Microsoft Purview 数据所有者策略的概念 (预览版)

重要

此功能目前处于预览阶段。 Microsoft Azure 预览版的补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

本文讨论与从 Microsoft Purview 治理门户中管理对数据资产中的资产的读取或修改访问权限相关的概念。

注意

此功能不为 Microsoft Purview 本身提供访问控制。 Microsoft Purview 中的访问控制中介绍了授予 对 Microsoft Purview 内部角色的访问权限。 此功能用于授予数据平面访问权限，即在 Azure 存储等数据系统中访问数据本身。 它不允许授予控制平面访问权限。 控制平面访问提供管理订阅中的资源的可见性和能力。 可以通过标识和访问管理 (IAM) 管理控制平面访问

概述

Microsoft Purview 中的访问策略使你能够管理对整个数据资产中不同数据系统的访问权限。 例如：

用户需要对已在 Microsoft Purview 中注册的 Azure 存储帐户的读取访问权限。 可以通过 Microsoft Purview 治理门户中的数据 策略 应用创建数据访问策略，直接在 Microsoft Purview 中授予此访问权限。

数据所有者策略只能在已在 Microsoft Purview 中启用策略实施的数据系统上强制实施，即在数据源注册中启用 “数据策略强制实施 ”选项。

概念

数据所有者策略

数据所有者策略是一组命名的策略语句。 当策略发布到Microsoft Purview 治理下的一个或多个数据系统时，它们随后会强制实施该策略。 策略定义包括策略名称、说明以及一个或多个策略语句的列表。

注意

目前，每个策略仅支持单个策略语句。

策略声明

策略语句是一种可读指令，指示数据源应如何处理特定的数据访问操作。 策略语句包括 Effect、 Action、Data Resource 和 Subject。

操作

操作是允许或拒绝作为此策略的一部分的操作。 例如：读取或修改。 这些高级逻辑操作映射到强制执行这些操作的数据系统中的一 (个或多个) 数据操作。

作用

该 效果 指示在策略语句的数据资源和 Subject 上存在匹配项时应得到的结果。 目前，唯一受支持的值为 Allow。

数据资源

数据资源是策略语句所应用对象的完全限定数据资产路径。 它符合以下格式：

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Azure 存储 data-asset-path 格式：

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Azure SQL DB data-asset-path 格式：

Microsoft.Sql/servers/<server-name>

主题

它是此策略声明适用的Microsoft Entra ID最终用户标识的列表。 每个标识可以是服务主体、单个用户、组或托管服务标识 (MSI) 。

示例

允许对数据资产进行读取： /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData 组 Finance-analyst

在上述策略声明中，效果为 Allow，操作为 Read，数据资源为 Azure 存储容器 FinData，主题Microsoft Entra组 Finance-analyst。 如果属于此组的任何用户尝试从存储容器 FinData 读取数据，将允许请求。

分层实施策略

默认情况下，策略语句中指定的数据资源是分层的。 这意味着策略语句应用于数据对象本身以及数据对象包含 的所有 子对象。 例如，Azure 存储容器上的策略语句适用于其中包含的所有 Blob。

策略组合算法

数据源将所有适用的本地策略与来自 Microsoft Purview 的所有策略组合在一起，并在用户尝试访问资产时提供合并决策。 组合策略选择限制性最高的策略。

例如，假设 Azure 存储容器 FinData 上有两个不同的策略，如下所示：

策略 1 - 允许对数据资产 /subscription/..../containers/FinData 进行读取以将 Finance-analyst 分组

策略 2 - 拒绝对数据资产 /subscription/..../containers/FinData 进行分组的读取

然后，假设用户“user1”属于两个组（ 财务分析师 和 财务承包商）执行对 Blob 读取 API 的调用。 由于这两种策略都适用，因此 Azure 存储将选择限制性最高的策略，即拒绝读取。 因此，访问请求将被拒绝。

策略发布

新创建的策略处于草稿模式状态，仅在 purview Microsoft 可见。 发布行为启动在指定数据系统中强制执行策略。 这是一个异步操作，可能需要 5 分钟到 2 小时才能生效，具体取决于数据源类型。 有关详细信息，请参阅与每种数据源类型相关的数据所有者策略操作指南。

发布到数据源的策略可能包含引用不同数据源的策略语句。 此类引用将被忽略，因为有问题的资产不存在于应用策略的数据源中。

后续步骤

查看有关如何在 Microsoft Purview 中创建在特定数据系统中强制实施的策略的指南。 在 UI 之外，现在可以尝试数据所有者策略 API。

• 文档： 如何为数据源启用策略强制实施
• 文档： 预配对 Azure 存储数据集的访问权限
• 文档： 预配对订阅或资源组中所有数据源的访问权限
• 文档：预配对Azure SQL数据库资产的访问权限
• 文档：预配对已启用 SQL Server 2022 (Arc) 资产的访问权限
• 博客： 通过 API 授予用户对企业中的数据资产的访问权限