Condividi tramite

Effettuare il provisioning dell'accesso in lettura ad Archiviazione di Azure usando i criteri di proprietario dei dati di Microsoft Purview (anteprima)

  • Articolo

Importante

Al momento questa funzionalità è disponibile in anteprima. Le Condizioni aggiuntive per l'uso per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano alle funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

I criteri di proprietario dei dati sono un tipo di criteri di accesso di Microsoft Purview. Consentono di gestire l'accesso ai dati utente nelle origini registrate per l'applicazione dei criteri di dati in Microsoft Purview. Questi criteri possono essere creati direttamente nel portale di governance di Microsoft Purview e, dopo la pubblicazione, vengono applicati dall'origine dati.

Questa guida illustra come un proprietario dei dati può delegare la gestione dell'accesso ai set di dati di Archiviazione di Azure in Microsoft Purview. Attualmente sono supportate queste due origini di Archiviazione di Azure:

  • Archiviazione BLOB
  • Azure Data Lake Storage (ADLS) Gen2

Prerequisiti

Supporto dell'area

  • Sono supportate tutte le aree di Microsoft Purview .
  • Gli account di archiviazione nelle aree seguenti sono supportati senza la necessità di una configurazione aggiuntiva. Tuttavia, gli account di archiviazione con ridondanza della zona non sono supportati.
    • Australia centrale
    • Australia orientale
    • Australia sud-orientale
    • Brasile meridionale
    • Canada centrale
    • Canada orientale
    • India centrale
    • Stati Uniti centrali
    • Asia orientale
    • Stati Uniti orientali 2
    • Stati Uniti orientali
    • Francia centrale
    • Germania Centro-Occidentale
    • Giappone orientale
    • Giappone occidentale
    • Corea centrale
    • Stati Uniti centro-settentrionali
    • Europa settentrionale
    • Norvegia Orientale
    • Polonia centrale
    • Qatar centrale
    • Stati Uniti centro-meridionali
    • Sudafrica settentrionale
    • Asia sudorientale
    • India meridionale
    • Svezia centrale
    • Svizzera nord
    • Stati Uniti centro-occidentali
    • Europa occidentale
    • Stati Uniti occidentali
    • Stati Uniti occidentali 2
    • Stati Uniti occidentali 3
    • Emirati Arabi Uniti Settentrionali
    • Regno Unito meridionale
    • Regno Unito orientale
  • Gli account di archiviazione in altre aree del cloud pubblico sono supportati dopo l'impostazione del flag di funzionalità AllowPurviewPolicyEnforcement, come descritto nella sezione successiva. Gli account di archiviazione ZRS appena creati sono supportati, se creati dopo aver impostato il flag di funzionalità AllowPurviewPolicyEnforcement.

Se necessario, è possibile creare un nuovo account di archiviazione seguendo questa guida.

Configurare la sottoscrizione in cui risiede l'account di archiviazione di Azure per i criteri di Microsoft Purview

Questo passaggio è necessario solo in determinate aree (vedere la sezione precedente). Per consentire a Microsoft Purview di gestire i criteri per uno o più account di Archiviazione di Azure, eseguire i comandi di PowerShell seguenti nella sottoscrizione in cui si distribuirà l'account di archiviazione di Azure. Questi comandi di PowerShell consentiranno a Microsoft Purview di gestire i criteri in tutti gli account di Archiviazione di Azure in tale sottoscrizione.

Se si eseguono questi comandi in locale, assicurarsi di eseguire PowerShell come amministratore. In alternativa, è possibile usare il Cloud Shell di Azure nel portale di Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Se l'output dell'ultimo comando mostra RegistrationState come Registrato, la sottoscrizione è abilitata per i criteri di accesso. Se l'output è Registrazione, attendere almeno 10 minuti e quindi ripetere il comando. Non continuare a meno che RegistrationState non venga visualizzato come Registrato.

