Conceitos para políticas de proprietário de Dados do Microsoft Purview (pré-visualização)

Importante

Este recurso está atualmente no modo de visualização. Os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Este artigo aborda conceitos relacionados com a gestão do acesso de leitura ou modificação a recursos no seu património de dados a partir do portal de governação do Microsoft Purview.

Observação

Esta capacidade não oferece controlo de acesso para o próprio Microsoft Purview. A concessão de acesso a funções internas do Microsoft Purview está descrita no Controlo de acesso no Microsoft Purview. Esta capacidade é utilizada para conceder acesso ao plano de dados, ou seja, acesso aos próprios dados em sistemas de dados, como o Armazenamento do Microsoft Azure. Não lhe permite conceder acesso ao plano de controlo. O acesso ao plano de controlo fornece visibilidade e capacidade para gerir recursos na sua subscrição. Pode gerir o acesso ao plano de controlo através da Gestão de Identidades e Acessos (IAM)

Visão Geral

As políticas de acesso no Microsoft Purview permitem-lhe gerir o acesso a diferentes sistemas de dados em todo o seu património de dados. Por exemplo:

Um utilizador precisa de acesso de leitura a uma conta de Armazenamento do Azure registada no Microsoft Purview. Pode conceder este acesso diretamente no Microsoft Purview ao criar uma política de acesso a dados através da aplicação Política de dados no portal de governação do Microsoft Purview.

As políticas de proprietário de dados só podem ser impostas em sistemas de dados que tenham sido ativados para a imposição de políticas no Microsoft Purview, ou seja, com a opção Imposição da política de dados ativada no registo da origem de dados.

Conceitos

Política de proprietário de dados

Uma política de Proprietário de dados é um conjunto nomeado de declarações de política. Quando uma política é publicada num ou mais sistemas de dados sob a governação do Microsoft Purview, esta é imposta por eles. Uma definição de política inclui um nome de política, descrição e uma lista de uma ou mais declarações de política.

Observação

Atualmente, apenas é suportada uma única declaração de política por política.

Declaração de política

Uma declaração de política é uma instrução legível por humanos que dita a forma como a origem de dados deve processar uma operação de acesso a dados específica. A declaração de política é composta por Efeito, Ação, Recurso de Dados e Assunto.

Ação

Uma ação é a operação que está a ser permitida ou negada como parte desta política. Por exemplo: Ler ou Modificar. Estas ações lógicas de alto nível mapeiam para uma (ou mais) ações de dados no sistema de dados onde são impostas.

Effect

O efeito indica o que deve ser o resultado se existir uma correspondência no recurso Dados e no Assunto da declaração de política. Atualmente, o único valor suportado é Permitir.

Recurso de dados

O recurso de dados é o caminho de recurso de dados completamente qualificado para o objeto que a declaração de política aplica. Está em conformidade com o seguinte formato:

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Formato data-asset-path do Armazenamento do Azure:

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

SQL do Azure formato data-asset-path da BD:

Microsoft.Sql/servers/<server-name>

Assunto

É uma lista das identidades de utilizador final de Microsoft Entra ID a quem esta declaração de política é aplicável. Cada identidade pode ser um principal de serviço, um utilizador individual, um grupo ou uma identidade de serviço gerida (MSI).

Exemplo

Permitir Leitura no Recurso de Dados: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData para agrupar Finance-analyst

Na declaração de política acima, o efeito é Permitir, a ação é Ler, o recurso de dados é o contentor de Armazenamento do Azure FinData e o assunto é Microsoft Entra grupo Finance-analyst. Se qualquer utilizador que pertença a este grupo tentar ler dados do contentor de armazenamento FinData, o pedido será permitido.

Imposição hierárquica de políticas

O recurso de dados especificado numa instrução de política é hierárquico por predefinição. Isto significa que a declaração de política se aplica ao próprio objeto de dados e a todos os objetos subordinados contidos pelo objeto de dados. Por exemplo, uma declaração de política no contentor do Armazenamento do Azure aplica-se a todos os blobs contidos no mesmo.

Algoritmo de combinação de políticas

Uma origem de dados combina todas as políticas locais aplicáveis com todas as políticas do Microsoft Purview e fornece uma decisão consolidada quando um utilizador tenta aceder a um recurso. A estratégia de combinação escolhe a política mais restritiva.

Por exemplo, vamos assumir duas políticas diferentes num contentor do Armazenamento do Azure FinData da seguinte forma:

Política 1 - Permitir Leitura no Recurso de Dados /subscription/..../containers/FinData para agrupar o Finance-Analyst

Política 2 – Negar Leitura no Recurso de Dados /subscription/..../containers/FinData para agrupar Contratantes financeiros

Em seguida, vamos supor que o utilizador "user1", que faz parte de dois grupos: Analista financeiro e empreiteiros financeiros, executa uma chamada à API de leitura de blobs. Uma vez que ambas as políticas serão aplicáveis, o Armazenamento do Azure escolherá a mais restritiva, que é Negara Leitura. Assim, o pedido de acesso será negado.

Publicação de políticas

Existe uma política recentemente criada no estado do modo de rascunho, apenas visível no Microsoft Purview. O ato de publicação inicia a imposição de uma política nos sistemas de dados especificados. É uma ação assíncrona que pode demorar entre 5 minutos e 2 horas a entrar em vigor, dependendo do tipo de origem de dados. Para obter mais informações, consulte os Guias de procedimentos das políticas de proprietário de dados relacionados com cada tipo de origem de dados.

Uma política publicada numa origem de dados pode conter declarações de política que fazem referência a uma origem de dados diferente. Essas referências serão ignoradas, uma vez que o recurso em questão não existe na origem de dados onde a política é aplicada.

Próximas etapas

Veja os guias sobre como criar políticas no Microsoft Purview que são impostas em sistemas de dados específicos. Para além da IU, agora pode experimentar a API de políticas de proprietário de dados.

• Documento: Como ativar a imposição de políticas para uma origem de dados
• Documento: Aprovisionar o acesso aos conjuntos de dados do Armazenamento do Azure
• Documento: Aprovisionar o acesso a todas as origens de dados numa subscrição ou grupo de recursos
• Documento: Aprovisionar o acesso aos recursos da Base de Dados do SQL do Azure
• Documento: Aprovisionar o acesso a recursos SQL Server 2022 (compatíveis com o Arc)
• Blogue: Conceder aos utilizadores acesso a recursos de dados na sua empresa através da API