建立、列出、更新和刪除 Microsoft Purview DevOps 原則
DevOps 原則 是一種Microsoft Purview 存取原則。 您可以使用它們來管理已在 Purview 中註冊數據原則 強制 執行之數據源的系統元數據存取Microsoft。
您可以直接從 Microsoft Purview 治理入口網站設定 DevOps 原則。 儲存之後,數據源會自動發佈並強制執行它們。 Microsoft Purview 原則只會管理 Microsoft Entra 主體的存取權。
本指南涵蓋 Microsoft Purview 中的設定步驟,以使用 SQL 效能監視器 和 SQL 安全性稽核員角色的 DevOps 原則動作來布建資料庫系統元數據的存取權。 它會示範如何建立、列出、更新和刪除DevOps原則。
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
新的或現有的 Microsoft Purview 帳戶。 請遵循本快速入門指南來建立一個。
組態
在您於 Microsoft Purview 原則入口網站中撰寫原則之前,您必須先設定數據源,以便它們可以強制執行這些原則:
- 請遵循來源的任何原則特定必要條件。 檢查 Purview 支援的數據源Microsoft表 ,並選取 [ 存取 原則] 資料行中可用存取原則的來源連結。 請遵循和一節中所列的任何步驟。
- 在 Microsoft Purview 中註冊數據源。 請遵循資源 來源頁面 的和區段。
- 在數據源註冊中開啟 [ 數據原則強制執行 ] 切換。 如需詳細資訊,包括此步驟所需的其他許可權,請參閱在 您的 Microsoft Purview 來源上啟用數據原則強制執行。
建立新的DevOps原則
若要建立 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:
在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]。
選取 [ 新增原則] 按鈕。
原則詳細數據面板隨即開啟。
針對 [數據源類型],選取數據源。 在 [數據源名稱] 下,選取其中一個列出的數據源。 然後按下 [選取 ] 傳回 [ 新增原則 ] 窗格。
選取效 能監視 或 安全性稽核這兩個角色的其中一個。 然後選取 [新增/移除主體 ] 以開啟 [ 主旨] 面板。
在 [選取主體] 方塊中,輸入 Microsoft Entra 主體的名稱, (使用者、群組或服務主體) 。 Microsoft支援 365 個群組,但群組成員資格的更新最多需要一小時的時間才會反映在 Microsoft Entra ID 中。 繼續新增或移除主題,直到您滿意為止,然後選取 [ 儲存]。
選 取 [儲存 ] 以儲存原則。 原則會自動發佈。 強制執行會在五分鐘內從數據源開始。
列出DevOps原則
若要列出 DevOps 原則,請先確定您在根集合層級具有下列其中一個 Microsoft Purview 角色:原則作者、數據源 管理員、數據編者或數據讀取者。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:
在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]。
[ DevOps 原則 ] 窗格會列出任何已建立的原則。
更新DevOps原則
若要更新 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:
在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]。
在 [ DevOps 原則 ] 窗格中,從其中一個原則的數據資源路徑中選取原則詳細數據,以開啟原則詳細數據。
在原則詳細數據的窗格上,選取 [ 編輯]。
進行變更,然後選取 [ 儲存]。
刪除 DevOps 原則
若要刪除 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:
在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]。
選取其中一個原則的複選框,然後選取 [ 刪除]。
測試 DevOps 原則
建立原則之後,您選取為主體的任何 Microsoft Entra 用戶現在都可以連線到原則範圍內的數據源。 若要測試,請使用 SQL Server Management Studio (SSMS) 或任何 SQL 用戶端,並嘗試查詢 DMV) 和動態管理功能 (DMV (DMFs) 的一些動態管理檢視。 下列各節列出一些範例。 如需更多範例,請參閱 Microsoft Purview DevOps 原則可以完成的動作?中熱門 DMV 和 DMF 的對應。
如果您需要更多疑難解答,請參閱本指南中的 後續步驟 一節。
測試 SQL 效能監視器 存取
如果您提供 SQL 效能監視器 角色的原則主體,您可以發出下列命令:
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
測試 SQL 安全性稽核員存取權
如果您提供 SQL 安全性稽核員角色的原則主體,您可以從 SSMS 或任何 SQL 用戶端發出下列命令:
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
確定沒有用戶數據的存取權
嘗試使用下列命令存取其中一個資料庫中的數據表:
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
您要測試的 Microsoft Entra 主體應該遭到拒絕,這表示數據會受到保護,免於遭受內部威脅。
角色定義詳細數據
下表Microsoft Purview 數據原則角色對應至 SQL 數據源中的特定動作。
| Microsoft Purview 原則角色 | 數據源中的動作 |
|---|---|
| SQL 效能監視器 | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
| SQL 安全性稽核員 | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
後續步驟
請查看下列部落格、影片和相關文章:
- 部落格:Microsoft適用於 Azure SQL Database 的 Purview DevOps 原則現已正式推出
- 部落格: 管理 SQL 健康情況、效能和安全性資訊存取權的低成本解決方案
- 部落格:Microsoft Purview DevOps 原則可為 IT 作業啟用大規模存取布建
- 部落 格:Microsoft Purview DevOps 原則 API 現已公開
- 影片: 原則的必要條件:[數據原則強制執行] 選項
- 影片: DevOps 原則的快速概觀
- 影片: 深入探討DevOps原則
- 文章: Microsoft Purview DevOps 原則概念指南
- 文章:在已啟用 Azure Arc 的 SQL Server 上Microsoft Purview DevOps 原則
- 文章:Microsoft Azure SQL 資料庫上的 Purview DevOps 原則
- 文章: Microsoft整個資源群組或訂用帳戶上的 Purview DevOps 原則
- 文章: 針對 SQL 數據源Microsoft Purview 原則進行疑難解答