排查Microsoft Purview 数据映射中的扫描和连接问题
本文介绍如何排查在 Microsoft Purview 中的数据源上设置扫描时出现的连接错误,或扫描时可能发生的错误。
对数据源授予凭据的权限
如果使用托管标识或服务主体作为扫描身份验证方法,则必须允许这些标识访问数据源。
每种 源类型都有特定的说明。
重要
验证是否已针对要连接到的源遵循所有先决条件和身份验证步骤。 可以在 Microsoft Purview 支持的源一文中找到列出的所有可用源。
验证 Azure 基于角色的访问控制以枚举 Microsoft Purview 治理门户中的 Azure 资源
注册单个 Azure 数据源
若要在 Microsoft Purview 中注册单个数据源(例如Azure Blob 存储或Azure SQL数据库),必须至少授予对资源或从更高范围(如资源组或订阅)继承的读取者角色。 某些 Azure RBAC 角色(例如安全管理员)没有读取访问权限,无法查看控制平面中的 Azure 资源。
请按照以下步骤验证这一点:
- 从Azure 门户导航到尝试在 Purview Microsoft 注册的资源。 如果可以查看资源,则可能是你至少对资源具有读取者角色。
- 选择“ 访问控制 (IAM) >角色分配”。
- 按尝试在 Microsoft Purview 中注册数据源的用户的姓名或电子邮件地址进行搜索。
- 验证列表中是否存在任何角色分配(例如读者),或根据需要添加新的角色分配。
扫描多个 Azure 数据源
- 从Azure 门户导航到订阅或资源组。
- 从左侧菜单中选择“访问控制 (IAM) ”。
- 选择“ +添加”。
- 在 “选择输入 ”框中,选择“ 读取者 ”角色,并输入Microsoft Purview 帐户名称 (该名称表示其 MSI 名称) 。
- 选择“ 保存” 以完成角色分配。
- 重复上述步骤,添加尝试在 Microsoft Purview 中为多个数据源创建新扫描的用户的标识。
使用 专用链接 扫描数据源
如果数据源上的公共终结点受到限制,若要使用 专用链接 扫描 Azure 数据源,需要设置自承载集成运行时并创建凭据。
重要
扫描包含数据库作为Azure SQL数据库且拒绝公用网络访问的多个数据源将失败。 若要使用专用终结点扫描这些数据源,请改为使用注册单个数据源选项。
有关设置自承载集成运行时的详细信息,请参阅 有关引入专用终结点和扫描源的文章。
有关如何在 Microsoft Purview 中创建新凭据的详细信息,请参阅 有关 Microsoft Purview 中的源身份验证凭据的文章。
将凭据存储在密钥保管库中并使用正确的机密名称和版本
还必须将凭据存储在 Azure 密钥保管库 实例中,并使用正确的机密名称和版本。
请按照以下步骤验证这一点:
- 导航到密钥保管库。
- 选择 “设置>机密”。
- 选择用于对数据源进行身份验证的机密进行扫描。
- 选择要使用的版本,并通过选择“ 显示机密值”来验证密码或帐户密钥是否正确。
验证 Azure 密钥保管库上Microsoft Purview 托管标识的权限
验证是否已为 Microsoft Purview 托管标识配置了访问 Azure 密钥保管库的正确权限。
若要验证这一点,请执行以下步骤:
导航到密钥保管库和 访问策略 部分
验证Microsoft Purview 托管标识是否显示在 “当前访问策略 ”部分下,至少具有对机密的 “获取 ”和 “列表” 权限
如果未看到列出Microsoft Purview 托管标识,请按照 创建和管理扫描凭据 中的步骤添加它。
扫描不再运行
如果Microsoft Purview 扫描过去成功运行,但现在失败,检查以下事项:
- 是否已更改或轮换了资源的凭据? 如果是这样,则需要更新扫描以拥有正确的凭据。
- 是否Azure Policy阻止对存储帐户进行更新? 如果是这样,请按照 Microsoft Purview 异常标记指南 为 Microsoft Purview 帐户创建异常。
- 是否使用自承载集成运行时? 检查它是否是最新的软件,以及它是否已连接到你的网络。
测试连接通过,但扫描失败并出现连接错误
你使用的是专用终结点还是虚拟网络? 确认 网络设置,注意网络安全组 (NSG) 规则。
使用自承载集成运行时时收到 JDK 错误
许多需要自承载集成运行时的源也要求在托管自承载集成运行时的计算机上安装特定版本的 Java。 如果收到 JDK 错误,请在特定数据源页面上检查先决条件,并安装建议的 JDK 版本。