Criteri self-service per il database Azure SQL (anteprima)
Importante
Al momento questa funzionalità è disponibile in anteprima. Le Condizioni aggiuntive per l'uso per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano alle funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.
I criteri self-service consentono di gestire l'accesso da Microsoft Purview alle origini dati registrate per l'imposizione dei criteri di dati.
Questa guida pratica descrive come vengono creati i criteri self-service in Microsoft Purview per abilitare l'accesso al database Azure SQL. Le azioni seguenti sono attualmente abilitate: Lettura tabelle e Visualizzazioni di lettura.
Attenzione
Il concatenamento della proprietà deve esistere per consentire a Select di funzionare in Azure SQL viste del database.
Prerequisiti
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account Microsoft Purview nuovo o esistente. Seguire questa guida di avvio rapido per crearne una.
- Creare una nuova istanza di database Azure SQL o usarne una esistente in una delle aree attualmente disponibili per questa funzionalità. È possibile seguire questa guida per creare un'istanza di database Azure SQL.
Supporto dell'area
Sono supportate tutte le aree di Microsoft Purview .
L'applicazione dei criteri di Microsoft Purview è disponibile solo nelle aree seguenti per Azure SQL Database:
Cloud pubblico:
- Stati Uniti orientali
- Stati Uniti orientali2
- Stati Uniti centro-meridionali
- Stati Uniti centro-occidentali
- Stati Uniti occidentali3
- Canada centrale
- Brasile meridionale
- Europa occidentale
- Europa settentrionale
- Francia centrale
- Regno Unito meridionale
- Sudafrica settentrionale
- India centrale
- Asia sud-orientale
- Asia orientale
- Australia orientale
Cloud sovrani:
- USGov Virginia
- Cina settentrionale 3
Configurare l'istanza del database Azure SQL per i criteri di Microsoft Purview
Per consentire al server logico associato a Azure SQL Database di rispettare i criteri di Microsoft Purview, è necessario configurare un amministratore Microsoft Entra. Nel portale di Azure passare al server logico che ospita l'istanza del database Azure SQL. Nel menu laterale selezionare Microsoft Entra ID. Impostare un nome di amministratore su qualsiasi utente o gruppo Microsoft Entra preferito e quindi selezionare Salva.
Quindi, nel menu laterale selezionare Identità. In Identità gestita assegnata dal sistema attivare lo stato e quindi selezionare Salva.
Configurazione di Microsoft Purview
Registrare l'origine dati in Microsoft Purview
Prima di creare un criterio in Microsoft Purview per una risorsa dati, è necessario registrare tale risorsa dati in Microsoft Purview Studio. Le istruzioni relative alla registrazione della risorsa dati sono disponibili più avanti in questa guida.
Nota
I criteri di Microsoft Purview si basano sul percorso arm della risorsa dati. Se una risorsa dati viene spostata in un nuovo gruppo di risorse o sottoscrizione, sarà necessario deregistrarla e quindi registrarla di nuovo in Microsoft Purview.
Configurare le autorizzazioni per abilitare l'imposizione dei criteri dati nell'origine dati
Dopo aver registrato una risorsa, ma prima di poter creare un criterio in Microsoft Purview per tale risorsa, è necessario configurare le autorizzazioni. Per abilitare l'imposizione dei criteri dati, è necessario un set di autorizzazioni. Questo vale per le origini dati, i gruppi di risorse o le sottoscrizioni. Per abilitare l'imposizione dei criteri di dati, è necessario disporre di privilegi specifici di Gestione identità e accesso (IAM) per la risorsa e di privilegi specifici di Microsoft Purview:
È necessario disporre di una delle combinazioni di ruoli IAM seguenti nel percorso di Azure Resource Manager della risorsa o in qualsiasi altro elemento padre, ovvero usando l'ereditarietà delle autorizzazioni IAM:
- Proprietario di IAM
- Collaboratore IAM e Amministratore accesso utente di IAM
Per configurare le autorizzazioni del controllo degli accessi in base al ruolo di Azure, seguire questa guida. Lo screenshot seguente mostra come accedere alla sezione Controllo di accesso nel portale di Azure per la risorsa dati per aggiungere un'assegnazione di ruolo.
