다음을 통해 공유


Microsoft Purview에서 Azure SQL Managed Instance 연결 및 관리

이 문서에서는 등록 및 Azure SQL Managed Instance 방법뿐만 아니라 Microsoft Purview에서 Azure SQL Managed Instance 인증하고 상호 작용하는 방법을 간략하게 설명합니다. Microsoft Purview에 대한 자세한 내용은 소개 문서를 참조하세요.

지원되는 기능

메타데이터 추출 전체 검사 증분 검사 범위가 지정된 검사 분류 레이블 지정 액세스 정책 계보 데이터 공유 라이브 보기
제한** 아니요 아니요

데이터 세트가 Data Factory 복사 작업 원본/싱크로 사용되는 경우 ** 계보가 지원됩니다.

필수 구성 요소

등록

이 섹션에서는 Microsoft Purview 거버넌스 포털을 사용하여 Microsoft Purview에 Azure SQL Managed Instance 등록하는 방법을 설명합니다.

등록 인증

새 인증을 만들어야 하는 경우 SQL Database SQL Managed Instance 대한 데이터베이스 액세스 권한을 부여해야 합니다. 현재 Microsoft Purview에서 지원하는 세 가지 인증 방법이 있습니다.

등록할 시스템 또는 사용자 할당 관리 ID

참고

프라이빗 엔드포인트를 사용하여 Microsoft Purview에 연결하는 경우 관리 ID가 지원되지 않습니다.

Microsoft Purview SAMI(시스템 할당 관리 ID) 또는 UAMI( 사용자 할당 관리 ID )를 사용하여 인증할 수 있습니다. 두 옵션 모두 다른 사용자, 그룹 또는 서비스 주체와 마찬가지로 Microsoft Purview에 직접 인증을 할당할 수 있습니다. Microsoft Purview 시스템 할당 관리 ID는 계정이 만들어지고 Microsoft Purview 계정과 이름이 같을 때 자동으로 만들어집니다. 사용자 할당 관리 ID는 독립적으로 만들 수 있는 리소스입니다. 만들려면 사용자 할당 관리 ID 가이드를 따를 수 있습니다.

다음 단계를 수행하여 Azure Portal 관리 ID 개체 ID를 찾을 수 있습니다.

Microsoft Purview 계정의 시스템 할당 관리 ID의 경우:

  1. Azure Portal 열고 Microsoft Purview 계정으로 이동합니다.
  2. 왼쪽 메뉴에서 속성 탭을 선택합니다.
  3. 관리 ID 개체 ID 값을 선택하고 복사합니다.

사용자 할당 관리 ID의 경우(미리 보기):

  1. Azure Portal 열고 Microsoft Purview 계정으로 이동합니다.
  2. 왼쪽 메뉴에서 관리 ID 탭을 선택합니다.
  3. 사용자가 할당한 관리 ID를 선택하고 의도한 ID를 선택하여 세부 정보를 확인합니다.
  4. 개체(보안 주체) ID는 개요 필수 섹션에 표시됩니다.

관리 ID는 데이터베이스, 스키마 및 테이블에 대한 메타데이터를 가져와서 분류를 위해 테이블을 쿼리할 수 있는 권한이 필요합니다.

등록할 서비스 주체

Microsoft Purview에서 서비스 주체를 사용하여 Azure SQL Managed Instance 검사할 수 있도록 허용하는 몇 가지 단계가 있습니다.

기존 서비스 주체 만들기 또는 사용

서비스 주체를 사용하려면 기존 서비스 주체를 사용하거나 새 서비스 주체를 만들 수 있습니다. 기존 서비스 주체를 사용하려는 경우 다음 단계로 건너뜁니다. 새 서비스 주체를 만들어야 하는 경우 다음 단계를 수행합니다.

  1. Azure Portal로 이동합니다.
  2. 왼쪽 메뉴에서 Microsoft Entra ID 선택합니다.
  3. 앱 등록을 선택합니다.
  4. + 새 애플리케이션 등록을 선택합니다.
  5. 애플리케이션의 이름(서비스 주체 이름)을 입력합니다.
  6. 이 조직 디렉터리에서만 계정을 선택합니다.
  7. 리디렉션 URI의 경우 을 선택하고 원하는 URL을 입력합니다. 실제 또는 작업일 필요는 없습니다.
  8. 그런 다음 등록을 선택합니다.

