Řízení přístupu v Azure Purview
Azure Purview používá kolekce k uspořádání a správě přístupu napříč zdroji, prostředky a dalšími artefakty. Tento článek popisuje kolekce a správu přístupu ve vašem účtu Azure Purview.
Kolekce
Kolekce je nástroj, který Azure Purview používá k seskupení prostředků, zdrojů a dalších artefaktů do hierarchie za účelem zjišťování a správy řízení přístupu. Veškerý přístup k prostředkům Purview se spravuje z kolekcí v samotném účtu Purview.
Poznámka
Od 8. listopadu 2021 je Přehledy přístupná kurátorům dat. Čtenáři dat nemají přístup k Přehledy.
Role
Azure Purview používá sadu předdefinovaných rolí k řízení toho, kdo má přístup k čemu v rámci účtu. V současné době jsou to tyto role:
- Správci kolekcí – role pro uživatele, kteří budou muset přiřazovat role jiným uživatelům v Azure Purview nebo spravovat kolekce. Správci kolekcí mohou přidávat uživatele do rolí v kolekcích, ve kterých jsou správci. Mohou také upravovat kolekce, jejich podrobnosti a přidávat podřízené kolekce.
- Kurátoři dat – role, která poskytuje přístup k katalogu dat pro správu prostředků, konfiguraci vlastních klasifikací, nastavení termínů glosáře a zobrazení přehledů. Kurátoři dat mohou vytvářet, číst, upravovat, přesouvat a odstraňovat prostředky. Mohou také použít poznámky k prostředkům.
- Čtenáři dat – role, která poskytuje přístup jen pro čtení k datovým prostředkům, klasifikacím, pravidlům klasifikace, kolekcím a termínům glosáře.
- Správci zdrojů dat – role, která uživateli umožňuje spravovat zdroje dat a kontroly. Pokud je uživateli udělena pouze role správce zdroje dat pro daný zdroj dat, může spustit nové kontroly pomocí existujícího pravidla kontroly. Pokud chcete vytvořit nová pravidla kontroly, musí mít uživatel také udělené role Čtenář dat nebo Kurátor dat.
Kdo byste měli přiřadit k jaké roli?
| Scénář uživatele | Odpovídající role |
|---|---|
| Potřebuji jen najít prostředky, nechci nic upravovat | Čtečka dat |
| Potřebuji upravit informace o majetek, přiřadit klasifikace, přidružit je k položkám glosáře atd. | Kurátor dat |
| Potřebuji upravit glosář nebo nastavit nové definice klasifikace | Kurátor dat |
| Potřebuji se na Přehledy, abych porozuměl postoji k řízení datových majetku | Kurátor dat |
| Hlavní objekt služby aplikace musí do Azure Purview předá data. | Kurátor dat |
| Potřebuji nastavit kontroly přes Purview Studio | Kurátor dat v kolekci, kurátorovi dat a správci zdroje dat, kde je zdroj zaregistrovaný |
| Potřebuji instančnímu objektu nebo skupině povolit nastavení a monitorování kontrol v Azure Purview, aniž by jim bylo možné získat přístup k informacím katalogu | Správce zdroje dat |
| Potřebuji umístit uživatele do rolí v Azure Purview | Správce kolekce |
Principy používání rolí a kolekcí Azure Purview
Veškeré řízení přístupu se spravuje v kolekcích Purview. Kolekce Purview najdete v purview Studiu. Otevřete svůj účet Purview v Azure Portal a vyberte dlaždici Purview Studio na stránce Přehled. Odtud přejděte na mapu dat v nabídce vlevo a pak vyberte kartu Kolekce.
Po vytvoření účtu Azure Purview začíná kořenovou kolekcí, která má stejný název jako samotný účet Purview. Tvůrce účtu Purview se v této kořenové kolekci automaticky přidá jako Správce kolekce, Správce zdroje dat, Kurátor dat a Čtenář dat a může tuto kolekci upravovat a spravovat.
Zdroje, prostředky a objekty lze přidat přímo do této kořenové kolekce, ale stejně tak mohou být přidány i jiné kolekce. Přidáním kolekcí budete mít větší kontrolu nad tím, kdo má přístup k datům v rámci vašeho účtu Purview.
Všichni ostatní uživatelé mají přístup k informacím v rámci účtu Azure Purview jenom v případě, že mají jednu z výše uvedených rolí nebo skupinu, ve které jsou. To znamená, že když vytvoříte účet Azure Purview, nemůže k jeho rozhraním API přistupovat ani používat jeho tvůrce, dokud se nepřidá do jedné nebo více výše uvedených rolí v kolekci.
