Připojení do služby Azure Blob Storage v Azure Purview

  • Článek
  • 7 min ke čtení

Tento článek popisuje proces registrace účtu služby Azure Blob Storage v Azure Purview, včetně pokynů k ověření a interakci se zdrojem Storage Azure Blob.

Podporované funkce

Extrakce metadat Úplná kontrola Přírůstkové prohledávání Kontrola s vymezenou oborem Classification Zásady přístupu Lineage
Ano Ano Ano Ano Ano Ano Omezeno**

** Pokud se datová sada používá jako zdroj nebo jímka v Data Factory aktivita Copy

Pro typy souborů, jako jsou csv, tsv, psv, ssv, se schéma extrahuje, když jsou na místě následující logiky:

  • Hodnoty prvního řádku nejsou prázdné
  • Hodnoty prvního řádku jsou jedinečné.
  • Hodnoty prvního řádku nejsou datum ani číslo.

Požadavky

Registrovat

Tato část vám umožní zaregistrovat účet služby Azure Blob Storage a nastavit vhodný ověřovací mechanismus, který zajistí úspěšnou kontrolu zdroje dat.

Postup registrace

Před nastavením kontroly zdroje dat je důležité zaregistrovat zdroj dat v Azure Purview.

  1. Přejděte do Azure Portal,přejděte na stránku Purview accounts (Účty Purview) a vyberte svůj účet Purview.

    Snímek obrazovky znázorňuje účet Purview použitý k registraci zdroje dat

  2. Otevřete Purview Studio a přejděte do Mapování dat --> Sources.

    Snímek obrazovky znázorňuje odkaz na otevření Purview Studia

    Snímek obrazovky, který přejde na odkaz Zdroje v Mapování dat

  3. Vytvořte hierarchii Kolekce pomocí nabídky Kolekce a podle potřeby přiřaďte oprávnění jednotlivým podřízeným kolekcím.

    Snímek obrazovky znázorňuje nabídku kolekce pro vytvoření hierarchie kolekcí

  4. V nabídce Zdroje přejděte k příslušné kolekci a výběrem ikony Registrovat zaregistrujte nový zdroj dat Azure Blob.

    Snímek obrazovky znázorňuje kolekci použitou k registraci zdroje dat

  5. Vyberte zdroj dat Azure Blob Storage a vyberte Pokračovat.

    Snímek obrazovky, který umožňuje výběr zdroje dat

  6. Zadejte vhodný název zdroje dat, vyberte příslušné předplatné Azure, existující název účtu Azure Blob Storage a kolekci a vyberte Použít.

    Snímek obrazovky znázorňuje podrobnosti, které se za účelem registrace zdroje dat za účelem zadání

  7. Účet služby Azure Blob Storage se zobrazí ve vybrané kolekci.

    Snímek obrazovky znázorňuje zdroj dat namapovaný na kolekci zahajovací prohledávání

Prohledávání

Ověřování pro kontrolu

Aby bylo možné získat přístup ke zdroji dat, je potřeba nakonfigurovat metodu ověřování Storage azure blob v účtu úložiště.

Podporují se následující možnosti:

Poznámka

Pokud máte pro účet úložiště povolenou bránu firewall, musíte při nastavování kontroly použít metodu ověřování spravované identity.

  • Spravovaná identita přiřazená systémem (doporučeno) – Po vytvoření účtu Azure Purview se automaticky vytvoří spravovaná identita přiřazená systémem (SAMI) v tenantovi Azure AD. V závislosti na typu prostředku se pro sami Azure Purview k provádění kontrol vyžaduje konkrétní přiřazení rolí RBAC.

  • Spravovaná identita přiřazená uživatelem (Preview) – Podobně jako spravovaná identita systému je spravovaná identita přiřazená uživatelem (UAMI) prostředek přihlašovacích údajů, který se může použít k tomu, aby se služba Azure Purview mohla ověřit Azure Active Directory. Další informace najdete v našem průvodci spravovanou identitou přiřazenou uživatelem.

  • Klíč účtu – Tajné kódy je možné vytvořit uvnitř Azure Key Vault pro ukládání přihlašovacích údajů, aby služba Azure Purview měla přístup k zabezpečenému prohledávání zdrojů dat pomocí tajných kódů. Tajným kódem může být klíč účtu úložiště, SQL přihlašovací heslo nebo heslo.

    Poznámka

    Pokud použijete tuto možnost, musíte nasadit prostředek služby Azure Key Vault ve vašem předplatném a přiřadit SAMI účtu Azure Purview s požadovaným přístupovým oprávněním k tajným kódům ve službě Azure Key Vault.

  • Instanční objekt – V této metodě můžete vytvořit nový nebo použít existující instanční objekt ve Azure Active Directory tenantovi.

Použití spravované identity přiřazené systémem nebo uživatelem ke kontrole

Je důležité udělit účtu Purview oprávnění ke skenování zdroje dat Azure Blob. Přístup pro SAMI nebo UAMI můžete přidat na úrovni předplatného, skupiny prostředků nebo prostředku podle toho, jakou úroveň oprávnění ke skenování potřebujete.

Poznámka

Pokud máte pro účet úložiště povolenou bránu firewall, musíte při nastavování kontroly použít metodu ověřování spravované identity.

Poznámka

Abyste mohli přidat spravovanou identitu k prostředku Azure, musíte být vlastníkem předplatného.

