使用 Microsoft Purview 数据所有者策略 (预览版) 预配对已启用 Azure Arc SQL Server 2022 的读取访问权限

重要

此功能目前处于预览阶段。 Microsoft Azure 预览版的补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

数据所有者策略 是一种Microsoft Purview 访问策略。 它们允许你管理对已在 Microsoft Purview 中为 数据策略强制 注册的源中的用户数据的访问权限。 可以直接在 Microsoft Purview 治理门户中创作这些策略,发布后,数据源会强制实施这些策略。

本指南介绍了数据所有者如何在 Microsoft Purview 中委托创作策略,以启用对已启用 Azure Arc 的SQL Server的访问。 当前已启用以下操作: 读取。 仅服务器级别的策略支持此操作。 此时不支持修改

先决条件

区域支持

数据策略强制实施在所有 Microsoft Purview 区域均可用,但以下区域除外:

  • 美国西部 2
  • 东亚
  • US Gov 弗吉尼亚州
  • 中国北部 3

已启用 Azure Arc SQL Server的安全注意事项

  • 服务器管理员可以关闭 Microsoft Purview 策略强制实施。
  • 通过 Azure Arc 管理员和服务器管理员权限,可以更改服务器的 Azure 资源管理器路径。 由于 Microsoft Purview 中的映射使用资源管理器路径,因此可能会导致策略强制实施错误。
  • SQL Server管理员 (数据库管理员) 可以获取服务器管理员的强大功能,并且可以篡改 Microsoft Purview 中的缓存策略。
  • 建议的配置是为每个 SQL Server 实例创建单独的应用注册。 此配置可防止第二个SQL Server实例读取适用于第一个SQL Server实例的策略,以防第二个SQL Server实例中的恶意管理员篡改资源管理器路径。

验证先决条件

  1. 通过此链接登录到Azure 门户

  2. 导航到左窗格中的 SQL 服务器 。 你将在 Azure Arc 上看到SQL Server实例的列表。

  3. 选择要配置的SQL Server实例。

  4. 转到左窗格中的Microsoft Entra ID

  5. 确保使用管理员登录名配置Microsoft Entra身份验证。 如果没有,请参阅本指南中的访问策略先决条件部分。

  6. 确保已向 SQL Server提供证书,以便向 Azure 进行身份验证。 如果没有,请参阅本指南中的访问策略先决条件部分。

  7. 确保已输入应用注册,以在SQL Server与Microsoft Entra ID之间创建信任关系。 如果没有,请参阅本指南中的访问策略先决条件部分。

  8. 如果进行了任何更改,请选择“ 保存 ”按钮以保存配置,并等待操作成功完成。 这可能需要几分钟时间。 “已成功保存”消息将显示在页面顶部的绿色背景中。 可能需要向上滚动才能看到它。

Microsoft Purview 配置

在 Microsoft Purview 中注册数据源

在 Microsoft Purview 中为数据资源创建策略之前,必须在 Purview Studio Microsoft 注册该数据资源。 本指南稍后会介绍与注册数据资源相关的说明。

注意

Microsoft Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要取消注册,然后在 Microsoft Purview 中再次注册。

配置权限以在数据源上启用数据策略强制实施

注册资源后,但在 Microsoft Purview 中为该资源创建策略之前,必须配置权限。 需要一组权限才能启用 数据策略强制实施。 这适用于数据源、资源组或订阅。 若要启用 数据策略强制实施,必须 资源具有特定的标识和访问管理 (IAM) 特权,以及特定的Microsoft Purview 权限:

  • 必须在资源的 Azure 资源管理器 路径上使用以下 IAM 角色组合之一,或者 (的任何父角色组合之一,即使用 IAM 权限继承) :

    • IAM 所有者
    • IAM 参与者和 IAM 用户访问管理员

    若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照 本指南操作。 以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。

    显示Azure 门户中用于添加角色分配的部分的屏幕截图。

    注意

    数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。 检查哪些Microsoft Entra用户、组和服务主体持有或正在继承资源的 IAM 所有者角色。

  • 如果启用了) 继承,则还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。 有关详细信息,请参阅 管理 Microsoft Purview 角色分配的指南

    以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。

    显示用于在根集合级别分配数据源管理员角色的选项的屏幕截图。

配置 Microsoft Purview 权限以创建、更新或删除访问策略

若要创建、更新或删除策略,需要在根集合级别获取 Microsoft Purview 中的策略作者角色:

  • 策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
  • 策略作者角色可以删除自助服务访问策略。

有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合

注意

必须在根集合级别配置策略作者角色。

此外,若要在创建或更新策略的主题时轻松搜索Microsoft Entra用户或组,可以在Microsoft Entra ID中获取目录读取者权限,从而大大受益。 这是 Azure 租户中的用户的常见权限。 如果没有目录读取者权限,策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。

为发布数据所有者策略配置 Microsoft Purview 权限

如果将 Microsoft Purview 策略作者数据源管理员 角色分配给组织中的不同人员,则数据所有者策略允许进行检查和平衡。 在数据所有者策略生效之前, (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。 这不适用于 DevOps 或自助访问策略,因为创建或更新这些策略时,这些策略会自动发布。

