共用方式為

Microsoft Purview 數據擁有者原則 (預覽) 的概念

  • 發行項

重要事項

此功能目前處於預覽。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta、預覽版或尚未正式發行之 Azure 功能的其他法律條款。

本文討論從 Microsoft Purview 治理入口網站管理數據資產的讀取或修改存取權的相關概念。

注意事項

此功能不提供 Purview 本身Microsoft訪問控制。 Microsoft Purview 中的訪問控制會說明授與 Purview 內部角色Microsoft存取權。 這項功能可用來授與數據平面存取權,也就是在 Azure 記憶體等數據系統中授與數據本身的存取權。 它不允許您授與控制平面存取權。 控制平面存取提供可視性和能力來管理訂用帳戶中的資源。 您可以透過身分識別和存取管理 (IAM) 來管理控制平面存取

概觀

Microsoft Purview 中的存取原則可讓您管理整個數據資產中不同數據系統的存取權。 例如:

使用者需要已在 Purview Microsoft註冊的 Azure 記憶體帳戶讀取許可權。 您可以透過 Microsoft Purview 治理入口網站中的數據 原則應用程式建立 資料存取原則,直接在 Microsoft Purview 中授與此存取權。

數據擁有者原則只能在已啟用以Microsoft Purview 中強制執行原則的數據系統上強制執行,也就是在數據源註冊中開啟 [ 數據原則強制執行 ] 選項。

概念

數據擁有者原則

數據擁有者原則是一組具名的原則語句。 當原則發佈至 Purview 控管Microsoft一或多個數據系統時,系統會強制執行該原則。 原則定義包含原則名稱、描述,以及一或多個原則語句的清單。

注意事項

每個原則目前僅支持單一原則語句。

原則語句

原則 語句 是人類可讀取的指示,會指示數據源應如何處理特定的數據存取作業。 原則語句包含 EffectAction、Data ResourceSubject

動作

動作是此原則中允許或拒絕的作業。 例如:讀取或修改。 這些高階邏輯動作會對應至數據系統中強制執行 (或多個) 數據動作。

Effect

如果原則語句的數據資源和主旨有相符專案,效果會指出結果。 目前唯一支援的值是 Allow

數據資源

數據資源是原則語句所套用物件的完整數據資產路徑。 符合下列格式:

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Azure 記憶體資料資產路徑格式:

Microsoft.Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Azure SQL 資料庫資料資產路徑格式:

Microsoft.Sql/servers/<server-name>

主旨

這是此原則聲明適用 Microsoft Entra ID的使用者身分識別清單。 每個身分識別都可以是服務主體、個別使用者、群組或受控服務識別 (MSI) 。

範例

允許讀取數據資產: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData 以將 Finance-analyst 分組

在上述原則語句中,效果為 [允許]、動作為 [讀取]、數據資源為 Azure 記憶體容器 FinData,而主旨 Microsoft Entra 財務分析人員群組。 如果屬於此群組的任何使用者嘗試從記憶體容器 FinData 讀取數據,則會允許要求。

原則的階層式強制執行

原則語句中指定的數據資源預設為階層式。 這表示原則語句會套用至數據物件本身,以及數據物件所包含 的所有 子物件。 例如,Azure 記憶體容器上的原則語句會套用至其中包含的所有 Blob。

原則結合演算法

數據源會結合所有適用的本機原則與 Microsoft Purview 的所有原則,並在使用者嘗試存取資產時提供合併決策。 結合策略會挑選限制最嚴格的原則。

例如,假設 Azure 記憶體容器 FinData 上有兩個不同的原則,如下所示:

原則 1 - 允許讀取數據資產 /subscription/..../containers/FinData 以將財務分析師分組

原則 2 - 拒絕將數據資產 /subscription/..../containers/FinData 讀取給財務承包商群組

然後假設屬於兩個群組一部分的使用者 'user1': Finance-analystFinance-contractors,會對 Blob 讀取 API 執行呼叫。 由於這兩個原則都適用,因此 Azure 記憶體會選擇限制最嚴格的原則,也就是拒絕讀取。 因此,存取要求將會遭到拒絕。

原則發佈

新建立的原則存在於草稿模式狀態中,只顯示在 Purview Microsoft。 發佈動作會在指定的數據系統中起始原則的強制執行。 這是異步動作,視數據源類型而定,可能需要 5 分鐘到 2 小時才能生效。 如需詳細資訊,請參閱與每個數據源類型相關的數據擁有者原則操作指南。

發行至數據源的原則可能包含參考不同數據源的原則語句。 因為套用原則的數據源中不存在有問題的資產,所以會忽略這類參考。

後續步驟

請參閱指南,瞭解如何在特定數據系統中強制執行的 Microsoft Purview 中建立原則。 除了UI之外,您現在可以試用數據擁有者原則 API。