Přihlašovací údaje pro ověřování zdrojového kódu v Azure Purview
Tento článek popisuje, jak můžete vytvořit přihlašovací údaje v Azure Purview. Tyto uložené přihlašovací údaje umožňují rychle opakovaně používat uložené ověřovací údaje pro kontroly zdrojů dat.
Požadavky
- Trezor klíčů Azure. Informace o tom, jak ho vytvořit, najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí Azure Portal.
Úvod
Přihlašovací údaje jsou ověřovací informace, které může Azure Purview použít k ověření u registrovaných zdrojů dat. Objekt přihlašovacích údajů lze vytvořit pro různé typy scénářů ověřování, jako je například základní ověřování vyžadující uživatelské jméno a heslo. Zachytávání přihlašovacích údajů konkrétní informace potřebné k ověření na základě zvoleného typu metody ověřování. Přihlašovací údaje používají vaše stávající tajné kódy služby Azure Key Vault k načítání citlivých ověřovacích informací během procesu vytváření přihlašovacích údajů.
V Azure Purview existuje několik možností, které můžete použít jako metodu ověřování ke skenování zdrojů dat, jako jsou například následující možnosti:
- Spravovaná identita přiřazená systémem v Azure Purview
- Spravovaná identita přiřazená uživatelem (Preview)
- Klíč účtu (pomocí Key Vault)
- SQL ověřování (pomocí Key Vault)
- Objekt služby (pomocí Key Vault)
- Klíč příjemce (pomocí Key Vault)
Před vytvořením přihlašovacích údajů zvažte typy zdrojů dat a požadavky na síť, abyste se rozhodli, která metoda ověřování je pro váš scénář potřeba. Zkontrolujte následující rozhodovací strom a zjistěte, které přihlašovací údaje jsou nejvhodnější:
Použití spravované identity přiřazené systémem Purview k nastavení kontrol
Pokud k nastavení kontrol používáte spravovanou identitu přiřazenou systémem (SAMI) Purview, nebude nutné explicitně vytvářet přihlašovací údaje a propojovat trezor klíčů s Purview, abyste je ukládali. Podrobné pokyny k přidání sami Purview, aby měl přístup ke skenování zdrojů dat, najdete v následujících částech ověřování specifických pro zdroj dat:
- Azure Blob Storage
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL Database
- Spravovaná instance Azure SQL Database
- Azure Synapse Analytics
Vytvoření připojení Služby Azure Key Vault v účtu Azure Purview
Před vytvořením přihlašovacích údajů nejprve přidružte jednu nebo více existujících instancí Azure Key Vault k účtu Azure Purview.
V Azure Portalvyberte svůj účet Azure Purview a otevřete Purview Studio. V sadě Studio přejděte do Centra pro správu a pak přejděte na přihlašovací údaje.
Na stránce Přihlašovací údaje vyberte Spravovat Key Vault připojení.
Na stránce Spravovat připojení Key Vault nový.
Zadejte požadované informace a pak vyberte Vytvořit.
Ověřte, že Key Vault účet Azure Purview úspěšně přidružený k vašemu účtu Azure Purview, jak je znázorněno v tomto příkladu:
Udělení přístupu k vaší službě Azure Purview Azure Key Vault
V současné Azure Key Vault podporuje dva modely oprávnění:
- Možnost 1 – Zásady přístupu
- Možnost 2 – Role-based Access Control
Před přiřazením přístupu ke spravované identitě přiřazené systémem Purview (SAMI) nejprve identifikujte váš model oprávnění Azure Key Vault z Key Vault zásad přístupu k prostředkům v nabídce. Postupujte podle následujících kroků na základě relevantního modelu oprávnění.
Možnost 1 – Přiřazení přístupu pomocí Key Vault přístupu
Tento postup postupujte pouze v případě, že je model oprávnění ve vašem Azure Key Vault nastavený na Zásady přístupu trezoru:
Přejděte k Azure Key Vault.
Vyberte stránku Zásady přístupu.
Vyberte Přidat zásady přístupu.
V rozevíracím seznamu Oprávnění k tajným kódům vyberte Získat a vypište oprávnění.
V možnosti Vybrat objekt zabezpečení zvolte spravovanou identitu systému Purview. Sami Purview můžete vyhledat pomocí názvu instance Purview nebo ID aplikace spravované identity. V současné době nepodporujeme složené identity (název spravované identity a ID aplikace).
Vyberte Přidat.
Vyberte Uložit a uložte zásady přístupu.
Možnost 2 – Přiřazení přístupu pomocí Key Vault řízení přístupu na základě role v Azure
Tento postup proveďte pouze v případě, že je Azure Key Vault vašeho prostředku oprávnění nastavený na řízení přístupu na základě role v Azure:
Přejděte k Azure Key Vault.
