Políticas self-service para a Base de Dados SQL do Azure (pré-visualização)
Importante
Este recurso está atualmente no modo de visualização. Os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
As políticas self-service permitem-lhe gerir o acesso do Microsoft Purview a origens de dados que foram registadas para a Imposição de Políticas de Dados.
Este guia de procedimentos descreve como as políticas self-service são criadas no Microsoft Purview para permitir o acesso à Base de Dados SQL do Azure. As seguintes ações estão atualmente ativadas: Ler Tabelas e Ler Vistas.
Cuidado
O encadeamento de propriedade tem de existir para que a seleção funcione nas vistas da Base de Dados do SQL do Azure.
Pré-requisitos
Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Uma conta do Microsoft Purview nova ou existente. Siga este guia de início rápido para criar um.
- Crie uma nova instância da Base de Dados SQL do Azure ou utilize uma existente numa das regiões atualmente disponíveis para esta funcionalidade. Pode seguir este guia para criar uma instância da Base de Dados SQL do Azure.
Suporte de região
Todas as regiões do Microsoft Purview são suportadas.
A imposição das políticas do Microsoft Purview só está disponível nas seguintes regiões para SQL do Azure Base de Dados:
Cloud pública:
- Leste dos EUA
- E.U.A. Leste2
- Centro-Sul dos EUA
- Centro-Oeste dos EUA
- E.U.A. Oeste3
- Canadá Central
- Sul do Brasil
- Europa Ocidental
- Norte da Europa
- França Central
- Sul do Reino Unido
- Norte da África do Sul
- Índia Central
- Sudeste Asiático
- Leste da Ásia
- Leste da Austrália
Clouds soberanas:
- USGov Virginia
- China Norte 3
Configurar a instância da Base de Dados SQL do Azure para políticas do Microsoft Purview
Para que o servidor lógico associado à Base de Dados do SQL do Azure honre as políticas do Microsoft Purview, tem de configurar um administrador Microsoft Entra. No portal do Azure, aceda ao servidor lógico que aloja a instância da Base de Dados SQL do Azure. No menu lateral, selecione Microsoft Entra ID. Defina um nome de administrador para qualquer Microsoft Entra utilizador ou grupo que preferir e, em seguida, selecione Guardar.
Em seguida, no menu lateral, selecione Identidade. Em Identidade gerida atribuída pelo sistema, mude o status para Ativado e, em seguida, selecione Guardar.
Configuração do Microsoft Purview
Registar a origem de dados no Microsoft Purview
Antes de uma política poder ser criada no Microsoft Purview para um recurso de dados, tem de registar esse recurso de dados no Microsoft Purview Studio. Encontrará as instruções relacionadas com o registo do recurso de dados mais adiante neste guia.
Observação
As políticas do Microsoft Purview dependem do caminho arm do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou subscrição, terá de ser desativado e registado novamente no Microsoft Purview.
Configurar permissões para ativar a imposição de políticas de dados na origem de dados
Assim que um recurso for registado, mas antes de poder criar uma política no Microsoft Purview para esse recurso, tem de configurar as permissões. É necessário um conjunto de permissões para ativar a imposição da política de dados. Isto aplica-se a origens de dados, grupos de recursos ou subscrições. Para ativar a imposição da política de dados, tem de ter privilégios específicos de Gestão de Identidades e Acessos (IAM) no recurso, bem como privilégios específicos do Microsoft Purview:
Tem de ter uma das seguintes combinações de funções IAM no caminho de Resource Manager do Azure do recurso ou qualquer elemento principal do mesmo (ou seja, através da herança de permissões IAM):
- Proprietário do IAM
- Contribuidor de IAM e Administrador de Acesso de Utilizador do IAM
Para configurar permissões de controlo de acesso baseado em funções (RBAC) do Azure, siga este guia. A seguinte captura de ecrã mostra como aceder à secção Controle de Acesso no portal do Azure para o recurso de dados adicionar uma atribuição de função.
