Azure SQL 数据库 (预览版) 的自助服务策略
重要
此功能目前处于预览阶段。 Microsoft Azure 预览版的补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
自助服务策略 允许你管理从 Microsoft Purview 对已注册 数据策略实施的数据源的访问。
本操作指南介绍了如何在 Microsoft Purview 中创建自助服务策略,以启用对 Azure SQL 数据库的访问。 当前已启用以下操作: 读取表和 读取视图。
警告
必须存在所有权链接,选择才能处理Azure SQL数据库视图。
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
新的或现有的 Microsoft Purview 帐户。 按照本快速入门指南创建一个。
- 在此功能的当前可用区域中,创建新的Azure SQL数据库实例或使用现有实例。 可以按照本指南创建Azure SQL数据库实例。
区域支持
支持所有 Microsoft Purview 区域 。
Microsoft Purview 策略的强制执行仅在以下区域可用于Azure SQL数据库:
公有云:
- 美国东部
- 美国东部 2
- 美国中南部
- 美国中西部
- 美国西部 3
- 加拿大中部
- 巴西南部
- 西欧
- 北欧
- 法国中部
- 英国南部
- 南非北部
- 印度中部
- 东南亚
- 东亚
- 澳大利亚东部
主权云:
- USGov 弗吉尼亚州
- 中国北部 3
为来自 Microsoft Purview 的策略配置Azure SQL数据库实例
若要使与 Azure SQL Database 关联的逻辑服务器遵循来自 Microsoft Purview 的策略,需要配置Microsoft Entra管理员。在Azure 门户中,转到托管 Azure SQL 数据库实例的逻辑服务器。 在侧边菜单上,选择“Microsoft Entra ID”。 将管理员名称设置为你喜欢的任何Microsoft Entra用户或组,然后选择“保存”。
然后,在侧边菜单上,选择“ 标识”。 在 “系统分配的托管标识”下,将状态设置为 “打开”,然后选择“ 保存”。
Microsoft Purview 配置
在 Microsoft Purview 中注册数据源
在 Microsoft Purview 中为数据资源创建策略之前,必须在 Purview Studio Microsoft 注册该数据资源。 本指南稍后会介绍与注册数据资源相关的说明。
注意
Microsoft Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要取消注册,然后在 Microsoft Purview 中再次注册。
配置权限以在数据源上启用数据策略强制实施
注册资源后,但在 Microsoft Purview 中为该资源创建策略之前,必须配置权限。 需要一组权限才能启用 数据策略强制实施。 这适用于数据源、资源组或订阅。 若要启用 数据策略强制实施,必须 对 资源具有特定的标识和访问管理 (IAM) 特权,以及特定的Microsoft Purview 权限:
必须在资源的 Azure 资源管理器 路径上使用以下 IAM 角色组合之一,或者 (的任何父角色组合之一,即使用 IAM 权限继承) :
- IAM 所有者
- IAM 参与者和 IAM 用户访问管理员
若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照 本指南操作。 以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。
注意
数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。 检查哪些Microsoft Entra用户、组和服务主体持有或正在继承资源的 IAM 所有者角色。
如果启用了) 继承,则还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。 有关详细信息,请参阅 管理 Microsoft Purview 角色分配的指南。
以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。
配置 Microsoft Purview 权限以创建、更新或删除访问策略
若要创建、更新或删除策略,需要在根集合级别获取 Microsoft Purview 中的策略作者角色:
- 策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
- 策略作者角色可以删除自助服务访问策略。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
必须在根集合级别配置策略作者角色。
此外,若要在创建或更新策略的主题时轻松搜索Microsoft Entra用户或组,可以在Microsoft Entra ID中获取目录读取者权限,从而大大受益。 这是 Azure 租户中的用户的常见权限。 如果没有目录读取者权限,策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。
