazione dei criteri proprietario dei dati

I criteri del proprietario dei dati consentono controlli e saldi se si assegnano i ruoli di autore dei criteri di Microsoft Purview e amministratore dell'origine dati a persone diverse nell'organizzazione. Prima che i criteri di proprietario dei dati abbiano effetto, una seconda persona (amministratore dell'origine dati) deve esaminarlo e approvarlo in modo esplicito pubblicandolo. Questo non si applica ai criteri di accesso self-service o DevOps perché la pubblicazione è automatica quando tali criteri vengono creati o aggiornati.

Per pubblicare un criterio proprietario dei dati, è necessario ottenere il ruolo di amministratore dell'origine dati in Microsoft Purview a livello di raccolta radice.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Per pubblicare i criteri proprietario dei dati, il ruolo di amministratore dell'origine dati deve essere configurato a livello di raccolta radice.

Delegare la responsabilità del provisioning dell'accesso ai ruoli in Microsoft Purview

Dopo aver abilitato una risorsa per l'applicazione dei criteri dati, qualsiasi utente di Microsoft Purview con il ruolo Autore criteri a livello di raccolta radice può effettuare il provisioning dell'accesso a tale origine dati da Microsoft Purview.

Nota

Qualsiasi amministratore della raccolta radice di Microsoft Purview può assegnare nuovi utenti ai ruoli di autore dei criteri radice. Qualsiasi amministratore della raccolta può assegnare nuovi utenti a un ruolo di amministratore dell'origine dati nella raccolta. Ridurre al minimo e controllare attentamente gli utenti che detengono i ruoli amministratore della raccolta Di Microsoft Purview, Amministratore origine dati o Autore criteri .

Se viene eliminato un account Microsoft Purview con criteri pubblicati, tali criteri smetteranno di essere applicati entro un periodo di tempo che dipende dall'origine dati specifica. Questa modifica può avere implicazioni sia sulla sicurezza che sulla disponibilità dell'accesso ai dati. I ruoli Collaboratore e Proprietario in IAM possono eliminare gli account Microsoft Purview. È possibile controllare queste autorizzazioni passando alla sezione Controllo di accesso (IAM) per l'account Microsoft Purview e selezionando Assegnazioni di ruolo. È anche possibile usare un blocco per impedire l'eliminazione dell'account Microsoft Purview tramite blocchi Resource Manager.

Registrare le origini dati in Microsoft Purview

L'origine dati Istanza gestita di SQL di Azure deve essere registrata prima con Microsoft Purview, prima di poter creare criteri di accesso. È possibile seguire le sezioni "Prerequisiti" e "Registrare l'origine dati" in questa guida: Registrare ed analizzare Azure SQL MI.

Dopo aver registrato le risorse, sarà necessario abilitare l'imposizione dei criteri di dati (in precedenza Gestione utilizzo dati). L'applicazione dei criteri di dati richiede determinate autorizzazioni e può influire sulla sicurezza dei dati, in quanto delega a determinati ruoli di Microsoft Purview la possibilità di gestire l'accesso alle origini dati. Esaminare le procedure di sicurezza correlate all'imposizione dei criteri di dati in questa guida: Come abilitare l'imposizione dei criteri

Quando l'origine dati ha l'interruttore Imposizione dei criteri di datiabilitato, sarà simile a questo screenshot. In questo modo i criteri di accesso verranno usati con l'origine dati specificata.

Screenshot che mostra come abilitare l'imposizione dei criteri.

Tornare al portale di Azure per Azure SQL database per verificare che sia ora regolato da Microsoft Purview:

  1. Accedere al portale di Azure tramite questo collegamento

  2. Selezionare il Azure SQL Server da configurare.

  3. Passare a Microsoft Entra ID nel riquadro sinistro.

  4. Scorrere verso il basso fino ai criteri di accesso di Microsoft Purview.

  5. Selezionare il pulsante Per verificare la governance di Microsoft Purview. Attendere l'elaborazione della richiesta. Potrebbero essere necessari alcuni minuti.

    Screenshot che mostra Azure SQL è regolato da Microsoft Purview.

  6. Verificare che lo stato della governance di Microsoft Purview mostri Governed. Si noti che potrebbero essere necessari alcuni minuti dopo l'abilitazione dell'applicazione dei criteri di dati in Microsoft Purview per il riflesso dello stato corretto.

Nota

Se si disabilita l'imposizione dei criteri di dati per questa origine dati Azure SQL database, potrebbero essere richieste fino a 24 ore prima che lo stato di governance di Microsoft Purview venga aggiornato automaticamente a Not Governed. Questa operazione può essere accelerata selezionando Verifica la governance di Microsoft Purview. Prima di abilitare l'imposizione dei criteri di dati per l'origine dati in un altro account Microsoft Purview, assicurarsi che lo stato di governance di Purview venga visualizzato come Not Governed. Ripetere quindi i passaggi precedenti con il nuovo account Microsoft Purview.

Creare un nuovo criterio DevOps

Seguire questo collegamento per la procedura per creare un nuovo criterio DevOps in Microsoft Purview.

Elencare i criteri DevOps

Seguire questo collegamento per i passaggi per elencare i criteri DevOps in Microsoft Purview.

Aggiornare un criterio DevOps

Seguire questo collegamento per i passaggi per aggiornare i criteri DevOps in Microsoft Purview.

Eliminare un criterio DevOps

Seguire questo collegamento per la procedura per eliminare i criteri DevOps in Microsoft Purview.

Importante

I criteri DevOps vengono pubblicati automaticamente e le modifiche possono richiedere fino a 5 minuti per essere applicate dall'origine dati.

Testare i criteri DevOps

Vedere come testare i criteri creati.

Dettagli della definizione del ruolo

Vedere il mapping del ruolo DevOps alle azioni dell'origine dati.

Passaggi successivi

Vedere video, blog e documenti correlati.