Uživatele může do kolekce přidat pouze správce kolekce nebo prostřednictvím dědičnosti oprávnění. Oprávnění nadřazené kolekce jsou automaticky zděděna jejími podřízenými kolekcemi. Můžete se ale rozhodnout omezit dědičnost oprávnění pro libovolnou kolekci. Pokud to tak je, její podřízené kolekce už nebudou dědit oprávnění z nadřazené kolekce a bude potřeba je přidat přímo, i když správce kolekcí, kteří jsou automaticky zděděni z nadřazené kolekce, není možné odebrat.
Role Purview můžete přiřadit uživatelům, skupinám zabezpečení a objektům služby z Azure Active Directory který je přidružený k předplatnému vašeho účtu Purview.
Přiřazení oprávnění uživatelům
Po vytvoření účtu Azure Purview je první věcí, kterou je třeba udělat, vytvořit kolekce a přiřadit uživatele k rolím v rámci těchto kolekcí.
Poznámka
Pokud jste vytvořili účet Azure Purview pomocí instančního objektu, abyste mohli přistupovat k Purview Studiu a přiřazovat oprávnění uživatelům, budete muset udělit oprávnění správce kolekce uživatelů ke kořenové kolekci. Můžete použít tento příkaz Azure CLI:
az purview account add-root-collection-admin --account-name --resource-group [--object-id]
Vytváření kolekcí
Kolekce lze přizpůsobit pro strukturu zdrojů ve vašem účtu Purview a mohou pro tyto prostředky fungovat jako uspořádané přihrádky úložiště. Když uvažujete o kolekcích, které byste mohli potřebovat, zvažte, jak budou uživatelé přistupovat k informacím nebo je zjišťovat. Jsou vaše zdroje rozdělené podle oddělení? Existují v rámci těchto oddělení specializované skupiny, které budou potřebovat pouze objevit některé prostředky? Existují některé zdroje, které by všichni vaši uživatelé měli zjistit?
Budete tak informovat kolekce a podřízené kolekce, které možná budete potřebovat k co nejúhonnějšímu uspořádání datové mapy.
Nové kolekce lze přidat přímo do mapy dat, kde můžete zvolit jejich nadřazenou kolekci z rozevíracího seznamu, nebo je můžete přidat z nadřazené kolekce jako dílčí kolekci. V zobrazení mapy dat můžete zobrazit všechny zdroje a prostředky seřazené podle kolekcí a v seznamu je uvedena kolekce zdroje.
Další pokyny a informace najdete v našem průvodci vytvářením a správou kolekcí.
Příklad kolekcí
Když teď máme základní znalosti o kolekcích, oprávněních a jejich práci, podívejme se na příklad.
Jedná se o jeden ze způsob, jak může organizace strukturovat svá data: Počínaje kořenovou kolekcí (v tomto příkladu Contoso) jsou kolekce uspořádané do oblastí a pak do oddělení a dílčích oddělení. Zdroje dat a prostředky je možné přidat do jakékoli z těchto kolekcí, aby bylo možné uspořádat datové prostředky podle těchto oblastí a oddělení a spravovat řízení přístupu na těchto řádcích. Existuje jeden dílčí oddíl Revenue (Výnosy), který má přísné pokyny pro přístup, takže oprávnění bude potřeba důsledně spravovat.
Role čtenáře dat má přístup k informacím v katalogu, ale ne ke správě ani úpravám. V našem příkladu výše tedy přidání oprávnění Čtenář dat ke skupině v kořenové kolekci a povolení dědičnosti poskytne všem uživatelům v této skupině oprávnění čtenáře pro zdroje a prostředky Purview. Díky tomu budou tyto prostředky zjistitelné, ale ne upravovatelné pro všechny uživatele v této skupině. Omezení dědičnosti ve skupině Revenue (Výnosy) bude řídit přístup k skupině prostředků. Uživatele, kteří potřebují přístup k informacím o výnosech, je možné přidat do kolekce Revenue (Výnosy). Podobně jako u rolí Kurátor dat a Správce zdrojů dat začnou oprávnění pro tyto skupiny v kolekci, ve které jsou přiřazeny, a omezují se na podřízené kolekce, které dědičnost nezakmezují. Níže jsme přiřadili oprávnění pro několik skupin na úrovních kolekcí v podřízené kolekci Americas.
Přidání uživatelů do rolí
Přiřazení role se spravuje prostřednictvím kolekcí. Oprávnění ostatním uživatelům v této kolekci může udělit pouze uživatel s rolí správce kolekce. Když je potřeba přidat nová oprávnění, správce kolekce přistupuje k Purview Studiu,přejde na mapu dat, pak na kartu kolekce a vybere kolekci, do které se má uživatel přidat. Na kartě Přiřazení rolí budou moct přidávat a spravovat uživatele, kteří potřebují oprávnění.
Úplné pokyny najdete v našem návodu k přidání přiřazení rolí.
Další kroky
Teď, když máte základní znalosti o kolekcích a řízení přístupu, postupujte podle níže uvedených průvodců k vytvoření a správě těchto kolekcí nebo můžete začít s registrací zdrojů do prostředku Purview.