Configurazione di Microsoft Purview

Registrare l'origine dati in Microsoft Purview

Prima di creare un criterio in Microsoft Purview per una risorsa dati, è necessario registrare tale risorsa dati in Microsoft Purview Studio. Le istruzioni relative alla registrazione della risorsa dati sono disponibili più avanti in questa guida.

Nota

I criteri di Microsoft Purview si basano sul percorso arm della risorsa dati. Se una risorsa dati viene spostata in un nuovo gruppo di risorse o sottoscrizione, sarà necessario deregistrarla e quindi registrarla di nuovo in Microsoft Purview.

Configurare le autorizzazioni per abilitare l'imposizione dei criteri dati nell'origine dati

Dopo aver registrato una risorsa, ma prima di poter creare un criterio in Microsoft Purview per tale risorsa, è necessario configurare le autorizzazioni. Per abilitare l'imposizione dei criteri dati, è necessario un set di autorizzazioni. Questo vale per le origini dati, i gruppi di risorse o le sottoscrizioni. Per abilitare l'imposizione dei criteri di dati, è necessario disporre di privilegi specifici di Gestione identità e accesso (IAM) per la risorsa e di privilegi specifici di Microsoft Purview:

  • È necessario disporre di una delle combinazioni di ruoli IAM seguenti nel percorso di Azure Resource Manager della risorsa o in qualsiasi altro elemento padre, ovvero usando l'ereditarietà delle autorizzazioni IAM:

    • Proprietario di IAM
    • Collaboratore IAM e Amministratore accesso utente di IAM

    Per configurare le autorizzazioni del controllo degli accessi in base al ruolo di Azure, seguire questa guida. Lo screenshot seguente mostra come accedere alla sezione Controllo di accesso nel portale di Azure per la risorsa dati per aggiungere un'assegnazione di ruolo.

    Screenshot che mostra la sezione nel portale di Azure per l'aggiunta di un'assegnazione di ruolo.

    Nota

    Il ruolo proprietario di IAM per una risorsa dati può essere ereditato da un gruppo di risorse padre, una sottoscrizione o un gruppo di gestione della sottoscrizione. Controllare quali Microsoft Entra utenti, gruppi ed entità servizio contengono o ereditano il ruolo di proprietario di IAM per la risorsa.

  • È anche necessario avere il ruolo di amministratore dell'origine dati di Microsoft Purview per la raccolta o una raccolta padre (se l'ereditarietà è abilitata). Per altre informazioni, vedere la guida sulla gestione delle assegnazioni di ruolo di Microsoft Purview.

    Lo screenshot seguente mostra come assegnare il ruolo di amministratore dell'origine dati a livello di raccolta radice.

    Screenshot che mostra le selezioni per l'assegnazione del ruolo di amministratore dell'origine dati a livello di raccolta radice.

Configurare le autorizzazioni di Microsoft Purview per creare, aggiornare o eliminare i criteri di accesso

Per creare, aggiornare o eliminare criteri, è necessario ottenere il ruolo Autore criteri in Microsoft Purview a livello di raccolta radice:

  • Il ruolo Autore criteri può creare, aggiornare ed eliminare i criteri DevOps e Proprietario dati.
  • Il ruolo Autore criteri può eliminare i criteri di accesso self-service.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Il ruolo di autore dei criteri deve essere configurato a livello di raccolta radice.

Inoltre, per eseguire facilmente ricerche Microsoft Entra utenti o gruppi durante la creazione o l'aggiornamento dell'oggetto di un criterio, è possibile ottenere l'autorizzazione Lettori directory in Microsoft Entra ID. Si tratta di un'autorizzazione comune per gli utenti in un tenant di Azure. Senza l'autorizzazione Lettore di directory, l'autore dei criteri dovrà digitare il nome utente o il messaggio di posta elettronica completo per tutte le entità incluse nell'oggetto di un criterio dati.