데이터베이스 계정에서 Microsoft Entra 인증 구성

서비스 주체는 데이터베이스, 스키마 및 테이블에 대한 메타데이터를 가져올 수 있는 권한이 있어야 합니다. 또한 분류를 위해 샘플링할 테이블을 쿼리할 수 있어야 합니다.

키 자격 증명 모음 및 Microsoft Purview의 자격 증명에 서비스 주체 추가

서비스 주체의 애플리케이션 ID 및 비밀을 가져와야 합니다.

  1. Azure Portal 서비스 주체로 이동합니다.
  2. 인증서 & 비밀에서 개요클라이언트 암호애플리케이션(클라이언트) ID 값을 복사합니다.
  3. 키 자격 증명 모음으로 이동합니다.
  4. 설정 > 비밀 선택
  5. + 생성/가져오기를 선택하고 선택한 이름 및 서비스 주체의 클라이언트 비밀값을 입력합니다.
  6. 만들기를 선택하여 완료
  7. 키 자격 증명 모음이 아직 Microsoft Purview에 연결되지 않은 경우 새 키 자격 증명 모음 연결을 만들어야 합니다.
  8. 마지막으로 서비스 주체 를 사용하여 새 자격 증명을 만들어 검사를 설정합니다.

등록할 SQL 인증

참고

서버 수준 보안 주체 로그인(프로비저닝 프로세스에서 생성됨) 또는 master 데이터베이스의 loginmanager 데이터베이스 역할 멤버만 새 로그인을 만들 수 있습니다. 권한을 부여한 후 약 15분 이 걸리며, Microsoft Purview 계정에는 리소스를 검사할 수 있는 적절한 권한이 있어야 합니다.

이 로그인을 사용할 수 없는 경우 CREATE LOGIN의 지침에 따라 Azure SQL Managed Instance 대한 로그인을 만들 수 있습니다. 다음 단계에는 사용자 이름과 암호 가 필요합니다.

  1. Azure Portal 키 자격 증명 모음으로 이동합니다.
  2. 설정 > 비밀 선택
  3. + 생성/가져오기를 선택하고 이름값을 Azure SQL Managed Instance 암호로 입력합니다.
  4. 만들기를 선택하여 완료
  5. 키 자격 증명 모음이 아직 Microsoft Purview에 연결되지 않은 경우 새 키 자격 증명 모음 연결을 만들어야 합니다.
  6. 마지막으로 사용자 이름암호를 사용하여 새 자격 증명을 만들어 검사를 설정합니다.

등록 단계

  1. 다음을 통해 Microsoft Purview 거버넌스 포털을 엽니다.

  2. 데이터 맵으로 이동합니다.

  3. 등록 선택

  4. Azure SQL Managed Instance 선택한 다음 계속을 선택합니다.

  5. Azure 구독에서를 선택하고 Azure 구독 드롭다운 상자에서 적절한 구독을 선택하고 서버 이름 드롭다운 상자에서 적절한 서버를 선택합니다.

  6. 퍼블릭 엔드포인트 정규화된 도메인 이름포트 번호를 제공합니다. 그런 다음 등록 을 선택하여 데이터 원본을 등록합니다.

    이름, 구독, 서버 이름 및 엔드포인트가 채워진 원본 등록 화면의 스크린샷

    예를 들어: foobar.public.123.database.windows.net,3342

검사

아래 단계에 따라 Azure SQL Managed Instance 검사하여 자산을 자동으로 식별하고 데이터를 분류합니다. 일반적인 검사에 대한 자세한 내용은 검사 및 수집 소개를 참조하세요.

검사 만들기 및 실행

새 검사를 만들고 실행하려면 다음 단계를 완료합니다.

