Политики самообслуживания для базы данных Azure SQL (предварительная версия)

Важно!

Сейчас эта функция доступна в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.

Политики самообслуживания позволяют управлять доступом из Microsoft Purview к источникам данных, зарегистрированным для принудительного применения политики данных.

В этом руководстве описывается создание политик самообслуживания в Microsoft Purview для предоставления доступа к базе данных Azure SQL. В настоящее время включены следующие действия: Чтение таблиц и Чтение представлений.

Предостережение

Для работы с представлениями базы данных Azure SQL должна существоватьцепочка владения.

Предварительные условия

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.

• Новая или существующая учетная запись Microsoft Purview. Следуйте инструкциям из этого краткого руководства, чтобы создать его.

• Создайте новый экземпляр базы данных Azure SQL или используйте существующий в одном из доступных регионов для этой функции. Вы можете следовать этому руководству, чтобы создать экземпляр базы данных Azure SQL.

Поддержка регионов

Поддерживаются все регионы Microsoft Purview .

Применение политик Microsoft Purview доступно только в следующих регионах для Azure SQL Базы данных:

Общедоступное облако:

• Восточная часть США
• Восточная часть США2
• Центрально-южная часть США
• Центрально-западная часть США
• Западная часть США3
• Центральная Канада
• Южная Бразилия
• Западная Европа
• Северная Европа
• Центральная Франция
• Южная часть Соединенного Королевства
• Северная часть Южной Африки
• Центральная Индия
• Юго-Восточная Азия
• Восточная Азия
• Восток Австралии

Национальные облака:

• USGov Вирджиния
• Северный Китай 3

Настройка экземпляра базы данных Azure SQL для политик из Microsoft Purview

Чтобы логический сервер, связанный с базой данных Azure SQL, учитывал политики Из Microsoft Purview, необходимо настроить администратора Microsoft Entra. В портал Azure перейдите к логическому серверу, на котором размещается экземпляр базы данных Azure SQL. В боковом меню выберите Microsoft Entra ID. Задайте имя администратора для любого пользователя или группы Microsoft Entra, а затем нажмите кнопку Сохранить.

Затем в боковом меню выберите Удостоверение. В разделе Управляемое удостоверение, назначаемое системой, включите состояние в положение Вкл., а затем нажмите кнопку Сохранить.

Конфигурация Microsoft Purview

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения принудительного применения политики данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения принудительного применения политики данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить принудительное применение политики данных, необходимо иметь определенные права управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

• Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

  • Владелец IAM
  • Участник IAM и администратор доступа пользователей IAM

  Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

  

  Примечание.

  Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Microsoft Entra пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

• Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

  На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

  

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

• Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
• Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Microsoft Entra пользователей или групп при создании или обновлении темы политики вы можете получить разрешение читателей каталогов в Microsoft Entra ID. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения для ресурса принудительного применения политики данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Регистрация источников данных в Microsoft Purview

Ресурсы базы данных Azure SQL необходимо сначала зарегистрировать в Microsoft Purview, чтобы затем определить политики доступа. Вы можете следовать этим руководствам:

Регистрация и проверка базы данных Azure SQL

После регистрации ресурсов необходимо включить принудительное применение политики данных. Принудительное применение политики данных может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview управление доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, связанными с применением политики данных, в этом руководстве:

Включение принудительного применения политики данных

После включения переключателя Принудительное применение политики данных в источнике данных будет выглядеть так, как показано на рисунке. Это позволит использовать политики доступа с заданным сервером SQL и всеми его автономными базами данных.

Создание запроса на самостоятельный доступ к данным

1. Чтобы найти ресурс данных, используйте функции поиска или просмотра Microsoft Purview.

   

2. Выберите ресурс, чтобы перейти к сведениям об активе.

3. Выберите Запросить доступ.

   

   Примечание.

   Если этот параметр недоступен, рабочий процесс самостоятельного доступа либо не был создан, либо не был назначен коллекции, в которой зарегистрирован ресурс. За дополнительными сведениями обратитесь к администратору коллекции, администратору источника данных или администратору рабочего процесса коллекции. Сведения о создании рабочего процесса самостоятельного доступа см. в документации по рабочему процессу самостоятельного доступа.

4. Откроется окно Запросить доступ . Вы можете примечания о том, почему запрашивается доступ к данным.

5. Выберите Отправить , чтобы активировать рабочий процесс самостоятельного доступа к данным.

   Примечание.

   Если вы хотите запросить доступ от имени другого пользователя, установите флажок Запросить другого пользователя и укажите идентификатор электронной почты этого пользователя.

   

   Примечание.

   Запрос на доступ к набору ресурсов фактически отправляет запрос на доступ к данным для папки на один уровень выше, которая содержит все эти файлы набора ресурсов.

6. Владельцы данных будут уведомлены о вашем запросе и либо утвердят, либо отклонят запрос.

Важно!

• Публикация — это фоновая операция. Для отражения изменений в этом источнике данных может потребоваться до 5 минут .
• Изменение политики не требует новой операции публикации. Изменения будут внесены при следующем вытягивании.

Просмотр политики самообслуживания

Чтобы просмотреть созданные политики, следуйте инструкциям в этой статье, чтобы просмотреть политики самообслуживания.

Тестирование политики

Учетная запись Microsoft Entra, группа, MSI или имя субъекта-службы, для которых были созданы политики самообслуживания, теперь должна иметь возможность подключаться к базе данных на сервере и выполнять запрос выбора к запрошенной таблице или представлению.

Принудительное скачивание политики

Можно принудительно скачать последние опубликованные политики в текущую базу данных SQL, выполнив следующую команду. Минимальное разрешение, необходимое для выполнения команды, — членство в роли ##MS_ServerStateManager##-server.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Анализ состояния скачаемой политики из SQL

Следующие динамические административные представления можно использовать для анализа того, какие политики были загружены и в настоящее время назначены Microsoft Entra учетным записям. Минимальное разрешение, необходимое для их запуска, — VIEW DATABASE SECURITY STATE — или назначенный аудитор безопасности SQL группы действий.

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Дополнительные сведения

Сопоставление действий политики

В этом разделе содержится ссылка на то, как действия в политиках данных Microsoft Purview сопоставляют с конкретными действиями в базе данных Azure SQL.

Действие политики Microsoft Purview	Действия, относящиеся к источнику данных
Read	Microsoft.Sql/sqlservers/Connect
	Microsoft.Sql/sqlservers/databases/Connect
	Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows
	Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows

Дальнейшие действия

Ознакомьтесь с блогом, демонстрацией и связанными руководствами

• политики самообслуживания
• Что такое рабочие процессы Microsoft Purview
• Рабочий процесс самостоятельного доступа к данным для гибридных хранилищ данных