Подключение к SQL Server с поддержкой Azure Arc и управление ими в Microsoft Purview
В этой статье показано, как зарегистрировать экземпляр SQL Server с поддержкой Azure Arc. Здесь также показано, как выполнять проверку подлинности и взаимодействовать с SQL Server с поддержкой Azure Arc в Microsoft Purview. Дополнительные сведения о Microsoft Purview см. в вводной статье.
Поддерживаемые возможности
Извлечение метаданных | Полная проверка | Добавочное сканирование | Сканирование с заданной областью | Классификация | Присвоение подписей | Политика доступа | Lineage | Общий доступ к данным | Интерактивное представление |
---|---|---|---|---|---|---|---|---|---|
Да | Да (предварительная версия) | Да (предварительная версия) | Да (предварительная версия) | Да (предварительная версия) | Нет | Да | Ограниченный** | Нет | Нет |
** Происхождение данных поддерживается, если набор данных используется в качестве источника или приемника в действии копирования Фабрика данных Azure.
Поддерживаемые SQL Server версии 2012 и более поздних. SQL Server Express LocalDB не поддерживается.
При сканировании SQL Server с поддержкой Azure Arc Microsoft Purview поддерживает извлечение следующих технических метаданных:
- Экземпляров
- Databases
- Схемы
- Таблицы, включая столбцы
- Представления, включая столбцы
При настройке проверки можно указать имя базы данных для сканирования одной базы данных. Вы можете дополнительно область сканирование, выбрав таблицы и представления при необходимости. Весь экземпляр SQL Server с поддержкой Azure Arc будет сканирован, если не указать имя базы данных.
Предварительные условия
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
Активная учетная запись Microsoft Purview.
Разрешения администратора источников данных и читателя данных для регистрации источника и управления им на портале управления Microsoft Purview. Дополнительные сведения см. в статье Управление доступом на портале управления Microsoft Purview .
Настройте правильную среду выполнения интеграции для своего сценария:
- Чтобы использовать локальную среду выполнения интеграции, выполнитеинструкции по созданию и настройке локальной среды выполнения интеграции.
- Чтобы использовать локальную среду выполнения интеграции, поддерживаемую Kubernetes, выполнитеинструкции по созданию и настройке среды выполнения интеграции, поддерживаемой Kubernetes. (Только проверка подлинности SQL.)
Сеть
Если экземпляр Microsoft Purview отключил доступ к общедоступной сети, для доступа к Arc-Enabled SQL Server виртуальную машину необходимо добавить в виртуальную сеть, подключенную к экземпляру Microsoft Purview.
Регистрация
В этом разделе описывается, как зарегистрировать экземпляр SQL Server с поддержкой Azure Arc в Microsoft Purview с помощью портала управления Microsoft Purview.
Проверка подлинности для регистрации
Существует два способа настройки проверки подлинности для сканирования SQL Server с поддержкой Azure Arc с помощью локальной среды выполнения интеграции.
- проверку подлинности SQL Server;
- проверка подлинности Windows — не поддерживается SHIR Kubernetes.
Настройка проверки подлинности для развертывания SQL Server:
В SQL Server Management Studio (SSMS) перейдите в раздел Свойства сервера, а затем выберите Безопасность в левой области.
В разделе Проверка подлинности сервера:
- Для проверка подлинности Windows выберите режим проверки подлинности Windows или SQL Server и режим проверки подлинности Windows.
- Для проверки подлинности SQL Server выберите SQL Server и режим проверки подлинности Windows.
Для изменения проверки подлинности сервера необходимо перезапустить экземпляр SQL Server и агент SQL Server. В SSMS перейдите к экземпляру SQL Server и выберите Перезапустить в области параметров правой кнопкой мыши.
Создание нового имени входа и пользователя
Если вы хотите создать новое имя входа и пользователя для сканирования экземпляра SQL Server, выполните следующие действия.
Учетная запись должна иметь доступ к базе данных master, так как sys.databases
она находится в базе данных master. Чтобы найти все базы данных SQL на сервере, сканеру Microsoft Purview необходимо выполнить перечисление sys.databases
.
Примечание.
С помощью этого кода можно выполнить все следующие действия.
