Основные понятия политик владельца данных Microsoft Purview (предварительная версия)
Важно!
Сейчас эта функция доступна в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.
В этой статье рассматриваются основные понятия, связанные с управлением доступом на чтение или изменение доступа к ресурсам в пространстве данных на портале управления Microsoft Purview.
Примечание.
Эта возможность не обеспечивает управление доступом для самого Microsoft Purview. Предоставление доступа к внутренним ролям Microsoft Purview описано в разделе Управление доступом в Microsoft Purview. Эта возможность используется для предоставления доступа к плоскости данных, т. е. доступа к самим данным в таких системах данных, как служба хранилища Azure. Он не позволяет предоставлять доступ на уровне управления. Доступ уровня управления обеспечивает видимость и возможность управления ресурсами в подписке. Вы можете управлять доступом уровня управления с помощью управления удостоверениями и доступом (IAM)
Обзор
Политики доступа в Microsoft Purview позволяют управлять доступом к различным системам данных во всем пространстве данных. Например:
Пользователю требуется доступ на чтение к учетной записи хранения Azure, зарегистрированной в Microsoft Purview. Этот доступ можно предоставить непосредственно в Microsoft Purview, создав политику доступа к данным с помощью приложения Политики данных на портале управления Microsoft Purview.
Политики владельца данных могут применяться только в системах данных, для которых в Microsoft Purview включено применение политик, т. е. при регистрации источника данных включен параметр Принудительное применение политики данных .
Концепции
Политика владельца данных
Политика владельца данных — это именованный набор инструкций политики. Когда политика публикуется в одной или нескольких системах данных в рамках управления Microsoft Purview, она применяется к ней. Определение политики включает имя политики, описание и список из одного или нескольких операторов политики.
Примечание.
В настоящее время для каждой политики поддерживается только один оператор политики.
Правила политики
Оператор политики — это удобочитаемая инструкция, которая определяет, как источник данных должен обрабатывать определенную операцию доступа к данным. Оператор политики включает в себя эффект, действие, ресурс данных и субъект.
Действие
Действие — это операция, разрешенная или запрещенная в рамках этой политики. Например: Чтение или Изменение. Эти высокоуровневые логические действия сопоставляются с одним (или несколькими) действиями с данными в системе данных, где они применяются.
Эффект
Эффект указывает, какой результат должен быть, если в ресурсе данных и субъекте инструкции политики имеется совпадение. В настоящее время единственным поддерживаемым значением является Allow.
Ресурс данных
Ресурс данных — это полный путь к ресурсу данных к объекту, к которому применяется инструкция политики. Он соответствует следующему формату:
/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>
Формат data-asset-path службы хранилища Azure:
Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>
Azure SQL формате data-asset-path базы данных:
Microsoft.Sql/servers/<server-name>
Subject
Это список удостоверений конечных пользователей от Microsoft Entra ID, для которых применимо это заявление политики. Каждое удостоверение может быть субъектом-службой, отдельным пользователем, группой или управляемым удостоверением службы (MSI).
Пример
Разрешить чтение в ресурсе данных: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData для группы Finance-analyst
В приведенном выше операторе политики результатом является Разрешить, действие — Чтение, ресурсом данных — контейнер службы хранилища Azure FinData, а субъектом является Microsoft Entra группа Finance-analyst. Если любой пользователь, принадлежащий к этой группе, попытается считывать данные из контейнера хранилища FinData, запрос будет разрешен.
Иерархическое применение политик
Ресурс данных, указанный в инструкции политики, по умолчанию является иерархическим. Это означает, что инструкция политики применяется к самому объекту данных и ко всем дочерним объектам, содержащимся в объекте данных. Например, инструкция политики в контейнере службы хранилища Azure применяется ко всем большим двоичным объектам, содержащимся в нем.
Алгоритм объединения политик
Источник данных объединяет все применимые локальные политики со всеми политиками из Microsoft Purview и предоставляет консолидированное решение, когда пользователь пытается получить доступ к ресурсу. Стратегия объединения выбирает наиболее строгую политику.
Например, предположим, что в контейнере службы хранилища Azure FinData используются две разные политики, как показано ниже.
Политика 1. Разрешить чтение в data asset /subscription/..../containers/FinData для группы Finance-analyst
Политика 2. Запрет на чтение ресурса данных /subscription/..../containers/FinData для группы Finance-подрядчиков
Предположим, что пользователь user1, который входит в две группы: Finance-analyst и Finance-подрядчики, выполняет вызов API чтения BLOB-объектов. Так как применяются обе политики, служба хранилища Azure выберет наиболее строгую— запретна чтение. Таким образом, запрос на доступ будет отклонен.
Публикация политики
Новая политика существует в режиме черновика, видимая только в Microsoft Purview. Акт публикации инициирует принудительное применение политики в указанных системах данных. Это асинхронное действие, которое может занять от 5 минут до 2 часов в зависимости от типа источника данных. Дополнительные сведения см. в практических руководствах по политикам владельца данных, связанных с каждым типом источника данных.
Политика, опубликованная в источнике данных, может содержать инструкции политики, ссылающиеся на другой источник данных. Такие ссылки будут игнорироваться, так как рассматриваемый ресурс не существует в источнике данных, где применяется политика.
Дальнейшие действия
Ознакомьтесь с руководствами по созданию политик в Microsoft Purview, которые применяются в определенных системах данных. За пределами пользовательского интерфейса теперь можно попробовать API политик владельца данных.
- Документация . Включение принудительного применения политики для источника данных
- Документация. Подготовка доступа к наборам данных службы хранилища Azure
- Документация . Подготовка доступа ко всем источникам данных в подписке или группе ресурсов
- Документация. Подготовка доступа к ресурсам базы данных Azure SQL
- Документация. Подготовка доступа к ресурсам SQL Server 2022 (с поддержкой Arc)
- Блог. Предоставление пользователям доступа к ресурсам данных на предприятии с помощью API