Observação
A função Proprietário de IAM para um recurso de dados pode ser herdada de um grupo de recursos principal, de uma subscrição ou de um grupo de gestão de subscrições. Verifique que Microsoft Entra utilizadores, grupos e principais de serviço têm ou estão a herdar a função Proprietário do IAM do recurso.
Também tem de ter a função de administrador da origem de dados do Microsoft Purview para a coleção ou uma coleção principal (se a herança estiver ativada). Para obter mais informações, veja o guia sobre como gerir atribuições de funções do Microsoft Purview.
A captura de ecrã seguinte mostra como atribuir a função de administrador da Origem de dados ao nível da coleção de raiz.
Configurar permissões do Microsoft Purview para criar, atualizar ou eliminar políticas de acesso
Para criar, atualizar ou eliminar políticas, tem de obter a função de Autor de políticas no Microsoft Purview ao nível da coleção de raiz:
- A função de autor da Política pode criar, atualizar e eliminar políticas de DevOps e Proprietário de Dados.
- A função de autor da Política pode eliminar políticas de acesso self-service.
Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.
Observação
A função de autor da política tem de ser configurada ao nível da coleção de raiz.
Além disso, para procurar facilmente Microsoft Entra utilizadores ou grupos ao criar ou atualizar o assunto de uma política, pode beneficiar bastante da obtenção da permissão Leitores de Diretórios no Microsoft Entra ID. Esta é uma permissão comum para utilizadores num inquilino do Azure. Sem a permissão Leitor de Diretórios, o Autor da Política terá de escrever o nome de utilizador ou e-mail completo para todos os principais incluídos no assunto de uma política de dados.
Configurar permissões do Microsoft Purview para publicar políticas de Proprietário de Dados
As políticas de Proprietário de Dados permitem verificações e saldos se atribuir o autor da Política do Microsoft Purview e as funções de administrador da origem de dados a diferentes pessoas na organização. Antes de uma política de Proprietário de dados ter efeito, uma segunda pessoa (administrador da origem de dados) tem de revê-la e aprová-la explicitamente ao publicá-la. Isto não se aplica às políticas de acesso DevOps ou Self-service, uma vez que a publicação é automática para as mesmas quando essas políticas são criadas ou atualizadas.
Para publicar uma política de Proprietário de dados, tem de obter a função de Administrador da origem de dados no Microsoft Purview ao nível da coleção de raiz.
Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.
Observação
Para publicar políticas de Proprietário de dados, a função de administrador da origem de dados tem de ser configurada ao nível da coleção de raiz.
Delegar a responsabilidade de aprovisionamento de acesso a funções no Microsoft Purview
Depois de um recurso ter sido ativado para a imposição da política de dados, qualquer utilizador do Microsoft Purview com a função de Autor de políticas ao nível da coleção de raiz pode aprovisionar o acesso a essa origem de dados a partir do Microsoft Purview.
Observação
Qualquer administrador da Coleção de raiz do Microsoft Purview pode atribuir novos utilizadores às funções de autor da Política de raiz. Qualquer administrador da Coleção pode atribuir novos utilizadores a uma função de administrador de Origem de dados na coleção. Minimize e analise cuidadosamente os utilizadores que detêm funções de administrador da Coleção do Microsoft Purview, Administrador da origem de dados ou Autor de políticas .
Se uma conta do Microsoft Purview com políticas publicadas for eliminada, essas políticas deixarão de ser impostas num período de tempo que dependa da origem de dados específica. Esta alteração pode ter implicações na disponibilidade de acesso a dados e segurança. As funções Contribuidor e Proprietário no IAM podem eliminar contas do Microsoft Purview. Pode marcar estas permissões ao aceder à secção Controlo de acesso (IAM) da sua conta do Microsoft Purview e selecionar Atribuições de Funções. Também pode utilizar um bloqueio para impedir que a conta do Microsoft Purview seja eliminada através de bloqueios de Resource Manager.