Configurare le autorizzazioni di Microsoft Purview per la pubblicazione dei criteri proprietario dei dati

I criteri del proprietario dei dati consentono controlli e saldi se si assegnano i ruoli di autore dei criteri di Microsoft Purview e amministratore dell'origine dati a persone diverse nell'organizzazione. Prima che i criteri di proprietario dei dati abbiano effetto, una seconda persona (amministratore dell'origine dati) deve esaminarlo e approvarlo in modo esplicito pubblicandolo. Questo non si applica ai criteri di accesso self-service o DevOps perché la pubblicazione è automatica quando tali criteri vengono creati o aggiornati.

Per pubblicare un criterio proprietario dei dati, è necessario ottenere il ruolo di amministratore dell'origine dati in Microsoft Purview a livello di raccolta radice.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Per pubblicare i criteri proprietario dei dati, il ruolo di amministratore dell'origine dati deve essere configurato a livello di raccolta radice.

Delegare la responsabilità del provisioning dell'accesso ai ruoli in Microsoft Purview

Dopo aver abilitato una risorsa per l'applicazione dei criteri dati, qualsiasi utente di Microsoft Purview con il ruolo Autore criteri a livello di raccolta radice può effettuare il provisioning dell'accesso a tale origine dati da Microsoft Purview.

Nota

Qualsiasi amministratore della raccolta radice di Microsoft Purview può assegnare nuovi utenti ai ruoli di autore dei criteri radice. Qualsiasi amministratore della raccolta può assegnare nuovi utenti a un ruolo di amministratore dell'origine dati nella raccolta. Ridurre al minimo e controllare attentamente gli utenti che detengono i ruoli amministratore della raccolta Di Microsoft Purview, Amministratore origine dati o Autore criteri .

Se viene eliminato un account Microsoft Purview con criteri pubblicati, tali criteri smetteranno di essere applicati entro un periodo di tempo che dipende dall'origine dati specifica. Questa modifica può avere implicazioni sia sulla sicurezza che sulla disponibilità dell'accesso ai dati. I ruoli Collaboratore e Proprietario in IAM possono eliminare gli account Microsoft Purview. È possibile controllare queste autorizzazioni passando alla sezione Controllo di accesso (IAM) per l'account Microsoft Purview e selezionando Assegnazioni di ruolo. È anche possibile usare un blocco per impedire l'eliminazione dell'account Microsoft Purview tramite blocchi Resource Manager.

Registrare le origini dati in Microsoft Purview per l'imposizione dei criteri di dati

Le risorse di Archiviazione di Azure devono essere registrate prima con Microsoft Purview per definire in seguito i criteri di accesso.

Per registrare le risorse, seguire le sezioni Prerequisiti e Registrazione di queste guide:

Dopo aver registrato le risorse, sarà necessario abilitare l'imposizione dei criteri dati. L'imposizione dei criteri di dati richiede determinate autorizzazioni e può influire sulla sicurezza dei dati, in quanto delega a determinati ruoli di Microsoft Purview per gestire l'accesso alle origini dati. Esaminare le procedure di sicurezza correlate all'imposizione dei criteri di dati in questa guida: Come abilitare l'imposizione dei criteri di dati

Quando l'origine dati ha l'interruttore Imposizione criteri datiabilitato, sarà simile a questo screenshot:

Screenshot che mostra come registrare un'origine dati per i criteri attivando la scheda Abilita nell'editor di risorse.

Creare e pubblicare criteri di proprietario dei dati

Eseguire i passaggi descritti nelle sezioni Creare un nuovo criterio e Pubblicare un criterionell'esercitazione sulla creazione di criteri per il proprietario dei dati. Il risultato sarà un criterio di proprietario dei dati simile all'esempio illustrato nell'immagine: un criterio che fornisce al gruppo Contoso Team l'accesso in lettura all'account di archiviazione marketinglake1:

Screenshot che mostra un criterio di proprietario dei dati di esempio che concede l'accesso a un account di archiviazione di Azure.