  1. Microsoft Purview 거버넌스 포털의 왼쪽 창에서 데이터 맵 탭을 선택합니다.

  2. 등록한 Azure SQL Managed Instance 원본을 선택합니다.

  3. 새 검사 선택

  4. 원본에 공개적으로 액세스할 수 있는 경우 Azure 통합 런타임, 관리되는 가상 네트워크를 사용하는 경우 관리되는 가상 네트워크 통합 런타임 또는 원본이 프라이빗 가상 네트워크에 있는 경우 표준 또는 kubernetes 지원 자체 호스팅 통합 런타임을 선택합니다. 사용할 통합 런타임에 대한 자세한 내용은 올바른 통합 런타임 구성 선택 문서를 참조하세요.

  5. 자격 증명을 선택하여 데이터 원본에 연결합니다.

    Purview MSI가 자격 증명으로 선택되었지만 서비스 주체 또는 SQL 인증도 사용할 수 있는 새 검사 창의 스크린샷

  6. 목록에서 적절한 항목을 선택하여 특정 테이블에 검사를 scope 수 있습니다.

    검사를 위해 테이블의 하위 집합이 선택된 검사 창 scope 스크린샷

  7. 그런 다음, 검사 규칙 집합을 선택합니다. 시스템 기본값, 기존 사용자 지정 규칙 집합 중에서 선택하거나 인라인으로 새 규칙 집합을 만들 수 있습니다.

    시스템 기본 검사 규칙 집합이 선택된 검사 규칙 집합 창의 스크린샷

  8. 검사 트리거를 선택합니다. 일정을 설정하거나 검사를 한 번 실행할 수 있습니다.

    되풀이 탭이 선택된 검사 트리거 설정 창의 스크린샷

  9. 검사를 검토하고 저장 및 실행을 선택합니다.

데이터 원본에 연결하거나 검사를 실행하는 데 문제가 있는 경우 검사 및 연결에 대한 문제 해결 가이드를 참조하세요.

검사 및 검사 실행 보기

기존 검사를 보려면 다음을 수행합니다.

  1. Microsoft Purview 포털로 이동합니다. 왼쪽 창에서 데이터 맵을 선택합니다.
  2. 데이터 원본을 선택합니다. 최근 검사에서 해당 데이터 원본에 대한 기존 검사 목록을 보거나 검사 탭에서 모든 검사를 볼 수 있습니다.
  3. 보려는 결과가 있는 검사를 선택합니다. 창에는 이전의 모든 검사 실행과 각 검사 실행에 대한 상태 및 메트릭이 표시됩니다.
  4. 실행 ID를 선택하여 검사 실행 세부 정보를 검사.

검사 관리

검사를 편집, 취소 또는 삭제하려면 다음을 수행합니다.

  1. Microsoft Purview 포털로 이동합니다. 왼쪽 창에서 데이터 맵을 선택합니다.

  2. 데이터 원본을 선택합니다. 최근 검사에서 해당 데이터 원본에 대한 기존 검사 목록을 보거나 검사 탭에서 모든 검사를 볼 수 있습니다.

  3. 관리하려는 검사를 선택합니다. 그 후에, 다음 작업을 수행할 수 있습니다.

    • 검사 편집을 선택하여 검사를 편집합니다.
    • 검사 실행 취소를 선택하여 진행 중인 검사를 취소합니다.
    • 검사 삭제를 선택하여 검사를 삭제합니다.

참고

  • 검사를 삭제해도 이전 검사에서 만든 카탈로그 자산은 삭제되지 않습니다.

액세스 정책 설정

이 데이터 리소스에서 지원되는 Microsoft Purview 정책은 다음과 같습니다.

Azure SQL MI의 액세스 정책 필수 구성 요소

  • 새 Azure SQL MI를 만들거나 이 기능에 대해 현재 사용 가능한 지역 중 하나에서 기존 지역을 사용합니다. 이 가이드에 따라 새 Azure SQL MI를 만들 수 있습니다.

지역 지원

모든 Microsoft Purview 지역이 지원됩니다.

Microsoft Purview 정책 적용은 Azure SQL MI에 대해 다음 지역에서만 사용할 수 있습니다.