若要发布数据所有者策略,需要在根集合级别获取 Microsoft Purview 中的数据源管理员角色。

有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合

注意

若要发布数据所有者策略,必须在根集合级别配置数据源管理员角色。

将访问预配责任委托给 Microsoft Purview 中的角色

为资源启用 数据策略强制实施后,在根集合级别具有 策略作者 角色的任何Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。

注意

任何Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。 任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。 最小化并仔细审查拥有 Microsoft Purview 集合管理员数据源管理员策略作者 角色的用户。

如果删除具有已发布策略的 Microsoft Purview 帐户,这些策略将在依赖于特定数据源的一段时间内停止强制实施。 此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。 还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。

在 Microsoft Purview 中注册数据源

使用 Microsoft Purview 注册每个数据源,以便稍后定义访问策略。

  1. 登录到 Microsoft Purview Studio。

  2. 导航到左窗格中的 “数据映射 ”功能,选择“ ”,然后选择“ 注册”。 在搜索框中键入“Azure Arc”,然后选择 Azure Arc 上的SQL Server。然后选择“继续”。

    屏幕截图显示如何选择要注册的源。

  3. 输入此注册 的名称 。 最佳做法是将注册的名称设置为与下一步中的服务器名称相同。

  4. 选择 Azure 订阅服务器名称和服务器终结点

  5. 选择要 放入此注册的集合。

  6. 启用数据策略强制实施。 数据策略强制需要某些权限,并且可能会影响数据的安全性,因为它委托给某些Microsoft Purview 角色来管理对数据源的访问。 在本指南:如何启用数据策略强制实施中浏览与数据策略强制相关的安全做法

  7. 选择底部的“ 注册 ”或“ 应用 ”。

数据源启用“数据策略强制”切换后,如下图所示。

屏幕截图显示如何为策略注册数据源。

在已启用 Azure Arc 的SQL Server中启用策略

本部分介绍在 Azure Arc 上配置SQL Server以使用 Microsoft Purview 的步骤。 在 Microsoft Purview 帐户中为此数据源启用 数据策略强制 选项后,执行这些步骤。

  1. 通过此链接登录到Azure 门户

  2. 导航到左窗格中的 SQL 服务器 。 你将在 Azure Arc 上看到SQL Server实例的列表。

  3. 选择要配置的SQL Server实例。

  4. 转到左窗格中的Microsoft Entra ID

  5. 向下滚动到 Microsoft Purview 访问策略

  6. 选择“ 检查Microsoft Purview 治理”按钮。 等待处理请求。 发生这种情况时,此消息将显示在页面顶部。 可能需要向上滚动才能看到它。

    显示 Arc-SQL 代理正在处理请求的屏幕截图

  7. 在页面底部,确认“Microsoft Purview 治理状态”显示 Governed。 请注意, 最多可能需要 30 分钟 才能反映正确的状态。 继续执行浏览器刷新,直到发生这种情况。

  8. 确认Microsoft Purview 终结点指向注册此数据源并启用数据策略强制实施的 Microsoft Purview 帐户

创建和发布数据所有者策略

执行数据所有者策略创作教程创建新策略发布策略部分中的步骤。 结果将是类似于示例的数据所有者策略:

示例:读取策略。 此策略将Microsoft Entra主体“sg-Finance”分配给 SQL Server DESKTOP-xxx 范围内的 SQL 数据读取器操作。 此策略也已发布到该服务器。 请注意,与此操作相关的策略在服务器级别以下不受支持。

屏幕截图显示了一个示例数据所有者策略,该策略授予数据读取者访问Azure SQL数据库的权限。

注意

  • 鉴于扫描当前不可用于此数据源,只能在服务器级别创建数据读取器策略。 创作策略的数据资源部分时,请使用“数据源”框而不是“资产”框。
  • SQL Server Management Studio存在一个已知问题,它阻止右键单击表并选择选项“选择前 1000 行”。

重要

  • 发布是一项后台操作。 更改最多可能需要 5 分钟 才能反映在此数据源中。
  • 更改策略不需要新的发布操作。 将在下一次拉取时选取更改。

取消发布数据所有者策略

单击此链接,了解 在 Microsoft Purview 中取消发布数据所有者策略的步骤。

更新或删除数据所有者策略

通过此链接了解 更新或删除 Microsoft Purview 中的数据所有者策略的步骤。

测试策略

发布策略并将其传达到数据源后,主题中的任何Microsoft Entra用户都应能够连接和执行针对策略授予访问权限的资产的查询。 若要进行测试,请使用 SSMS 或任何 SQL 客户端并尝试查询。 例如,尝试访问已提供读取访问权限的 SQL 表。

如果需要其他故障排除,请参阅本指南中的 后续步骤 部分。

角色定义详细信息

本部分包含有关 Purview 数据策略角色Microsoft如何映射到 SQL 数据源中的特定操作的相关参考。

Microsoft Purview 策略角色定义 特定于数据源的操作
Read Microsoft.Sql/sqlservers/Connect
Microsoft.Sql/sqlservers/databases/Connect
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows
Microsoft.Sql/Sqlservers/Databases/Schemas/views/Rows

后续步骤

查看博客、演示和相关操作指南