Перейдите в раздел SSMS, подключитесь к серверу и выберите Безопасность на панели слева.
Выберите и удерживайте (или щелкните правой кнопкой мыши) Имя входа, а затем выберите Создать имя входа. Если применяется проверка подлинности Windows, выберите проверка подлинности Windows. Если применяется SQL Server проверка подлинности, выберите SQL Server проверки подлинности.
Выберите Роли сервера в области слева и убедитесь, что назначена общедоступная роль.
Выберите Сопоставление пользователей в области слева, выберите все базы данных на карте, а затем выберите роль db_datareader базы данных.
Нажмите кнопку ОК , чтобы сохранить.
Если SQL Server применяется проверка подлинности, необходимо изменить пароль сразу после создания нового имени входа:
- Выберите и удерживайте (или щелкните правой кнопкой мыши) созданного пользователя, а затем выберите Свойства.
- Введите новый пароль и подтвердите его.
- Установите флажок Указать старый пароль и введите старый пароль.
- Нажмите OK.
Сохранение пароля SQL Server входа в хранилище ключей и создание учетных данных в Microsoft Purview
Перейдите в хранилище ключей в портал Azure. Выберите Параметры Секреты>.
Выберите + Создать и импортировать. В полях Имя и Значение введите пароль от имени входа SQL Server.
Нажмите Создать.
Если хранилище ключей еще не подключено к Microsoft Purview, создайте новое подключение к хранилищу ключей.
Создайте новые учетные данные , используя имя пользователя и пароль для настройки проверки.
Не забудьте выбрать правильный метод проверки подлинности при создании новых учетных данных. Если применяется проверка подлинности Windows, выберите проверка подлинности Windows. Если применяется SQL Server проверка подлинности, выберите SQL Server проверки подлинности.
Действия по регистрации
Перейдите к учетной записи Microsoft Purview.
В разделе Источники и сканирование на панели слева выберите Среды выполнения интеграции. Убедитесь, что настроена локальная среда выполнения интеграции. Если она не настроена, выполните действия, чтобы создать локальную среду выполнения интеграции для сканирования на локальной виртуальной машине или виртуальной машине Azure, которая имеет доступ к локальной сети.
Выберите Карта данных в левой области.
Нажмите Зарегистрировать.
Выберите Azure Arc с поддержкой SQL Server, а затем нажмите кнопку Продолжить.
Укажите понятное имя, которое представляет собой короткое имя, которое можно использовать для идентификации сервера. Также укажите конечную точку сервера.
Нажмите кнопку Готово , чтобы зарегистрировать источник данных.
Проверка
Выполните следующие действия, чтобы проверить экземпляры SQL Server с поддержкой Azure Arc для автоматической идентификации ресурсов и классификации данных. Дополнительные сведения о сканировании в целом см. в статье Сканирование и прием данных в Microsoft Purview.
Чтобы создать и запустить новую проверку, выполните приведенные ниже действия.
На портале управления Microsoft Purview выберите вкладку Карта данных в левой области.
Выберите зарегистрированный источник SQL Server с поддержкой Azure Arc.
Выберите Создать сканирование.
Выберите учетные данные для подключения к источнику данных. Учетные данные группируются и перечислены в методах проверки подлинности.
Вы можете область сканирование в определенные таблицы, выбрав соответствующие элементы в списке.
Выберите набор правил сканирования. Вы можете выбрать между системными значениями по умолчанию, существующими настраиваемыми наборами правил или созданием нового встроенного набора правил.
Выберите триггер сканирования. Вы можете настроить расписание или запустить проверку один раз.
Просмотрите проверку и выберите Сохранить и запустить.
Просмотр проверок и запусков сканирования
Чтобы просмотреть существующие проверки, выполните приведенные далее действия.
- Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.
- Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .
- Выберите сканирование с результатами, которые вы хотите просмотреть. На панели отображаются все предыдущие запуски сканирования, а также состояние и метрики для каждого запуска сканирования.
- Выберите идентификатор запуска, чтобы проверка сведения о выполнении проверки.
Управление проверками
Чтобы изменить, отменить или удалить сканирование:
Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.
Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .
Выберите проверку, которой вы хотите управлять. Далее вы можете:
- Измените сканирование, выбрав Изменить проверку.
