Concetti per i criteri di proprietario dei dati di Microsoft Purview (anteprima)

Importante

Al momento questa funzionalità è disponibile in anteprima. Le Condizioni aggiuntive per l'uso per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano alle funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

Questo articolo illustra i concetti relativi alla gestione dell'accesso in lettura o modifica agli asset nel patrimonio dati dall'interno del portale di governance di Microsoft Purview.

Nota

Questa funzionalità non offre il controllo di accesso per Microsoft Purview stesso. La concessione dell'accesso ai ruoli interni di Microsoft Purview è descritta in Controllo di accesso in Microsoft Purview. Questa funzionalità viene usata per concedere l'accesso al piano dati, ad esempio l'accesso ai dati stessi in sistemi dati come Archiviazione di Azure. Non consente di concedere l'accesso al piano di controllo. L'accesso al piano di controllo offre visibilità e capacità per gestire le risorse nella sottoscrizione. È possibile gestire l'accesso al piano di controllo tramite Gestione identità e accesso (IAM)

Panoramica

I criteri di accesso in Microsoft Purview consentono di gestire l'accesso a diversi sistemi dati nell'intero patrimonio dati. Ad esempio:

Un utente deve accedere in lettura a un account di archiviazione di Azure registrato in Microsoft Purview. È possibile concedere questo accesso direttamente in Microsoft Purview creando un criterio di accesso ai dati tramite l'app Criteri di dati nel portale di governance di Microsoft Purview.

I criteri del proprietario dei dati possono essere applicati solo ai sistemi dati abilitati per l'applicazione dei criteri in Microsoft Purview, ad esempio con l'opzione Di imposizione dei criteri dati attivata nella registrazione dell'origine dati.

Concetti

Criteri del proprietario dei dati

Un criterio proprietario dei dati è un set denominato di istruzioni di criteri. Quando un criterio viene pubblicato in uno o più sistemi dati sotto la governance di Microsoft Purview, viene quindi applicato da questi. Una definizione di criteri include un nome, una descrizione e un elenco di una o più istruzioni dei criteri.

Nota

Attualmente è supportata solo una singola istruzione di criteri per ogni criterio.

Informativa criteri

Un'istruzione di criteri è un'istruzione leggibile che determina come l'origine dati deve gestire un'operazione di accesso ai dati specifica. L'istruzione dei criteri è costituita da Effetto, Azione, Risorsa dati e Soggetto.

Azione

Un'azione è l'operazione consentita o negata come parte di questo criterio. Ad esempio: Lettura o Modifica. Queste azioni logiche di alto livello vengono mappate a una (o più) azioni di dati nel sistema dati in cui vengono applicate.

Effetto

L'effetto indica quale dovrebbe essere il risultato se è presente una corrispondenza nella risorsa dati e nell'oggetto dell'istruzione dei criteri. Attualmente, l'unico valore supportato è Consenti.

Risorsa dati

La risorsa dati è il percorso completo dell'asset di dati dell'oggetto applicato dall'istruzione dei criteri. È conforme al formato seguente:

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Formato data-asset-path di Archiviazione di Azure:

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Azure SQL formato db data-asset-path:

Microsoft.Sql/servers/<server-name>

Oggetto

Si tratta di un elenco delle identità dell'utente finale di Microsoft Entra ID per cui è applicabile questa istruzione dei criteri. Ogni identità può essere un'entità servizio, un singolo utente, un gruppo o un'identità del servizio gestita.

Esempio

Consenti lettura sui dati Asset: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData to group Finance-analyst

Nell'istruzione dei criteri precedente l'effetto è Consenti, l'azione è Lettura, la risorsa dati è Il contenitore di Archiviazione di Azure FinData e l'oggetto è Microsoft Entra gruppo Finance-analyst. Se un utente appartenente a questo gruppo tenta di leggere i dati dal contenitore di archiviazione FinData, la richiesta sarà consentita.

Imposizione gerarchica dei criteri

La risorsa dati specificata in un'istruzione di criteri è gerarchica per impostazione predefinita. Ciò significa che l'istruzione policy si applica all'oggetto dati stesso e a tutti gli oggetti figlio contenuti nell'oggetto dati. Ad esempio, un'istruzione dei criteri nel contenitore di Archiviazione di Azure si applica a tutti i BLOB al suo interno.

Algoritmo di combinazione di criteri

Un'origine dati combina tutti i criteri locali applicabili con tutti i criteri di Microsoft Purview e fornisce una decisione consolidata quando un utente tenta di accedere a un asset. La strategia di combinazione sceglie i criteri più restrittivi.

Si supponga, ad esempio, che due criteri diversi in un contenitore di Archiviazione di Azure FinData siano i seguenti:

Criterio 1 - Consenti lettura su asset di dati /subscription/..../containers/FinData per raggruppare Finance-analyst

Criterio 2 - Deny Read on Data Asset /subscription/..../containers/FinData to group Finance-contractors

Si supponga quindi che l'utente 'user1', che fa parte di due gruppi: Finance-analyst e Finance-contractors, esegga una chiamata all'API di lettura BLOB. Poiché entrambi i criteri saranno applicabili, Archiviazione di Azure sceglierà quello più restrittivo, ovvero Negadi lettura. Di conseguenza, la richiesta di accesso verrà negata.

Pubblicazione di criteri

Nello stato della modalità bozza esiste un criterio appena creato, visibile solo in Microsoft Purview. L'atto di pubblicazione avvia l'applicazione di un criterio nei sistemi dati specificati. Si tratta di un'azione asincrona che può richiedere tra 5 minuti e 2 ore per essere efficace, a seconda del tipo di origine dati. Per altre informazioni, vedere le guide pratiche relative ai criteri del proprietario dei dati correlate a ogni tipo di origine dati.

Un criterio pubblicato in un'origine dati può contenere istruzioni di criteri che fanno riferimento a un'origine dati diversa. Tali riferimenti verranno ignorati perché l'asset in questione non esiste nell'origine dati in cui vengono applicati i criteri.

Passaggi successivi

Consultare le guide su come creare criteri in Microsoft Purview che vengono applicati in sistemi dati specifici. Oltre all'interfaccia utente, è ora possibile provare l'API Criteri proprietario dei dati.

• Doc: Come abilitare l'imposizione dei criteri per un'origine dati
• Doc: Effettuare il provisioning dell'accesso ai set di dati di Archiviazione di Azure
• Doc: Effettuare il provisioning dell'accesso a tutte le origini dati in una sottoscrizione o in un gruppo di risorse
• Doc: Effettuare il provisioning dell'accesso agli asset di database Azure SQL
• Doc: Effettuare il provisioning dell'accesso agli asset di SQL Server 2022 (abilitati per Arc)
• Blog: Concedere agli utenti l'accesso agli asset di dati nell'organizzazione tramite l'API