适用于 Microsoft Purview 的 Amazon RDS 多云扫描连接器 (公共预览版)

借助适用于 Microsoft Purview 的多云扫描连接器，除了 Azure 存储服务之外，还可以跨云提供商（包括 Amazon Web Services）浏览组织数据。

重要

此功能目前处于预览阶段。 Microsoft Azure 预览版的补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

本文介绍如何使用 Microsoft Purview 扫描当前存储在 Amazon RDS 中的结构化数据，包括Microsoft SQL 和 PostgreSQL 数据库，并发现数据中存在哪些类型的敏感信息。 你还将了解如何识别当前存储数据的 Amazon RDS 数据库，以便于信息保护和数据符合性。

重要

适用于 Microsoft Purview 的多云扫描连接器是用于 Microsoft Purview 的独立加载项。 适用于 Microsoft Purview 的多云扫描连接器的条款和条件包含在你获得Microsoft Azure 服务协议中。 有关详细信息，请参阅 上 https://azure.microsoft.com/support/legal/Microsoft Azure 法律信息。

Microsoft Amazon RDS 的 Purview 范围

• 支持的数据库引擎：Amazon RDS 结构化数据存储支持多个数据库引擎。 Microsoft Purview 支持 Amazon RDS 和基于 Microsoft SQL 和 PostgreSQL。

• 支持的区域：对于使用 Kubernetes 支持的自承载集成运行时的专用数据库，Amazon RDS 数据库没有区域限制。

对于使用 Amazon AutoResolveIntegrationRuntime 的公共数据库，Microsoft Purview 仅支持位于以下 AWS 区域的 Amazon RDS 数据库：

• 美国东部 (俄亥俄州)
• 美国东 (弗吉尼亚州)
• 美国西 (加利福尼亚州)
• 美国西 (俄勒冈州)
• 加拿大 (中部)
• 非洲 (开普敦)
• 亚太地区 (香港特别行政区)
• 亚太 (孟买)
• 亚太 (大阪-本地)
• 亚太 (首尔)
• 亚太 (东京)
• 亚太 (新加坡)
• 亚太 (悉尼)
• 欧洲 (法兰克福)
• 欧洲 (爱尔兰)
• 欧洲 (伦敦)
• 欧洲 (巴黎)
• 欧洲 (米兰)
• 欧洲 (斯德哥尔摩)
• 中东 (巴林)
• 南美洲 (圣保罗)

已知问题：目前不支持以下功能：

• “ 测试连接 ”按钮。 扫描状态消息将指示与连接设置相关的任何错误。
• 选择要扫描的数据库中的特定表。
• 数据世系。

有关更多信息，请参阅：

• 使用 Microsoft Purview 管理和增加资源的配额
• Microsoft Purview 中支持的数据源和文件类型
• 为 Microsoft Purview 帐户使用专用终结点

先决条件

在将 Amazon RDS 数据库添加为 Microsoft Purview 数据源并扫描 RDS 数据之前，请确保已执行以下先决条件。

• 你需要是 Purview 数据源管理员Microsoft。
• 需要一个 Microsoft Purview 帐户。 创建Microsoft Purview 帐户实例（如果还没有）。
• 需要 Amazon RDS PostgreSQL 或包含数据的Microsoft SQL 数据库。
• 如果要连接到专用数据库，则需要创建自承载Integration Runtime。 为方案选择正确的集成运行时配置。
  • 若要使用自承载Integration Runtime进行扫描，请设置 Kubernetes 支持的自承载集成运行时。

注册 Amazon RDS 数据源

若要将 Amazon RDS 服务器添加为 Microsoft Purview 数据源，请执行以下操作：

1. 在 Microsoft Purview 中，导航到 “数据映射 ”页，然后选择“ 注册。

2. 在 “源 ”页上，选择“ 注册”。 在右侧显示的“ 注册源 ”页上，选择“ 数据库 ”选项卡，然后选择 Amazon RDS (PostgreSQL) 或 Amazon RDS (SQL) 。

   

3. 输入源的详细信息：

   字段	说明
   Name	为源输入有意义的名称，例如 AmazonPostgreSql-Ups
   服务器名称	使用以下语法输入 RDS 数据库的名称： <instance identifier>.<xxxxxxxxxxxx>.<region>.rds.amazonaws.com 建议从 Amazon RDS 门户复制此 URL，并确保 URL 包含 AWS 区域。
   端口	输入用于连接到 RDS 数据库的端口： - PostgreSQL： 5432 - Microsoft SQL： 1433
   收集 (可选)	选择要向其添加数据源的集合。 有关详细信息，请参阅 管理 Microsoft Purview 中的数据源 (预览版) 。

4. 准备好继续时，选择“ 注册 ”。

注意

不能使用给定服务器名称已存在的名称注册数据源。 必须为数据源使用其他名称。

RDS 数据源将显示在源映射或列表中。 例如：

为 RDS 扫描创建Microsoft Purview 凭据

Amazon RDS 数据源支持的凭据仅包括用户名/密码身份验证，密码存储在 Azure KeyVault 机密中。

创建 RDS 凭据的机密，以便在 Microsoft Purview 中使用

1. 将密码作为机密添加到 Azure KeyVault。 有关详细信息，请参阅使用 Azure 门户 从密钥保管库设置和检索机密。

2. 将访问策略添加到具有 “获取 ”和 “列表” 权限的 KeyVault。 例如：

   

   定义策略的主体时，请选择Microsoft Purview 帐户。 例如：

   

   选择“ 保存” 以保存访问策略更新。 有关详细信息，请参阅分配 Azure 密钥保管库访问策略。

3. 在 Microsoft Purview 中，添加 KeyVault 连接以将具有 RDS 机密的 KeyVault 连接到 Microsoft Purview。 有关详细信息，请参阅 Microsoft Purview 中的源身份验证凭据。

为 RDS 创建 Microsoft Purview 凭据对象

在 Microsoft Purview 中，创建扫描 Amazon RDS 帐户时要使用的凭据对象。

1. 在“Microsoft Purview 管理 ”区域中，选择“ 安全性和访问>凭据>”“新建”。

2. 选择“ SQL 身份验证 ”作为身份验证方法。 然后，输入存储 RDS 凭据的密钥保管库的详细信息，包括密钥保管库和机密的名称。

   例如：

   

有关详细信息，请参阅 Microsoft Purview 中的源身份验证凭据。

扫描 Amazon RDS 数据库

若要为 RDS 数据库配置Microsoft Purview 扫描，请执行以下操作：

1. 在“Microsoft Purview 源 ”页中，选择要扫描的 Amazon RDS 数据源。

2. 选择“新建扫描”开始定义扫描。 在右侧打开的窗格中，输入以下详细信息，然后选择“ 继续”。

   • 名称：为扫描输入有意义的名称。
   • 与集成运行时连接：根据数据库类型选择 集成运行时 。
     • Amazon AutoResolveIntegrationRuntime：选择公共数据库。
     • Self-Hosted Integration Runtime：创建新的基于 Kubernetes 的 SHIR 并用于专用数据库。
   • 数据库名称：输入要扫描的数据库的名称。 需要从 Purview Microsoft 外部找到可用的名称，并为已注册的 RDS 服务器中的每个数据库创建单独的扫描。
   • 凭据：选择前面为用于 Microsoft Purview 的多云扫描连接器创建的凭据，以访问 RDS 数据库。

3. 在 “选择扫描规则集 ”窗格中，选择要使用的扫描规则集，或创建一个新规则集。 有关详细信息，请参阅 创建扫描规则集。

4. 在 “设置扫描触发器 ”窗格中，选择是要运行扫描一次还是定期运行扫描，然后选择“ 继续”。

5. 在“ 查看扫描 ”窗格中，查看详细信息，然后选择“ 保存并运行”，或选择 “保存” 以稍后运行它。

运行扫描时，选择“ 刷新 ”以监视扫描进度。

注意

使用 Amazon RDS PostgreSQL 数据库时，仅支持完全扫描。 不支持增量扫描，因为 PostgreSQL 没有 “上次修改时间” 值。 

浏览扫描结果

在 Amazon RDS 数据库上完成Microsoft Purview 扫描后，请向下钻取Microsoft Purview 数据映射 区域以查看扫描历史记录。 选择数据源以查看其详细信息，然后选择“ 扫描 ”选项卡以查看当前正在运行或已完成的任何扫描。

使用 Microsoft Purview 的其他区域来查找有关数据资产中内容的详细信息，包括 Amazon RDS 数据库：

• 浏览目录中的 RDS 数据。 Microsoft Purview 目录显示所有源类型的统一视图，RDS 扫描结果的显示方式与Azure SQL类似。 可以使用筛选器浏览目录，或浏览资产并在层次结构中导航。 有关更多信息，请参阅：

  • 教程：浏览 Microsoft Purview 中的资产 (预览) 并查看其世系
  • 搜索Microsoft Purview 数据目录
  • 注册并扫描Azure SQL数据库

• 查看见解报表 ，以查看分类、敏感度标签、文件类型的统计信息，以及有关内容的更多详细信息。

  所有Microsoft Purview Insight 报表都包括 Amazon RDS 扫描结果，以及来自 Azure 数据源的其余结果。 如果相关， 会将 Amazon RDS 资产类型添加到报表筛选选项。

  有关详细信息，请参阅 了解 Microsoft Purview 中的数据资产见解。

• 在其他 Microsoft Purview 功能（如 扫描 和 术语表区域） 中查看 RDS 数据。 有关更多信息，请参阅：

  • 创建扫描规则集
  • 教程：在 Microsoft Purview (预览版中创建和导入术语表术语)

RDS 错误

Microsoft Purview 中可能会出现以下错误：

• Unknown database. 在这种情况下，定义的数据库不存在。 检查配置的数据库名称是否正确

• Failed to login to the Sql data source. The given auth credential does not have permission on the target database. 在这种情况下，用户名和密码不正确。 检查凭据并根据需要更新凭据。

旧版 AWS RDS 扫描配置

注意

下面所述的方法不久将弃用，只能用于参考。 强烈建议使用新的 AWS RDS 扫描配置方法。

以前，配置 Microsoft Purview 以连接到 RDS VPC 涉及使用 VPN 或其他网络配置方法设置直接连接。 此方法需要执行以下步骤来设置网络对等互连、安全组和路由配置。

1. 设置 VPN 或直接连接：在 AWS 专有网络和 Microsoft Purview 扫描基础结构之间建立安全连接。
2. 配置网络对等互连：在MICROSOFT Purview 使用的专有网络对等互连之间创建专有网络对等互连连接。
3. 安全组调整：修改安全组以允许从 Microsoft Purview IP 范围到 RDS 实例的流量。
4. 路由表汇报：更新路由表，以确保在 VPC 之间正确路由流量。

通过过渡到基于 AWS Kubernetes 的新Integration Runtime配置，可以实现更安全、更可靠、更简单的连接设置，确保与 Microsoft Purview 更好地集成。

后续步骤

详细了解Microsoft Purview Insight 报表：

了解 Microsoft Purview 中的数据资产见解