퍼블릭 클라우드:

  • 미국 동부
  • 미국 동부 2
  • 미국 중남부
  • 미국 중서부
  • 미국 서부 3
  • 캐나다 중부
  • 브라질 남부
  • 서유럽
  • 북유럽
  • 프랑스 중부
  • 영국 남부
  • 남아프리카 공화국 북부
  • 인도 중부
  • 동남 아시아
  • 동아시아
  • 오스트레일리아 동부

MI 구성 Azure SQL

이 섹션에서는 Microsoft Purview의 정책을 준수하도록 Azure SQL MI를 설정하는 방법을 설명합니다. 먼저 Azure SQL MI가 퍼블릭 또는 프라이빗 엔드포인트에 대해 구성되었는지 확인합니다. 이 가이드 에서는 이 작업을 수행하는 방법을 설명합니다.

SQL MI 퍼블릭 엔드포인트에 대한 구성

공용 엔드포인트에 대해 Azure SQL MI가 구성된 경우 다음 단계를 수행합니다.

  • Microsoft Entra 관리 구성합니다. Azure Portal Azure SQL MI로 이동한 다음 측면 메뉴(이전의 Active Directory 관리자)에서 Microsoft Entra ID 이동합니다. 관리 이름을 설정한 다음 저장을 선택합니다.

  • 그런 다음 측면 메뉴에서 ID로 이동합니다. 시스템 할당 관리 ID에서 기로 검사 상태 저장을 선택합니다. 스크린샷:

    스크린샷은 AZURE SQL MI에 시스템 관리 ID를 할당하는 방법을 보여줍니다.

SQL MI 프라이빗 엔드포인트에 대한 구성

Azure SQL MI가 프라이빗 엔드포인트를 사용하도록 구성된 경우 퍼블릭 엔드포인트에 대한 구성에 설명된 것과 동일한 단계를 실행하고 다음을 수행합니다.

  • Azure SQL MI에 연결된 NSG(네트워크 보안 그룹)로 이동합니다.

  • 다음 스크린샷의 아웃바운드 보안 규칙과 유사한 아웃바운드 보안 규칙을 추가합니다. Destination = 서비스 태그, 대상 서비스 태그 = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. 또한 이 규칙의 우선 순위가 deny_all_outbound 규칙의 우선 순위보다 낮은지 확인합니다.

    Purview에 아웃바운드 보안 규칙을 구성하는 방법을 보여주는 스크린샷

정책에 대한 Microsoft Purview 계정 구성

Microsoft Purview에서 데이터 원본 등록

데이터 리소스에 대한 정책을 Microsoft Purview에서 만들려면 먼저 해당 데이터 리소스를 Microsoft Purview Studio에 등록해야 합니다. 이 가이드의 뒷부분에서 데이터 리소스 등록과 관련된 지침을 찾을 수 있습니다.

참고

Microsoft Purview 정책은 데이터 리소스 ARM 경로를 사용합니다. 데이터 리소스가 새 리소스 그룹 또는 구독으로 이동되면 등록을 해제한 다음 Microsoft Purview에 다시 등록해야 합니다.

데이터 원본에 대한 데이터 정책 적용을 사용하도록 권한 구성

리소스가 등록되었지만 해당 리소스에 대한 Microsoft Purview에서 정책을 만들려면 먼저 권한을 구성해야 합니다. 데이터 정책 적용을 사용하도록 설정하려면 권한 집합이 필요합니다. 이는 데이터 원본, 리소스 그룹 또는 구독에 적용됩니다. 데이터 정책 적용을 사용하도록 설정하려면 리소스에 대한 특정 ID 및 액세스 관리(IAM) 권한과 특정 Microsoft Purview 권한이 모두 있어야 합니다.

  • 리소스의 Azure Resource Manager 경로에 다음 IAM 역할 조합 중 하나 또는 부모(즉, IAM 권한 상속 사용)가 있어야 합니다.