V Access Control navigační nabídce vyberte IAM (Access Control(IAM).
Vyberte + Přidat.
Nastavte Roli na Key Vault tajných kódů a do pole Vybrat vstup zadejte název svého účtu Azure Purview. Pak vyberte Uložit, abyste tomuto přiřazení role přiznáte účet Purview.
Vytvoření nových přihlašovacích údajů
Purview podporuje tyto typy přihlašovacích údajů:
- Základní ověřování: Heslo přidáte jako tajný kód do trezoru klíčů.
- Instanční objekt: Klíč instančního objektu přidáte jako tajný kód do trezoru klíčů.
- SQL ověřování: Heslo přidáte do trezoru klíčů jako tajný kód.
- Klíč účtu: Klíč účtu přidáte jako tajný kód do trezoru klíčů.
- ARN role: Pro zdroj dat Amazon S3 přidejte ARN vaší role v AWS.
- Consumer Key (Klíč příjemce): Pro zdroje dat Salesforce můžete do trezoru klíčů přidat heslo a tajný kód příjemce.
- Spravovaná identita přiřazená uživatelem (Preview): Můžete přidat přihlašovací údaje spravované identity přiřazené uživatelem. Další informace najdete níže v části Vytvoření spravované identity přiřazené uživatelem.
Další informace najdete v tématu Přidání tajného klíče do Key Vault a Vytvoření nové role AWS pro Purview.
Po uložení tajných kódů do trezoru klíčů:
V Azure Purview přejděte na stránku Credentials (Přihlašovací údaje).
Vytvořte nové přihlašovací údaje tak, že vyberete + Nové.
Zadejte požadované informace. Vyberte metodu ověřování a Key Vault, ze kterého chcete vybrat tajný kód.
Po vyplnění všech podrobností vyberte Vytvořit.
Ověřte, že se vaše nové přihlašovací údaje zobrazují v zobrazení seznamu a jsou připravené k použití.
Správa připojení trezoru klíčů
Hledání a hledání Key Vault připojení podle názvu
Odstranění jednoho nebo více Key Vault připojení
Správa přihlašovacích údajů
Vyhledejte přihlašovací údaje podle názvu.
Vyberte a proveďte aktualizace existujících přihlašovacích údajů.
Odstraňte jeden nebo více přihlašovacích údajů.
Vytvoření spravované identity přiřazené uživatelem
Spravované identity přiřazené uživatelem (UAMI) umožňují prostředkům Azure ověřovat se přímo s jinými prostředky pomocí ověřování Azure Active Directory (Azure AD), aniž by bylo nutné tyto přihlašovací údaje spravovat. Umožňují ověřovat a přiřazovat přístup stejně jako spravovanou identitu přiřazenou systémem, uživatele Azure AD, skupinu Azure AD nebo objekt služby. Spravované identity přiřazené uživatelem se vytvářejí jako vlastní prostředek (ne jako připojení k existujícímu prostředku). Další informace o spravovaných identitách najdete v dokumentaci ke spravovaným identitám pro prostředky Azure.
Následující kroky vám ukážou, jak vytvořit UAMI pro Purview, které se má použít.
Podporované zdroje dat pro UAMI
- Azure Data Lake Gen 1
- Azure Data Lake Gen2
- Azure SQL Database
- Spravovaná instance Azure SQL Database
- Azure SQL Dedicated SQL fondy
- Azure Blob Storage
Vytvoření spravované identity přiřazené uživatelem
Na webu Azure Portal přejděte ke svému účtu Azure Purview.
V části Spravované identity v levé nabídce vyberte tlačítko + Přidat a přidejte spravované identity přiřazené uživatelem.
Po dokončení nastavení se vraťte ke svému účtu Azure Purview na webu Azure Portal. Pokud je spravovaná identita úspěšně nasazená, zobrazí se stav účtu Azure Purview jako Úspěch.
Po úspěšném nasazení spravované identity přejděte do Purview Studiavýběrem tlačítka Open Purview Studio (Otevřít Purview Studio).
V Purview Studiupřejděte v sadě Studio na Centrum pro správu a pak přejděte do části Přihlašovací údaje.
Vyberte + Nový a vytvořte spravovanou identitu přiřazenou uživatelem.
Vyberte metodu ověřování spravovanou identitu a v rozevírací nabídce vyberte spravovanou identitu přiřazenou uživatelem.
Poznámka
Pokud byl portál otevřený při vytváření spravované identity přiřazené uživatelem, budete muset aktualizovat webový portál Purview, aby se načetla dokončená nastavení v Azure Portal.
Po vyplňování všech informací vyberte Vytvořit.