Nota
Il ruolo proprietario di IAM per una risorsa dati può essere ereditato da un gruppo di risorse padre, una sottoscrizione o un gruppo di gestione della sottoscrizione. Controllare quali Microsoft Entra utenti, gruppi ed entità servizio contengono o ereditano il ruolo di proprietario di IAM per la risorsa.
È anche necessario avere il ruolo di amministratore dell'origine dati di Microsoft Purview per la raccolta o una raccolta padre (se l'ereditarietà è abilitata). Per altre informazioni, vedere la guida sulla gestione delle assegnazioni di ruolo di Microsoft Purview.
Lo screenshot seguente mostra come assegnare il ruolo di amministratore dell'origine dati a livello di raccolta radice.
Configurare le autorizzazioni di Microsoft Purview per creare, aggiornare o eliminare i criteri di accesso
Per creare, aggiornare o eliminare criteri, è necessario ottenere il ruolo Autore criteri in Microsoft Purview a livello di raccolta radice:
- Il ruolo Autore criteri può creare, aggiornare ed eliminare i criteri DevOps e Proprietario dati.
- Il ruolo Autore criteri può eliminare i criteri di accesso self-service.
Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.
Nota
Il ruolo di autore dei criteri deve essere configurato a livello di raccolta radice.
Inoltre, per eseguire facilmente ricerche Microsoft Entra utenti o gruppi durante la creazione o l'aggiornamento dell'oggetto di un criterio, è possibile ottenere l'autorizzazione Lettori directory in Microsoft Entra ID. Si tratta di un'autorizzazione comune per gli utenti in un tenant di Azure. Senza l'autorizzazione Lettore di directory, l'autore dei criteri dovrà digitare il nome utente o il messaggio di posta elettronica completo per tutte le entità incluse nell'oggetto di un criterio dati.
Configurare le autorizzazioni di Microsoft Purview per la pubblicazione dei criteri proprietario dei dati
I criteri del proprietario dei dati consentono controlli e saldi se si assegnano i ruoli di autore dei criteri di Microsoft Purview e amministratore dell'origine dati a persone diverse nell'organizzazione. Prima che i criteri di proprietario dei dati abbiano effetto, una seconda persona (amministratore dell'origine dati) deve esaminarlo e approvarlo in modo esplicito pubblicandolo. Questo non si applica ai criteri di accesso self-service o DevOps perché la pubblicazione è automatica quando tali criteri vengono creati o aggiornati.
Per pubblicare un criterio proprietario dei dati, è necessario ottenere il ruolo di amministratore dell'origine dati in Microsoft Purview a livello di raccolta radice.
Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.
Nota
Per pubblicare i criteri proprietario dei dati, il ruolo di amministratore dell'origine dati deve essere configurato a livello di raccolta radice.
Delegare la responsabilità del provisioning dell'accesso ai ruoli in Microsoft Purview
Dopo aver abilitato una risorsa per l'applicazione dei criteri dati, qualsiasi utente di Microsoft Purview con il ruolo Autore criteri a livello di raccolta radice può effettuare il provisioning dell'accesso a tale origine dati da Microsoft Purview.
Nota
Qualsiasi amministratore della raccolta radice di Microsoft Purview può assegnare nuovi utenti ai ruoli di autore dei criteri radice. Qualsiasi amministratore della raccolta può assegnare nuovi utenti a un ruolo di amministratore dell'origine dati nella raccolta. Ridurre al minimo e controllare attentamente gli utenti che detengono i ruoli amministratore della raccolta Di Microsoft Purview, Amministratore origine dati o Autore criteri .
Se viene eliminato un account Microsoft Purview con criteri pubblicati, tali criteri smetteranno di essere applicati entro un periodo di tempo che dipende dall'origine dati specifica. Questa modifica può avere implicazioni sia sulla sicurezza che sulla disponibilità dell'accesso ai dati. I ruoli Collaboratore e Proprietario in IAM possono eliminare gli account Microsoft Purview. È possibile controllare queste autorizzazioni passando alla sezione Controllo di accesso (IAM) per l'account Microsoft Purview e selezionando Assegnazioni di ruolo. È anche possibile usare un blocco per impedire l'eliminazione dell'account Microsoft Purview tramite blocchi Resource Manager.