    • IAM 소유자
    • IAM 기여자와 IAM 사용자 액세스 관리자 모두

    Azure RBAC(역할 기반 액세스 제어) 권한을 구성하려면 이 가이드를 따릅니다. 다음 스크린샷은 데이터 리소스에 대한 Azure Portal Access Control 섹션에 액세스하여 역할 할당을 추가하는 방법을 보여줍니다.

    역할 할당을 추가하기 위한 Azure Portal 섹션을 보여 주는 스크린샷

    참고

    데이터 리소스에 대한 IAM 소유자 역할은 부모 리소스 그룹, 구독 또는 구독 관리 그룹에서 상속할 수 있습니다. 리소스에 대한 IAM 소유자 역할을 보유하거나 상속하는 사용자, 그룹 및 서비스 주체를 Microsoft Entra 확인합니다.

  • 또한 컬렉션 또는 부모 컬렉션에 대한 Microsoft Purview 데이터 원본 관리자 역할이 있어야 합니다(상속을 사용하는 경우). 자세한 내용은 Microsoft Purview 역할 할당 관리에 대한 가이드를 참조하세요.

    다음 스크린샷은 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하는 방법을 보여줍니다.

    루트 컬렉션 수준에서 데이터 원본 관리자 역할을 할당하기 위한 선택 항목을 보여 주는 스크린샷

액세스 정책을 만들거나 업데이트하거나 삭제하도록 Microsoft Purview 권한 구성

정책을 만들거나 업데이트하거나 삭제하려면 루트 컬렉션 수준에서 Microsoft Purview에서 정책 작성자 역할을 가져와야 합니다.

  • 정책 작성자 역할은 DevOps 및 데이터 소유자 정책을 만들고, 업데이트하고, 삭제할 수 있습니다.
  • 정책 작성자 역할은 셀프 서비스 액세스 정책을 삭제할 수 있습니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

정책 작성자 역할은 루트 컬렉션 수준에서 구성해야 합니다.

또한 정책의 주제를 만들거나 업데이트할 때 Microsoft Entra 사용자 또는 그룹을 쉽게 검색하려면 Microsoft Entra ID 디렉터리 읽기 권한자 권한을 얻는 것이 좋습니다. 이는 Azure 테넌트 사용자에 대한 일반적인 권한입니다. 디렉터리 읽기 권한자 권한이 없으면 정책 작성자는 데이터 정책의 제목에 포함된 모든 보안 주체에 대한 전체 사용자 이름 또는 이메일을 입력해야 합니다.

데이터 소유자 정책을 게시하기 위한 Microsoft Purview 권한 구성

데이터 소유자 정책은 Microsoft Purview 정책 작성자 및 데이터 원본 관리자 역할을 organization 다른 사용자에게 할당하는 경우 검사 및 균형을 허용합니다. 데이터 소유자 정책이 적용되기 전에 두 번째 사용자(데이터 원본 관리자)는 이를 검토하고 게시하여 명시적으로 승인해야 합니다. 이러한 정책을 만들거나 업데이트할 때 게시가 자동으로 수행되므로 DevOps 또는 셀프 서비스 액세스 정책에는 적용되지 않습니다.

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 Microsoft Purview의 데이터 원본 관리자 역할을 가져와야 합니다.

Microsoft Purview 역할 할당 관리에 대한 자세한 내용은 Microsoft Purview 데이터 맵 컬렉션 만들기 및 관리를 참조하세요.

참고

데이터 소유자 정책을 게시하려면 루트 컬렉션 수준에서 데이터 원본 관리자 역할을 구성해야 합니다.

Microsoft Purview의 역할에 액세스 프로비저닝 책임 위임

데이터 정책 적용을 위해 리소스를 사용하도록 설정한 후 루트 컬렉션 수준에서 정책 작성자 역할을 가진 모든 Microsoft Purview 사용자는 Microsoft Purview에서 해당 데이터 원본에 대한 액세스를 프로비전할 수 있습니다.

참고

모든 Microsoft Purview 루트 컬렉션 관리자는 루트 정책 작성자 역할에 새 사용자를 할당할 수 있습니다. 모든 컬렉션 관리자는 컬렉션데이터 원본 관리자 역할에 새 사용자를 할당할 수 있습니다. Microsoft Purview 컬렉션 관리자, 데이터 원본 관리자 또는 정책 작성자 역할을 보유하는 사용자를 최소화하고 신중하게 검사합니다.