- Отмените выполняемую проверку, выбрав Отмена выполнения проверки.
- Удалите сканирование, выбрав Удалить сканирование.
Примечание.
- При удалении сканирования ресурсы каталога, созданные на основе предыдущих проверок, не удаляются.
Политика доступа
Поддерживаемые политики
В этом ресурсе данных из Microsoft Purview поддерживаются следующие типы политик:
- Политики DevOps
- Политики владельца данных (предварительная версия)
Предварительные требования к политике доступа в SQL Server с поддержкой Azure Arc
- Получите SQL Server локальной версии 2022 и установите его. Версии 2022 или более поздние поддерживаются как в Windows, так и в Linux. Вы можете попробовать бесплатный выпуск Developer.
- Настройте разрешения, а затем зарегистрируйте список поставщиков ресурсов в подписке, которую вы будете использовать для подключения экземпляра SQL Server к Azure Arc.
- Выполните предварительные требования и включите экземпляр SQL Server с помощью Azure Arc. Здесь приведена простая конфигурация для Windows SQL Server. Альтернативная конфигурация для Linux SQL Server приведена здесь.
- Включите проверку подлинности Microsoft Entra в SQL Server. Чтобы упростить настройку, выполните предварительные требования и процесс, описанные в этой статье.
- Не забудьте предоставить приложениям разрешения и предоставить согласие администратора.
- Необходимо настроить администратора Microsoft Entra для экземпляра SQL Server, но не нужно настраивать другие Microsoft Entra имена входа или пользователей. Вы предоставите доступ этим пользователям с помощью политик Microsoft Purview.
Поддержка регионов
Принудительное применение политики данных доступно во всех регионах Microsoft Purview, кроме следующих:
- Западная часть США 2
- Восточная Азия
- US Gov Вирджиния
- Северный Китай 3
Вопросы безопасности для SQL Server с поддержкой Azure Arc
- Администратор сервера может отключить принудительное применение политики Microsoft Purview.
- Разрешения администратора Azure Arc и администратора сервера позволяют изменять путь к серверу Resource Manager Azure. Так как сопоставления в Microsoft Purview используют Resource Manager пути, это может привести к неправильному применению политики.
- Администратор SQL Server (администратор базы данных) может получить полномочия администратора сервера и может изменить кэшированные политики из Microsoft Purview.
- Рекомендуется создать отдельную регистрацию приложения для каждого экземпляра SQL Server. Эта конфигурация не позволяет второму экземпляру SQL Server считывать политики, предназначенные для первого экземпляра SQL Server, в случае, если администратор-изгой во втором экземпляре SQL Server подделает путь Resource Manager.
Проверка предварительных требований
Войдите в портал Azure по этой ссылке
Перейдите в раздел Серверы SQL в области слева. Вы увидите список экземпляров SQL Server в Azure Arc.
Выберите экземпляр SQL Server, который требуется настроить.
Перейдите к Microsoft Entra ID на левой панели.
Убедитесь, что Microsoft Entra проверка подлинности настроена с использованием имени входа администратора. Если нет, ознакомьтесь с разделом предварительных требований к политике доступа в этом руководстве.
Убедитесь, что сертификат предоставлен для SQL Server для проверки подлинности в Azure. Если нет, ознакомьтесь с разделом предварительных требований к политике доступа в этом руководстве.
Убедитесь, что регистрация приложения введена для создания отношения доверия между SQL Server и Microsoft Entra ID. Если нет, ознакомьтесь с разделом предварительных требований к политике доступа в этом руководстве.
Если вы внесли какие-либо изменения, нажмите кнопку Сохранить , чтобы сохранить конфигурацию и подождите, пока операция не завершится успешно. Это может занять несколько минут. Сообщение "Сохранено успешно" будет отображаться в верхней части страницы зеленым фоном. Чтобы увидеть его, может потребоваться прокрутить вверх.
Настройка учетной записи Microsoft Purview для политик
Регистрация источника данных в Microsoft Purview
Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.
Примечание.
Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.
Настройка разрешений для включения принудительного применения политики данных в источнике данных
После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения принудительного применения политики данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить принудительное применение политики данных, необходимо иметь определенные права управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:
Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):
- Владелец IAM
- Участник IAM и администратор доступа пользователей IAM
Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.