为发布数据所有者策略配置 Microsoft Purview 权限
如果将 Microsoft Purview 策略作者 和 数据源管理员 角色分配给组织中的不同人员,则数据所有者策略允许进行检查和平衡。 在数据所有者策略生效之前, (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。 这不适用于 DevOps 或自助访问策略,因为创建或更新这些策略时,这些策略会自动发布。
若要发布数据所有者策略,需要在根集合级别获取 Microsoft Purview 中的数据源管理员角色。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
若要发布数据所有者策略,必须在根集合级别配置数据源管理员角色。
将访问预配责任委托给 Microsoft Purview 中的角色
为资源启用 数据策略强制实施后,在根集合级别具有 策略作者 角色的任何Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。
注意
任何Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。 任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。 最小化并仔细审查拥有 Microsoft Purview 集合管理员、 数据源管理员或 策略作者 角色的用户。
如果删除具有已发布策略的 Microsoft Purview 帐户,这些策略将在依赖于特定数据源的一段时间内停止强制实施。 此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。 还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。
在 Microsoft Purview 中注册数据源
Azure SQL数据库资源首先需要注册到 Microsoft Purview,以便稍后定义访问策略。 可以按照以下指南操作:
注册资源后,需要启用数据策略强制实施。 数据策略强制实施可能会影响数据的安全性,因为它委托给某些Microsoft Purview 角色来管理对数据源的访问。 浏览本指南中与数据策略强制实施相关的安全做法:
数据源启用“数据策略强制”切换后,如下图所示。 这样,访问策略就可以与给定的 SQL Server 及其包含的所有数据库一起使用。
创建自助服务数据访问请求
若要查找数据资产,请使用 Microsoft Purview 的 搜索 或 浏览 功能。
选择要转到资产详细信息的资产。
选择“ 请求访问权限”。
注意
如果此选项不可用,则自助服务 访问工作流 要么尚未创建,要么尚未分配给资源注册的集合。 有关详细信息,请联系集合管理员、数据源管理员或集合的工作流管理员。 或者,有关如何创建自助访问工作流的信息,请参阅 自助服务访问工作流文档。
将打开 “请求访问 ”窗口。 可以提供有关请求数据访问的原因的注释。
选择“ 发送 ”以触发自助服务数据访问工作流。
注意
如果要代表其他用户请求访问权限,请选中“ 为其他人请求 ”复选框,并填充该用户的电子邮件 ID。
注意
对资源集的请求访问实际上将提交一级包含所有这些资源集文件的文件夹的数据访问请求。
数据所有者将收到有关你的请求的通知,并将批准或拒绝该请求。
重要
- 发布是一项后台操作。 更改最多可能需要 5 分钟 才能反映在此数据源中。
- 更改策略不需要新的发布操作。 将在下一次拉取时选取更改。
查看自助服务策略
若要查看已创建的策略,请按照文章 查看自助服务策略。
测试策略
为其创建了自助服务策略的Microsoft Entra帐户、组、MSI 或 SPN 现在应该能够连接到服务器上的数据库,并针对请求的表或视图执行选择查询。
强制策略下载
通过运行以下命令,可以强制将最新发布的策略立即下载到当前 SQL 数据库。 运行命令所需的最小权限是 ##MS_ServerStateManager##-server 角色的成员身份。
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
分析从 SQL 下载的策略状态
以下 DMV 可用于分析哪些策略已下载并当前分配给Microsoft Entra帐户。 运行它们所需的最小权限是 VIEW DATABASE SECURITY STATE 或分配的操作组 SQL 安全审核器。
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
其他信息
策略操作映射
本部分包含Microsoft Purview 数据策略中的操作如何映射到 Azure SQL 数据库中的特定操作的参考。
Microsoft Purview 策略操作 | 特定于数据源的操作 |
---|---|
Read | Microsoft.Sql/sqlservers/Connect |
Microsoft.Sql/sqlservers/databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
Microsoft.Sql/Sqlservers/Databases/Schemas/views/Rows | |
后续步骤
查看博客、演示和相关操作指南