게시된 정책이 있는 Microsoft Purview 계정이 삭제되면 해당 정책은 특정 데이터 원본에 따라 달라지는 시간 내에 적용되지 않습니다. 이 변경은 보안 및 데이터 액세스 가용성 모두에 영향을 미칠 수 있습니다. IAM의 기여자 및 소유자 역할은 Microsoft Purview 계정을 삭제할 수 있습니다. Microsoft Purview 계정에 대한 액세스 제어(IAM) 섹션으로 이동하여 역할 할당을 선택하여 이러한 권한을 검사 수 있습니다. 잠금을 사용하여 Microsoft Purview 계정이 Resource Manager 잠금을 통해 삭제되지 않도록 할 수도 있습니다.

Microsoft Purview에서 데이터 원본 등록

액세스 정책을 만들려면 먼저 microsoft Purview에 Azure SQL Managed Instance 데이터 원본을 등록해야 합니다. 이 가이드의 "필수 구성 요소" 및 "데이터 원본 등록" 섹션을 따를 수 있습니다.

AZURE SQL MI 등록 및 검사

리소스를 등록한 후에는 데이터 정책 적용(이전의 데이터 사용 관리)을 사용하도록 설정해야 합니다. 데이터 정책 적용에는 특정 권한이 필요하며 특정 Microsoft Purview 역할에 데이터 원본에 대한 액세스를 관리하는 기능을 위임하므로 데이터의 보안에 영향을 줄 수 있습니다. 이 가이드: 데이터 정책 적용을 사용하도록 설정하는 방법 가이드에서 데이터 정책 적용과 관련된 보안 사례를 살펴봅니다.

데이터 원본에 데이터 정책 적용 토글 사용이 있으면 이 스크린샷과 같습니다. 이렇게 하면 지정된 데이터 원본과 함께 액세스 정책을 사용할 수 있습니다 . 스크린샷은 정책 적용을 사용하도록 설정하는 방법을 보여 줍니다.

Azure SQL Database에 대한 Azure Portal 돌아가서 이제 Microsoft Purview에서 제어되는지 확인합니다.

  1. 이 링크를 통해 Azure Portal 로그인

  2. 구성하려는 Azure SQL 서버를 선택합니다.

  3. 왼쪽 창에서 Microsoft Entra ID 이동합니다.

  4. Microsoft Purview 액세스 정책까지 아래로 스크롤합니다.

  5. Microsoft Purview 거버넌스 확인 단추를 선택합니다. 요청이 처리되는 동안 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    Microsoft Purview에서 관리하는 Azure SQL 보여 주는 스크린샷

  6. Microsoft Purview 거버넌스 상태에 가 표시되는지 확인합니다 Governed. 올바른 상태 반영하려면 Microsoft Purview에서 데이터 정책 적용을 사용하도록 설정한 후 몇 분 정도 걸릴 수 있습니다.

참고

이 Azure SQL 데이터베이스 데이터 원본에 대한 데이터 정책 적용을 사용하지 않도록 설정하면 Microsoft Purview 거버넌스 상태가 로 자동으로 Not Governed업데이트되는 데 최대 24시간이 걸릴 수 있습니다. Microsoft Purview 거버넌스 확인을 선택하여 이 작업을 가속화할 수 있습니다. 다른 Microsoft Purview 계정의 데이터 원본에 대한 데이터 정책 적용 을 사용하도록 설정하기 전에 Purview 거버넌스 상태가 로 Not Governed표시되는지 확인합니다. 그런 다음, 새 Microsoft Purview 계정으로 위의 단계를 반복합니다.

정책 만들기

Azure SQL MI에 대한 액세스 정책을 만들려면 다음 가이드를 따릅니다.

다음 단계

원본을 등록했으므로 아래 가이드에 따라 Microsoft Purview 및 데이터에 대해 자세히 알아보세요.