Importante

  • Publish è un'operazione in background. Gli account di archiviazione di Azure possono richiedere fino a 2 ore per riflettere le modifiche.

Annullare la pubblicazione di un criterio di proprietario dei dati

Seguire questo collegamento per la procedura per annullare la pubblicazione di un criterio di proprietario dei dati in Microsoft Purview.

Aggiornare o eliminare i criteri di proprietario dei dati

Seguire questo collegamento per i passaggi per aggiornare o eliminare i criteri di proprietario dei dati in Microsoft Purview.

Utilizzo dei dati

  • Il consumer di dati può accedere al set di dati richiesto usando strumenti come Power BI o Azure Synapse'area di lavoro Analisi.
  • I comandi Copia e Clona in Azure Storage Explorer richiedono il funzionamento di altre autorizzazioni di IAM oltre ai criteri Consenti modifica di Purview. Fornire l'autorizzazione Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action in IAM all'entità Microsoft Entra.
  • Accesso sottocontenitore: sono supportate le istruzioni dei criteri impostate sotto il livello del contenitore in un account di archiviazione. Tuttavia, gli utenti non potranno passare all'asset di dati usando portale di Azure Storage Browser o Microsoft Azure Storage Explorer strumento se l'accesso viene concesso solo a livello di file o cartella dell'account di archiviazione di Azure. Questo perché queste app tentano di eseguire la ricerca per indicizzazione nella gerarchia a partire dal livello del contenitore e la richiesta ha esito negativo perché non è stato concesso alcun accesso a tale livello. L'app che richiede i dati deve invece eseguire un accesso diretto fornendo un nome completo all'oggetto dati. I documenti seguenti illustrano esempi di come eseguire un accesso diretto. Vedere anche i blog nella sezione Passaggi successivi di questa guida pratica.

Informazioni aggiuntive

  • La creazione di criteri a livello di account di archiviazione consente ai soggetti di accedere ai contenitori di sistema, ad esempio $logs. Se questa operazione non è desiderata, analizzare prima di tutto le origini dati e quindi creare criteri con granularità più fine per ognuno, ovvero a livello di contenitore o sottocontenitore.
  • Il BLOB radice in un contenitore sarà accessibile alle entità di Microsoft Entra in un criterio controllo degli accessi in base al ruolo di tipo consentiti di Microsoft Purview se l'ambito di tali criteri è sottoscrizione, gruppo di risorse, account di archiviazione o contenitore nell'account di archiviazione.
  • Il contenitore radice in un account di archiviazione sarà accessibile alle entità Microsoft Entra in un criterio controllo degli accessi in base al ruolo di tipo consentiti di Microsoft Purview se l'ambito di tali criteri è sottoscrizione, gruppo di risorse o account di archiviazione.

Limiti

  • Il limite per i criteri di Microsoft Purview che possono essere applicati dagli account di archiviazione è di 100 MB per sottoscrizione, che equivale approssimativamente a 5.000 criteri.

Problemi noti

Problemi noti relativi alla creazione di criteri

  • Non creare istruzioni di criteri basate su set di risorse Microsoft Purview. Anche se visualizzati nell'interfaccia utente di creazione dei criteri di Microsoft Purview, non vengono ancora applicati. Altre informazioni sui set di risorse.

Mapping delle azioni dei criteri

Questa sezione contiene un riferimento al modo in cui le azioni nei criteri dati di Microsoft Purview vengono mappate a azioni specifiche in Archiviazione di Azure.

Azione dei criteri di Microsoft Purview Azioni specifiche dell'origine dati
Lettura Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/read
Modifica Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/read
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/write
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/move/action
Microsoft.Storage/storageAccounts/blobServices/containers/BLOBs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/write
Microsoft.Storage/storageAccounts/blobServices/containers/delete

Passaggi successivi

Vedere blog, demo ed esercitazioni correlate: