使用 Microsoft Purview 數據擁有者原則 (預覽) 布建 Azure SQL 資料庫的讀取許可權
重要事項
此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta、預覽版或尚未正式發行之 Azure 功能的其他法律條款。
數據擁有者原則 是 Purview 存取原則Microsoft類型。 它們可讓您管理已在 Purview 中註冊 數據原則強制 執行之來源中用戶數據的存取Microsoft。 這些原則可直接在 Microsoft Purview 治理入口網站中撰寫,發佈之後,數據源會強制執行這些原則。
本指南涵蓋數據擁有者如何在 Purview Microsoft委派撰寫原則,以啟用 Azure SQL 資料庫的存取權。 目前已啟用下列動作: 讀取。 目前不支援修改。
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
新的或現有的 Microsoft Purview 帳戶。 請遵循本快速入門指南來建立一個。
- 在這項功能的其中一個目前可用區域中,建立新的 Azure SQL 資料庫實例,或使用現有的實例。 您可以遵循本指南來建立 Azure SQL 資料庫實例。
區域支援
支援所有 Microsoft Purview 區域 。
Microsoft Purview 原則的強制執行僅適用於 Azure SQL 資料庫的下列區域:
公用雲端:
- 美國東部
- 美國東部 2
- 美國中南部
- 美國中西部
- 美國西部3
- 加拿大中部
- 巴西南部
- 西歐
- 北歐
- 法國中部
- 英國南部
- 南非北部
- 印度中部
- 東南亞
- 東亞
- 澳大利亞東部
主權雲端:
- USGov 維吉尼亞州
- 中國北部 3
針對來自 Purview 的原則設定 Azure SQL 資料庫實例Microsoft
若要讓與 Azure SQL Database 相關聯的邏輯伺服器接受 Microsoft Purview 的原則,您必須設定 Microsoft Entra 管理員。在 Azure 入口網站 中,移至裝載 Azure SQL Database 實例的邏輯伺服器。 在側邊功能表上,選取 [Microsoft Entra ID]。 將系統管理員名稱設定為您偏好的任何 Microsoft Entra 使用者或群組,然後選取 [儲存]。
然後,在側邊功能表上,選取 [ 身分識別]。 在 [系統指派的受控識別] 下,將狀態開 啟,然後選取 [ 儲存]。
Microsoft Purview 設定
在 Purview Microsoft註冊數據源
您必須先在 Purview Studio 中註冊該數據 Microsoft資源,才能在 Microsoft Purview 中為數據資源建立原則。 您稍後會在本指南中找到與註冊數據資源相關的指示。
注意事項
Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果數據資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。
設定許可權以在數據源上啟用數據原則強制執行
註冊資源之後,但在該資源的 Purview Microsoft 建立原則之前,您必須設定許可權。 需要一組許可權,才能強制 執行數據原則。 這適用於數據源、資源群組或訂用帳戶。 若要啟用 數據原則強制執行,您必須 具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定Microsoft許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型訪問控制,請遵循 本指南。 下列螢幕快照顯示如何存取數據資源 Azure 入口網站 中的 [存取控制] 區段,以新增角色指派。
注意事項
數據資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 數據源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 purview 角色指派Microsoft指南。
下列螢幕快照顯示如何在根集合層級指派 數據源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級的 Microsoft Purview 中取得原則作者角色:
- 原則 作者 角色可以建立、更新和刪除DevOps和數據擁有者原則。
- 原則 作者 角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主體時輕鬆地搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀取者許可權獲益。 這是 Azure 租用戶中用戶的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入數據原則主體中所包含之所有主體的完整用戶名稱或電子郵件。
設定 Microsoft Purview 許可權以發佈數據擁有者原則
如果您將 Microsoft Purview 原則 作者 和 數據源系統管理員 角色指派給組織中的不同人員,數據擁有者原則允許檢查和平衡。 數據擁有者原則生效之前, (數據源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈數據擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的數據源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合。
注意事項
若要發佈數據擁有者原則,必須在根集合層級設定數據源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資源以 強制執行數據原則之後,在根集合層級具有原則 作者 角色的任何 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該數據源的存取權。
注意事項
任何Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的數據 源系統管理員 角色。 將擔任 Purview 集合系統管理員、 數據源管理員或原則 作者 角色Microsoft使用者最小化並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在相依於特定數據源的一段時間內停止強制執行。 這項變更可能會影響安全性和數據存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊數據源
Azure SQL 資料庫數據源必須先向 Microsoft Purview 註冊,才能建立存取原則。 您可以遵循下列指南:
註冊資源之後,您必須啟用數據原則強制執行。 數據原則強制執行可能會影響數據的安全性,因為它會委派給特定Microsoft Purview 角色來管理數據源的存取權。 請流覽本指南中與數據原則強制執行相關的安全做法: 如何啟用數據原則強制執行
一旦您的數據源有 [ 數據原則強制執行 ] 切換 [ 已啟用],它看起來會像這個螢幕快照。 這可讓存取原則與指定的 Azure SQL 伺服器及其所有自主資料庫搭配使用。
返回 Azure SQL Database 的 Azure 入口網站,以確認它現在受到 Microsoft Purview 的控管:
透過此連結登入 Azure 入口網站
選取您要設定的 Azure SQL 伺服器。
移至左窗格上的 [Microsoft Entra ID]。
向下捲動以 Microsoft Purview 存取原則。
選取 [ 檢查 Microsoft Purview Governance] 按鈕。 處理要求時等候。 可能需要幾分鐘的時間。
確認 Microsoft Purview 治理狀態顯示
Governed。 請注意,在 Purview Microsoft啟用數據原則強制執行之後,可能需要幾分鐘的時間,才會反映正確的狀態。
注意事項
如果您停用此 Azure SQL 資料庫資料來源的數據原則強制執行,可能需要 24 小時的時間,Microsoft Purview 治理狀態才會自動更新為 Not Governed。 選取 [ 檢查Microsoft Purview Governance 即可加速此功能。 在另一個 Microsoft Purview 帳戶中啟用資料源的數據原則 強制執行 之前,請確定 Purview 治理狀態會顯示為 Not Governed。 然後使用新的 Microsoft Purview 帳戶重複上述步驟。
建立和發佈數據擁有者原則
執行數據擁有者原則撰寫教學課程的建立新原則和發佈原則一節中的步驟。 結果會是類似所示範例的數據擁有者原則。
範例:讀取原則。 此原則會在 SQL Server relecloud-sql-srv2 的範圍內,將 Microsoft Entra 主體 'Robert 擴充'指派給 SQL 數據讀取器動作。 此原則也已發佈至該伺服器。 請注意,下列伺服器層級支援與此動作相關的原則 (例如資料庫、數據表) 。
重要事項
- 發佈是背景作業。 最多可能需要 5 分鐘 的時間,變更才會反映在此數據源中。
- 變更原則不需要新的發佈作業。 下一次提取時將會挑選變更。
解除發佈數據擁有者原則
請遵循此連結,以取得 在 Microsoft Purview 中解除發佈數據擁有者原則的步驟。
更新或刪除數據擁有者原則
請遵循此連結,以取得在 Microsoft Purview 中更新或刪除數據擁有者原則的步驟。
測試原則
建立原則之後,Subject 中的任何 Microsoft Entra 用戶現在應該能夠連線到原則範圍內的數據源。 若要測試,請使用SSMS或任何 SQL 用戶端,並嘗試查詢。 嘗試存取您已提供讀取許可權的 SQL 資料表。
如果您需要更多疑難解答,請參閱本指南中的 後續步驟 一節。
角色定義詳細數據
本節包含有關 Purview 數據原則角色Microsoft如何對應至 SQL 數據源中特定動作的參考。
| Microsoft Purview 原則角色定義 | 數據源特定動作 |
|---|---|
| Read | Microsoft.Sql/sqlservers/Connect |
| Microsoft.Sql/sqlservers/databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
| Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
後續步驟
請參閱部落格、示範和相關的操作指南。