Примечание.
Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Microsoft Entra пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.
Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.
На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.
Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа
Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:
- Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
- Роль "Автор политики" может удалять политики самостоятельного доступа.
Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.
Примечание.
Роль автора политики должна быть настроена на уровне корневой коллекции.
Кроме того, для упрощения поиска Microsoft Entra пользователей или групп при создании или обновлении темы политики вы можете получить разрешение читателей каталогов в Microsoft Entra ID. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.
Настройка разрешений Microsoft Purview для публикации политик владельца данных
Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.
Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.
Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.
Примечание.
Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.
Делегирование ответственности за подготовку доступа ролям в Microsoft Purview
После включения для ресурса принудительного применения политики данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.
Примечание.
Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .
Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.
Регистрация источника данных и включение принудительного применения политики данных
Прежде чем создавать политики, необходимо зарегистрировать источник данных с поддержкой Azure Arc SQL Server в Microsoft Purview:
Войдите в Microsoft Purview Studio.
Перейдите в раздел Карта данных на левой панели, выберите Источники, а затем — Зарегистрировать. Введите Azure Arc в поле поиска и выберите SQL Server в Azure Arc. Затем нажмите кнопку Продолжить.
В поле Имя введите имя для этой регистрации. Рекомендуется сделать имя регистрации таким же, как и имя сервера на следующем шаге.
Выберите значения для подписки Azure, имени сервера и конечной точки сервера.
В поле Выберите коллекцию выберите коллекцию, в который будет помещена эта регистрация.
Включите принудительное применение политики данных. Принудительное применение политики данных требует определенных разрешений и может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview для управления доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, связанными с применением политики данных , в этом руководстве: Включение принудительного применения политики данных в источниках Microsoft Purview.
После включения принудительного применения политики данных Microsoft Purview автоматически записывает идентификатор приложения регистрации приложения, связанного с этим SQL Server с поддержкой Azure Arc, если он был настроен. Вернитесь на этот экран и нажмите кнопку обновления сбоку, чтобы обновить его, если связь между SQL Server с поддержкой Azure Arc и регистрацией приложений изменится в будущем.
Выберите Зарегистрировать или Применить.
Включение политик в SQL Server с поддержкой Azure Arc
В этом разделе описаны действия по настройке SQL Server в Azure Arc для использования Microsoft Purview. Выполните эти действия после включения параметра Принудительное применение политики данных для этого источника данных в учетной записи Microsoft Purview.
Войдите в портал Azure по этой ссылке
Перейдите в раздел Серверы SQL в области слева. Вы увидите список экземпляров SQL Server в Azure Arc.
Выберите экземпляр SQL Server, который требуется настроить.
Перейдите к Microsoft Entra ID на левой панели.
Прокрутите вниз до раздела Политики доступа Microsoft Purview.
Нажмите кнопку Проверить наличие системы управления Microsoft Purview. Подождите, пока запрос будет обработан. Пока это произойдет, это сообщение будет отображаться в верхней части страницы. Чтобы увидеть его, может потребоваться прокрутить вверх.
В нижней части страницы убедитесь, что в поле Состояние управления Microsoft Purview отображается
Governed
значение . Обратите внимание, что для отображения правильного состояния может потребоваться до 30 минут . Продолжайте выполнять обновление браузера до тех пор, пока это не произойдет.Убедитесь, что конечная точка Microsoft Purview указывает на учетную запись Microsoft Purview, в которой вы зарегистрировали этот источник данных и включили принудительное применение политики данных.
Создать политику
Чтобы создать политику доступа для SQL Server с поддержкой Azure Arc, выполните следующие руководства.
- Подготовка доступа к сведениям о работоспособности, производительности и аудите системы в SQL Server 2022 г.
- Подготовка доступа на чтение и изменение в одном SQL Server 2022 г.
Сведения о создании политик, охватывающих все источники данных в группе ресурсов или подписке Azure, см. в статье Обнаружение и управление несколькими источниками Azure в Microsoft Purview.
Дальнейшие действия
Теперь, когда вы зарегистрировали источник, используйте следующие руководства, чтобы узнать больше о Microsoft Purview и ваших данных: