Подготовка доступа на чтение к azure Arc SQL Server 2022 с помощью политик владельца данных Microsoft Purview (предварительная версия)

Важно!

Сейчас эта функция доступна в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.

Политики владельца данных — это тип политик доступа Microsoft Purview. Они позволяют управлять доступом к пользовательским данным в источниках, которые были зарегистрированы для принудительного применения политики данных в Microsoft Purview. Эти политики можно создать непосредственно на портале управления Microsoft Purview, и после публикации они применяются источником данных.

В этом руководстве описывается, как владелец данных может делегировать политики разработки в Microsoft Purview для предоставления доступа к SQL Server с поддержкой Azure Arc. В настоящее время включены следующие действия: Чтение. Это действие поддерживается только для политик на уровне сервера. Изменение на данный момент не поддерживается.

Предварительные условия

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.

• Новая или существующая учетная запись Microsoft Purview. Следуйте инструкциям из этого краткого руководства, чтобы создать его.

• Получите SQL Server локальной версии 2022 и установите его. Версии 2022 или более поздние поддерживаются как в Windows, так и в Linux. Вы можете попробовать бесплатный выпуск Developer.
• Настройте разрешения, а затем зарегистрируйте список поставщиков ресурсов в подписке, которую вы будете использовать для подключения экземпляра SQL Server к Azure Arc.
• Выполните предварительные требования и включите экземпляр SQL Server с помощью Azure Arc. Здесь приведена простая конфигурация для Windows SQL Server. Альтернативная конфигурация для Linux SQL Server приведена здесь.
• Включите проверку подлинности Microsoft Entra в SQL Server. Чтобы упростить настройку, выполните предварительные требования и процесс, описанные в этой статье.
• Не забудьте предоставить приложениям разрешения и предоставить согласие администратора.
• Необходимо настроить администратора Microsoft Entra для экземпляра SQL Server, но не нужно настраивать другие Microsoft Entra имена входа или пользователей. Вы предоставите доступ этим пользователям с помощью политик Microsoft Purview.

Поддержка регионов

Принудительное применение политики данных доступно во всех регионах Microsoft Purview, кроме следующих:

• Западная часть США 2
• Восточная Азия
• US Gov Вирджиния
• Северный Китай 3

Вопросы безопасности для SQL Server с поддержкой Azure Arc

• Администратор сервера может отключить принудительное применение политики Microsoft Purview.
• Разрешения администратора Azure Arc и администратора сервера позволяют изменять путь к серверу Resource Manager Azure. Так как сопоставления в Microsoft Purview используют Resource Manager пути, это может привести к неправильному применению политики.
• Администратор SQL Server (администратор базы данных) может получить полномочия администратора сервера и может изменить кэшированные политики из Microsoft Purview.
• Рекомендуется создать отдельную регистрацию приложения для каждого экземпляра SQL Server. Эта конфигурация не позволяет второму экземпляру SQL Server считывать политики, предназначенные для первого экземпляра SQL Server, в случае, если администратор-изгой во втором экземпляре SQL Server подделает путь Resource Manager.

Проверка предварительных требований

1. Войдите в портал Azure по этой ссылке

2. Перейдите в раздел Серверы SQL в области слева. Вы увидите список экземпляров SQL Server в Azure Arc.

3. Выберите экземпляр SQL Server, который требуется настроить.

4. Перейдите к Microsoft Entra ID на левой панели.

5. Убедитесь, что Microsoft Entra проверка подлинности настроена с использованием имени входа администратора. Если нет, ознакомьтесь с разделом предварительных требований к политике доступа в этом руководстве.

6. Убедитесь, что сертификат предоставлен для SQL Server для проверки подлинности в Azure. Если нет, ознакомьтесь с разделом предварительных требований к политике доступа в этом руководстве.

7. Убедитесь, что регистрация приложения введена для создания отношения доверия между SQL Server и Microsoft Entra ID. Если нет, ознакомьтесь с разделом предварительных требований к политике доступа в этом руководстве.

8. Если вы внесли какие-либо изменения, нажмите кнопку Сохранить , чтобы сохранить конфигурацию и подождите, пока операция не завершится успешно. Это может занять несколько минут. Сообщение "Сохранено успешно" будет отображаться в верхней части страницы зеленым фоном. Чтобы увидеть его, может потребоваться прокрутить вверх.

Конфигурация Microsoft Purview

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения принудительного применения политики данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения принудительного применения политики данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить принудительное применение политики данных, необходимо иметь определенные права управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

• Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

  • Владелец IAM
  • Участник IAM и администратор доступа пользователей IAM

  Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

  

  Примечание.

  Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Microsoft Entra пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

• Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

  На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

  

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

• Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
• Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Microsoft Entra пользователей или групп при создании или обновлении темы политики вы можете получить разрешение читателей каталогов в Microsoft Entra ID. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения для ресурса принудительного применения политики данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Регистрация источников данных в Microsoft Purview

Зарегистрируйте каждый источник данных в Microsoft Purview, чтобы позже определить политики доступа.

1. Войдите в Microsoft Purview Studio.

2. Перейдите к функции Карта данных в левой области, выберите Источники, а затем — Зарегистрировать. Введите "Azure Arc" в поле поиска и выберите SQL Server в Azure Arc. Затем нажмите кнопку Продолжить.

   

3. Введите имя для этой регистрации. Рекомендуется сделать имя регистрации таким же, как имя сервера на следующем шаге.

4. Выберите подписку Azure, имя сервера и конечную точку сервера.

5. Выберите коллекцию для регистрации.

6. Включите принудительное применение политики данных. Принудительное применение политики данных требует определенных разрешений и может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview для управления доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, связанными с применением политики данных, в этом руководстве: Включение принудительного применения политики данных

7. Выберите Зарегистрировать или Применить в нижней части экрана.

После включения переключателя Принудительное применение политики данных в источнике данных будет выглядеть так, как показано на рисунке.

Включение политик в SQL Server с поддержкой Azure Arc

В этом разделе описаны действия по настройке SQL Server в Azure Arc для использования Microsoft Purview. Выполните эти действия после включения параметра Принудительное применение политики данных для этого источника данных в учетной записи Microsoft Purview.

1. Войдите в портал Azure по этой ссылке

2. Перейдите в раздел Серверы SQL в области слева. Вы увидите список экземпляров SQL Server в Azure Arc.

3. Выберите экземпляр SQL Server, который требуется настроить.

4. Перейдите к Microsoft Entra ID на левой панели.

5. Прокрутите вниз до раздела Политики доступа Microsoft Purview.

6. Нажмите кнопку Проверить наличие системы управления Microsoft Purview. Подождите, пока запрос будет обработан. Пока это произойдет, это сообщение будет отображаться в верхней части страницы. Чтобы увидеть его, может потребоваться прокрутить вверх.

   

7. В нижней части страницы убедитесь, что в поле Состояние управления Microsoft Purview отображается Governedзначение . Обратите внимание, что для отображения правильного состояния может потребоваться до 30 минут . Продолжайте выполнять обновление браузера до тех пор, пока это не произойдет.

8. Убедитесь, что конечная точка Microsoft Purview указывает на учетную запись Microsoft Purview, в которой вы зарегистрировали этот источник данных и включили принудительное применение политики данных.

Создание и публикация политики владельца данных

Выполните действия, описанные в разделах Создание новой политики и Публикация политикируководства по созданию политики владельца данных. Результатом будет политика владельца данных, аналогичная приведенному в примере:

Пример. Политика чтения. Эта политика назначает субъекту Microsoft Entra sg-Finance действие чтения данных SQL в область SQL Server DESKTOP-xxx. Эта политика также опубликована на этом сервере. Обратите внимание, что политики, связанные с этим действием, не поддерживаются ниже уровня сервера.

Примечание.

• Учитывая, что проверка в настоящее время недоступна для этого источника данных, политики чтения данных можно создавать только на уровне сервера. Используйте поле Источники данных вместо поля Актив при создании части ресурсов данных политики.
• Существует известная проблема с SQL Server Management Studio, которая не позволяет щелкнуть таблицу правой кнопкой мыши и выбрать параметр "Выбрать первые 1000 строк".

Важно!

• Публикация — это фоновая операция. Для отражения изменений в этом источнике данных может потребоваться до 5 минут .
• Изменение политики не требует новой операции публикации. Изменения будут внесены при следующем вытягивании.

Отмена публикации политики владельца данных

Перейдите по этой ссылке, чтобы отменить публикацию политики владельца данных в Microsoft Purview.

Обновление или удаление политики владельца данных

Перейдите по этой ссылке, чтобы обновить или удалить политику владельца данных в Microsoft Purview.

Тестирование политики

После публикации политики и передачи в источник данных любой из пользователей Microsoft Entra в субъекте должен иметь возможность подключиться и выполнить запрос, предназначенный для ресурсов, к которым политика предоставила доступ. Для тестирования используйте SSMS или любой клиент SQL и попробуйте выполнить запрос. Например, попробуйте получить доступ к таблице SQL, для которых предоставлен доступ на чтение.

Если вам требуется дополнительное устранение неполадок, см. раздел Дальнейшие действия в этом руководстве.

Сведения об определении роли

В этом разделе содержится ссылка на то, как соответствующие роли политики данных Microsoft Purview сопоставляют с конкретными действиями в источниках данных SQL.

Определение роли политики Microsoft Purview	Действия, относящиеся к источнику данных
Read	Microsoft.Sql/sqlservers/Connect
	Microsoft.Sql/sqlservers/databases/Connect
	Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows
	Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows

Дальнейшие действия

Ознакомьтесь с блогом, демонстрацией и связанными руководствами

• Документация. Основные понятия для политик владельца данных Microsoft Purview
• Документация. Политики владельца данных Microsoft Purview для всех источников данных в подписке или группе ресурсов
• Документация. Политики владельца данных Microsoft Purview в базе данных Azure SQL
• Документация . Устранение неполадок с политиками Microsoft Purview для источников данных SQL
• Блог. Предоставление пользователям доступа к ресурсам данных на предприятии с помощью API