Registar as origens de dados no Microsoft Purview
Os recursos da Base de Dados SQL do Azure têm de ser registados primeiro no Microsoft Purview para definir políticas de acesso posteriormente. Pode seguir estes guias:
Registar e analisar SQL do Azure BD
Depois de registar os recursos, terá de ativar a imposição da política de dados. A imposição da política de dados pode afetar a segurança dos seus dados, uma vez que delega a determinadas funções do Microsoft Purview para gerir o acesso às origens de dados. Veja as práticas seguras relacionadas com a aplicação da política de dados neste guia:
Como ativar a imposição de políticas de dados
Assim que a origem de dados tiver o botão de ativar a imposição da política de dadosAtivado, terá o aspeto desta imagem. Isto permitirá que as políticas de acesso sejam utilizadas com o servidor SQL especificado e todas as respetivas bases de dados contidas.
Criar um pedido de acesso a dados self-service
Para localizar um recurso de dados, utilize a funcionalidade de pesquisa ou navegação do Microsoft Purview.
Selecione o recurso para aceder aos detalhes do recurso.
Selecione Pedir acesso.
Observação
Se esta opção não estiver disponível, um fluxo de trabalho de acesso self-service não foi criado ou não foi atribuído à coleção onde o recurso está registado. Contacte o administrador da coleção, o administrador da origem de dados ou o administrador do fluxo de trabalho da coleção para obter mais informações. Em alternativa, para obter informações sobre como criar um fluxo de trabalho de acesso self-service, veja a nossa documentação do fluxo de trabalho de acesso self-service.
A janela Pedir acesso será aberta. Pode fornecer comentários sobre o motivo pelo qual o acesso aos dados é pedido.
Selecione Enviar para acionar o fluxo de trabalho de acesso a dados self-service.
Observação
Se quiser pedir acesso em nome de outro utilizador, selecione a caixa de verificação Pedido para outra pessoa e preencha o ID de e-mail desse utilizador.
Observação
Um pedido de acesso ao conjunto de recursos irá, na verdade, submeter o pedido de acesso a dados para a pasta um nível acima, que contém todos estes ficheiros de conjunto de recursos.
Os proprietários de dados serão notificados do seu pedido e aprovarão ou rejeitarão o pedido.
Importante
- Publicar é uma operação em segundo plano. Pode demorar até 5 minutos para que as alterações sejam refletidas nesta origem de dados.
- Alterar uma política não requer uma nova operação de publicação. As alterações serão recolhidas com a próxima solicitação.
Ver uma Política self-service
Para ver as políticas que criou, siga o artigo para ver as políticas self-service.
Testar a política
O Microsoft Entra conta, grupo, MSI ou SPN para o qual foram criadas as políticas self-service, deverá agora conseguir ligar-se à base de dados no servidor e executar uma consulta selecionar na tabela ou vista pedidas.
Forçar transferência de política
É possível forçar uma transferência imediata das políticas publicadas mais recentes para a base de dados SQL atual ao executar o seguinte comando. A permissão mínima necessária para executar o comando é associação na função ##MS_ServerStateManager##-server.
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
Analisar o estado da política transferida do SQL
As DMVs seguintes podem ser utilizadas para analisar que políticas foram transferidas e estão atualmente atribuídas a contas Microsoft Entra. A permissão mínima necessária para executá-las é VER ESTADO DE SEGURANÇA DA BASE DE DADOS ou Auditor de Segurança do SQL do Grupo de Ações atribuído.
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
Informações adicionais
Mapeamento de ações de política
Esta secção contém uma referência de como as ações nas políticas de dados do Microsoft Purview mapeiam a ações específicas na Base de Dados do SQL do Azure.
| Ação de política do Microsoft Purview | Ações específicas da origem de dados |
|---|---|
| Leitura | Microsoft.Sql/sqlservers/Connect |
| Microsoft.Sql/sqlservers/databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
Próximas etapas
Verificar guias de procedimentos relacionados, demonstrações e blogues