Registrare le origini dati in Microsoft Purview
Le risorse del database Azure SQL devono essere registrate prima con Microsoft Purview per definire in un secondo momento i criteri di accesso. È possibile seguire queste guide:
Registrare ed analizzare Azure SQL database
Dopo aver registrato le risorse, sarà necessario abilitare l'imposizione dei criteri dati. L'imposizione dei criteri di dati può influire sulla sicurezza dei dati, in quanto delega a determinati ruoli di Microsoft Purview per gestire l'accesso alle origini dati. Esaminare le procedure di sicurezza correlate all'applicazione dei criteri di dati in questa guida:
Come abilitare l'imposizione dei criteri dati
Quando l'origine dati ha l'interruttore Imposizione criteri datiabilitato, sarà simile a questa immagine. In questo modo i criteri di accesso verranno usati con il server SQL specificato e tutti i relativi database contenuti.
Creare una richiesta di accesso ai dati self-service
Per trovare un asset di dati, usare la funzionalità di ricerca o esplorazione di Microsoft Purview.
Selezionare l'asset per passare ai dettagli dell'asset.
Selezionare Richiedi accesso.
Nota
Se questa opzione non è disponibile, un flusso di lavoro di accesso self-service non è stato creato o non è stato assegnato alla raccolta in cui è registrata la risorsa. Per altre informazioni, contattare l'amministratore della raccolta, l'amministratore dell'origine dati o l'amministratore del flusso di lavoro della raccolta. In alternativa, per informazioni su come creare un flusso di lavoro di accesso self-service, vedere la documentazione del flusso di lavoro di accesso self-service.
Verrà aperta la finestra Richiedi accesso . È possibile fornire commenti sul motivo per cui viene richiesto l'accesso ai dati.
Selezionare Invia per attivare il flusso di lavoro di accesso ai dati self-service.
Nota
Se si vuole richiedere l'accesso per conto di un altro utente, selezionare la casella di controllo Richiesta per un altro utente e popolare l'ID di posta elettronica dell'utente.
Nota
Una richiesta di accesso al set di risorse invierà effettivamente la richiesta di accesso ai dati per la cartella di un livello superiore che contiene tutti questi file del set di risorse.
I proprietari dei dati riceveranno una notifica della richiesta e approveranno o rifiuteranno la richiesta.
Importante
- Publish è un'operazione in background. Possono essere necessari fino a 5 minuti prima che le modifiche vengano riflesse in questa origine dati.
- La modifica di un criterio non richiede una nuova operazione di pubblicazione. Le modifiche verranno prelevate con il pull successivo.
Visualizzare criteri self-service
Per visualizzare i criteri creati, seguire l'articolo per visualizzare i criteri self-service.
Testare i criteri
Il Microsoft Entra account, gruppo, identità del servizio gestito o SPN per cui sono stati creati i criteri self-service dovrebbe ora essere in grado di connettersi al database nel server ed eseguire una query di selezione sulla tabella o vista richiesta.
Forzare il download dei criteri
È possibile forzare il download immediato dei criteri pubblicati più recenti nel database SQL corrente eseguendo il comando seguente. L'autorizzazione minima necessaria per eseguire il comando è l'appartenenza al ruolo ##MS_ServerStateManager##-server.
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
Analizzare lo stato dei criteri scaricati da SQL
Le DMV seguenti possono essere usate per analizzare i criteri scaricati e attualmente assegnati agli account Microsoft Entra. L'autorizzazione minima necessaria per eseguirli è VIEW DATABASE SECURITY STATE o il revisore della sicurezza SQL del gruppo di azioni assegnato.
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
Informazioni aggiuntive
Mapping delle azioni dei criteri
Questa sezione contiene un riferimento al modo in cui le azioni nei criteri dati di Microsoft Purview vengono mappate a azioni specifiche nel database Azure SQL.
Azione dei criteri di Microsoft Purview | Azioni specifiche dell'origine dati |
---|---|
Lettura | Microsoft.Sql/sqlservers/Connect |
Microsoft.Sql/sqlservers/databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
Passaggi successivi
Controllare blog, demo e guide pratiche correlate