Criar, listar, atualizar e eliminar políticas de DevOps do Microsoft Purview

Artigo
11/20/2024

As políticas de DevOps são um tipo de políticas de acesso do Microsoft Purview. Pode utilizá-los para gerir o acesso aos metadados do sistema em origens de dados que foram registadas para a imposição de políticas de dados no Microsoft Purview.

Pode configurar políticas de DevOps diretamente a partir do portal de governação do Microsoft Purview. Depois de serem guardados, são publicados automaticamente e, em seguida, impostos pela origem de dados. As políticas do Microsoft Purview gerem apenas o acesso de Microsoft Entra principais.

Este guia abrange os passos de configuração no Microsoft Purview para aprovisionar o acesso aos metadados do sistema de bases de dados através das ações de política de DevOps para as funções de Auditor de Segurança do SQL Monitor de Desempenho e SQL. Mostra como criar, listar, atualizar e eliminar políticas de DevOps.

Pré-requisitos

Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Uma conta do Microsoft Purview nova ou existente. Siga este guia de início rápido para criar um.

Configuração

Antes de criar políticas no portal de políticas do Microsoft Purview, tem de configurar as origens de dados para que possam impor essas políticas:

Siga quaisquer pré-requisitos específicos da política para a sua origem. Verifique a tabela de origens de dados suportadas pelo Microsoft Purview e selecione a ligação na coluna Política de acesso para obter as origens onde as políticas de acesso estão disponíveis. Siga os passos listados nas secções "Política de acesso" e "Pré-requisitos".
Registe a origem de dados no Microsoft Purview. Siga as secções "Pré-requisitos" e "Registar" das páginas de origem para os seus recursos.
Ative o botão de alternar Imposição da política de dados no registo da origem de dados. Para obter mais informações, incluindo permissões adicionais necessárias para este passo, consulte Ativar a imposição da política de dados nas suas origens do Microsoft Purview.

Criar uma nova política de DevOps

Para criar uma política de DevOps, primeiro certifique-se de que tem a função Autor de Políticas do Microsoft Purview ao nível da coleção de raiz. Veja a secção sobre como gerir atribuições de funções do Microsoft Purview neste guia. Em seguida, execute estas etapas:

Inicie sessão no portal de governação do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
Selecione o botão Nova política .

O painel de detalhes da política é aberto.
Em Tipo de origem de dados, selecione uma origem de dados. Em Nome da origem de dados, selecione uma das origens de dados listadas. Em seguida, clique em Selecionar para regressar ao painel Nova Política .
Selecione uma de duas funções, Monitorização de desempenho ou Auditoria de segurança. Em seguida, selecione Adicionar/remover assuntos para abrir o painel Assunto .

Na caixa Selecionar assuntos, introduza o nome de um principal de Microsoft Entra (utilizador, grupo ou principal de serviço). Os grupos do Microsoft 365 são suportados, mas as atualizações à associação a grupos demoram até uma hora a refletir-se no Microsoft Entra ID. Continue a adicionar ou remover assuntos até estar satisfeito e, em seguida, selecione Guardar.
Selecione Guardar para guardar a política. A política é publicada automaticamente. A imposição começa na origem de dados no prazo de cinco minutos.

Listar políticas de DevOps

Para listar as políticas de DevOps, primeiro certifique-se de que tem uma das seguintes funções do Microsoft Purview ao nível da coleção de raiz: Autor da Política, Administração de Origem de Dados, Curador de Dados ou Leitor de Dados. Veja a secção sobre como gerir atribuições de funções do Microsoft Purview neste guia. Em seguida, execute estas etapas:

Inicie sessão no portal de governação do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.

O painel Políticas de DevOps lista todas as políticas que tenham sido criadas.

Atualizar uma política de DevOps

Para atualizar uma política de DevOps, primeiro certifique-se de que tem a função Autor de Políticas do Microsoft Purview ao nível da coleção de raiz. Veja a secção sobre como gerir atribuições de funções do Microsoft Purview neste guia. Em seguida, execute estas etapas:

Inicie sessão no portal de governação do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
No painel Políticas de DevOps , abra os detalhes da política de uma das políticas ao selecioná-la a partir do respetivo caminho de recurso de dados.
No painel para obter detalhes da política, selecione Editar.
Faça as suas alterações e, em seguida, selecione Guardar.

Eliminar uma política de DevOps

Para eliminar uma política de DevOps, primeiro certifique-se de que tem a função Autor de Políticas do Microsoft Purview ao nível da coleção de raiz. Veja a secção sobre como gerir atribuições de funções do Microsoft Purview neste guia. Em seguida, execute estas etapas:

Inicie sessão no portal de governação do Microsoft Purview.
No painel esquerdo, selecione Política de dados. Em seguida, selecione Políticas de DevOps.
Selecione a caixa de verificação de uma das políticas e, em seguida, selecione Eliminar.

Testar a política de DevOps

Depois de criar uma política, qualquer um dos utilizadores Microsoft Entra que selecionou como sujeitos pode agora ligar-se às origens de dados no âmbito da política. Para testar, utilize SQL Server Management Studio (SSMS) ou qualquer cliente SQL e tente consultar algumas vistas de gestão dinâmica (DMVs) e funções de gestão dinâmica (DMFs). As secções seguintes listam alguns exemplos. Para obter mais exemplos, consulte o mapeamento de DMVs e DMFs populares em O que posso fazer com as políticas de DevOps do Microsoft Purview?.

Se precisar de mais resolução de problemas, consulte a secção Passos seguintes neste guia.

Testar o acesso ao SQL Monitor de Desempenho

Se tiver fornecido os assuntos da política para a função de Monitor de Desempenho SQL, pode emitir os seguintes comandos:

-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats

Captura de ecrã a mostrar um teste para o SQL Monitor de Desempenho.

Testar o acesso do Auditor de Segurança do SQL

Se tiver fornecido os assuntos da política para a função auditor de segurança do SQL, pode emitir os seguintes comandos do SSMS ou de qualquer cliente SQL:

-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys

Garantir que não existe acesso aos dados do utilizador

Experimente aceder a uma tabela numa das bases de dados com o seguinte comando:

-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName

O principal Microsoft Entra com o qual está a testar deve ser negado, o que significa que os dados estão protegidos contra ameaças internas.

Captura de ecrã que mostra um teste para aceder aos dados do utilizador.

Detalhes da definição da função

A tabela seguinte mapeia as funções de política de dados do Microsoft Purview para ações específicas em origens de dados SQL.

Função de política do Microsoft Purview	Ações em origens de dados

MONITOR DE DESEMPENHO SQL	Microsoft.Sql/Sqlservers/Connect
	Microsoft.Sql/Sqlservers/Databases/Connect
	Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select
	Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select
	Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select
	Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select
	Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute
	Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add
	Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add
	Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop

Auditor de Segurança do SQL	Microsoft.Sql/Sqlservers/Connect
	Microsoft.Sql/Sqlservers/Databases/Connect
	Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select
	Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select
	Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select
	Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select

Próximas etapas

Consulte os seguintes blogues, vídeos e artigos relacionados:

Compartilhar via