Microsoft Purview データ所有者ポリシーの概念 (プレビュー)
重要
この機能は現在プレビューの段階です。 Microsoft Azure プレビューの補足使用条件には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。
この記事では、Microsoft Purview ガバナンス ポータル内からデータ資産の資産への読み取りまたは変更アクセスを管理することに関連する概念について説明します。
注:
この機能では、Microsoft Purview 自体のアクセス制御は提供されません。 Microsoft Purview 内部ロールへのアクセス権の付与については、「 Microsoft Purview でのアクセス制御」を参照してください。 この機能は、データ プレーンへのアクセス (つまり、Azure Storage などのデータ システム内のデータ自体へのアクセス) を付与するために使用されます。 コントロール プレーンへのアクセスを許可することはできません。 コントロール プレーン アクセスを使用すると、サブスクリプション内のリソースを可視性と機能で管理できます。 コントロール プレーンのアクセスは、ID とアクセス管理 (IAM) を使用して管理できます
概要
Microsoft Purview のアクセス ポリシーを使用すると、データ資産全体のさまざまなデータ システムへのアクセスを管理できます。 以下に例を示します。
ユーザーは、Microsoft Purview に登録されている Azure Storage アカウントへの読み取りアクセス権が必要です。 このアクセスを Microsoft Purview で直接付与するには、Microsoft Purview ガバナンス ポータルの データ ポリシー アプリを使用してデータ アクセス ポリシーを作成します。
データ所有者ポリシーは、Microsoft Purview でポリシーの適用が有効になっているデータ システムに対してのみ適用できます。つまり、データ ソースの登録で [データ ポリシーの適用 ] オプションがオンになっています。
概念
データ所有者ポリシー
データ所有者ポリシーは、ポリシー ステートメントの名前付きセットです。 ポリシーが Microsoft Purview のガバナンスの下で 1 つ以上のデータ システムに発行されると、ポリシーによって適用されます。 ポリシー定義には、ポリシー名、説明、および 1 つ以上のポリシー ステートメントの一覧が含まれます。
注:
現在、ポリシーごとにサポートされているポリシー ステートメントは 1 つだけです。
Policy ステートメント
ポリシー ステートメントは、データ ソースが特定のデータ アクセス操作を処理する方法を指示する、人間が判読できる命令です。 ポリシー ステートメントは、 効果、 アクション、データ リソース、 サブジェクトで構成 されます。
アクション
アクションは、このポリシーの一部として許可または拒否される操作です。 例: 読み取りまたは変更。 これらの高度な論理アクションは、適用されるデータ システム内の 1 つ以上のデータ アクションにマップされます。
効果
この効果は、ポリシー ステートメントのデータ リソースとサブジェクトに一致するものがある場合の結果を示します。 現在、サポートされている値は Allow のみです。
データ リソース
データ リソースは、ポリシー ステートメントが適用されるオブジェクトへの完全修飾データ資産パスです。 次の形式に準拠しています。
/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>
Azure Storage のデータ資産パス形式:
Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>
DB データ資産パス形式をAzure SQLします。
Microsoft.Sql/servers/<server-name>
件名
これは、このポリシー ステートメントが適用されるMicrosoft Entra IDからのエンド ユーザー ID の一覧です。 各 ID には、サービス プリンシパル、個々のユーザー、グループ、またはマネージド サービス ID (MSI) を指定できます。
例
データ資産の読み取りを許可する: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData をグループ化する Finance-analyst
上記のポリシー ステートメントでは、効果は Allow、アクションは Read、データ リソースは Azure Storage コンテナー FinData、サブジェクトはグループ Finance-analyst Microsoft Entra。 このグループに属するユーザーがストレージ コンテナー FinData からデータを読み取ろうとした場合、要求は許可されます。
ポリシーの階層的適用
ポリシー ステートメントで指定されたデータ リソースは、既定では階層型です。 つまり、policy ステートメントは、データ オブジェクト自体と、データ オブジェクトに含まれる すべての 子オブジェクトに適用されます。 たとえば、Azure Storage コンテナーのポリシー ステートメントは、そのコンテナーに含まれるすべての BLOB に適用されます。
ポリシーの組み合わせアルゴリズム
データ ソースは、該当するすべてのローカル ポリシーと Microsoft Purview のすべてのポリシーを組み合わせ、ユーザーが資産にアクセスしようとしたときに統合された決定を提供します。 結合戦略は、最も制限の厳しいポリシーを選択します。
たとえば、次のように、Azure Storage コンテナー FinData で 2 つの異なるポリシーを想定してみましょう。
ポリシー 1 - データ資産 /subscription/.../containers/FinData の読み取りを許可して Finance-analyst をグループ化する
ポリシー 2 - データ資産 /subscription/.../containers/FinData の読み取りを拒否して Finance-contractors をグループ化する
次に、 Finance-analyst と Finance-contractors という 2 つのグループの一部であるユーザー 'user1' が、BLOB 読み取り API の呼び出しを実行するとします。 両方のポリシーが適用されるため、Azure Storage は最も制限の厳しいポリシー ("読み取りの拒否") を選択します。 したがって、アクセス要求は拒否されます。
ポリシーの発行
新しく作成されたポリシーは下書きモードの状態で存在し、Microsoft Purview でのみ表示されます。 発行する行為により、指定されたデータ システムでポリシーの適用が開始されます。 これは、データ ソースの種類に応じて、有効になるまでに 5 分から 2 時間かかる非同期アクションです。 詳細については、各データ ソースの種類に関連するデータ所有者ポリシーのハウツー ガイドを参照してください。
データ ソースに発行されたポリシーには、別のデータ ソースを参照するポリシー ステートメントが含まれている可能性があります。 ポリシーが適用されているデータ ソースに該当する資産が存在しないため、このような参照は無視されます。
次の手順
特定のデータ システムで適用されるポリシーを Microsoft Purview で作成する方法に関するガイドを確認してください。 UI を超えて、データ所有者ポリシー API を試すことができます。