  1. Na stránce Azure Portalnajděte předplatné, skupinu prostředků nebo prostředek (například účet služby Azure Blob Storage), které chcete katalogu povolit prohledat.

    Snímek obrazovky znázorňuje účet úložiště

  2. V Access Control vyberte Přidat (IAM) a pak vyberte + Přidat přidat --> přiřazení role.

    Snímek obrazovky znázorňuje řízení přístupu pro účet úložiště

  3. Nastavte Role na Storage Blob Data Reader a do pole Vybrat vstup zadejte název účtu Azure Purview nebo spravovanou identitu přiřazenou uživatelem. Pak vyberte Uložit, abyste tomuto přiřazení role přiznáte účet Purview.

    Snímek obrazovky s podrobnostmi pro přiřazení oprávnění k účtu Purview

  4. Přejděte do svého účtu služby Azure Blob Storage v Azure Portal

  5. Přejděte na Zabezpečení a sítě a > sítě.

  6. V části Povolit přístup z zvolte Vybrané sítě.

  7. V části Výjimky vyberte Povolit důvěryhodným uživatelům služby Microsoft přístup k tomuto účtu úložiště a klikněte na Uložit.

    Snímek obrazovky znázorňuje výjimky, které umožňují důvěryhodným služby Microsoft přístup k účtu úložiště

Poznámka

Další podrobnosti najdete v postupu v tématu Autorizace přístupu k objektům blob a frontám pomocí Azure Active Directory

Použití klíče účtu ke kontrole

Když je vybraná metoda ověřování Klíč účtu, musíte získat přístupový klíč a uložit ho do trezoru klíčů:

  1. Přejděte ke svému účtu služby Azure Blob Storage.

  2. Vyberte Zabezpečení a sítě a > přístupové klíče.

    Snímek obrazovky znázorňuje přístupové klíče v účtu úložiště

  3. Zkopírujte svůj klíč a uložte ho samostatně pro další kroky.

    Snímek obrazovky znázorňuje přístupové klíče ke zkopírování

  4. Přejděte do trezoru klíčů.

    Snímek obrazovky znázorňuje trezor klíčů

  5. Vyberte Nastavení > tajných kódů a vyberte + Vygenerovat/importovat.

    Snímek obrazovky znázorňuje možnost trezoru klíčů pro vygenerování tajného kódu

  6. Jako klíč z účtu úložiště zadejte Název a Hodnota.

    Snímek obrazovky znázorňuje možnost trezoru klíčů pro zadání hodnot tajných klíčů

  7. Dokončete výběrem možnosti Vytvořit.

  8. Pokud váš trezor klíčů ještě není připojený k Purview, budete muset vytvořit nové připojení trezoru klíčů.

  9. Nakonec pomocí klíče vytvořte nové přihlašovací údaje k nastavení kontroly.

Použití objektu služby ke kontrole

Vytvoření nového objektu služby

Pokud potřebujete vytvořit nový instančníobjekt , je potřeba zaregistrovat aplikaci ve vašem tenantovi Azure AD a poskytnout přístup k instančnímu objektu ve zdrojích dat. Tuto operaci může provést globální správce Azure AD nebo jiné role, jako je správce aplikací.

Získání ID aplikace objektu služby

  1. Zkopírujte ID aplikace (klienta) v přehledu již vytvořeného instančního objektu.

    Snímek obrazovky znázorňuje ID aplikace (klienta) pro objekt služby

Udělení přístupu k účtu Azure Blob pro objekty blob pro objekty blob služby

Je důležité dát vašemu objektu služby oprávnění ke skenování zdroje dat Azure Blob. Přístup k objektu služby můžete přidat na úrovni předplatného, skupiny prostředků nebo prostředku v závislosti na úrovni potřebné úrovně přístupu ke skenování.

Poznámka

Abyste mohli přidat objekt služby k prostředku Azure, musíte být vlastníkem předplatného.

  1. Na stránce Azure Portalnajděte předplatné, skupinu prostředků nebo prostředek (například účet úložiště azure blob Storage), který chcete povolit katalogu zkontrolovat.

    Snímek obrazovky znázorňuje účet úložiště

  2. V Access Control vyberte Přidat (IAM) a pak vyberte + Přidat přidat --> přiřazení role.

    Snímek obrazovky znázorňuje řízení přístupu pro účet úložiště

  3. Nastavte Role na Storage Blob Data Reader a do pole Vybrat vstup zadejte svůj objekt služby. Pak vyberte Uložit, abyste tomuto přiřazení role přiznáte účet Purview.

    Snímek obrazovky s podrobnostmi o poskytnutí oprávnění účtu úložiště k objektu služby

Vytvoření kontroly

  1. Otevřete svůj účet Purview a vyberte Open Purview Studio (Otevřít Purview Studio).

  2. Přejděte na zdroje mapování --> dat a zobrazte hierarchii kolekcí.

  3. Vyberte ikonu New Scan (Nové prohledávání) pod dříve zaregistrovaným zdrojem dat Azure Blob.

    Snímek obrazovky znázorňuje obrazovku pro vytvoření nové kontroly

Pokud používáte spravovanou identitu přiřazenou systémem nebo uživatelem

Zadejte Název pro kontrolu, v části Přihlašovací údaje vyberte účty Purview SAMI nebo UAMI, zvolte příslušnou kolekci pro kontrolu a vyberte Test připojení. Po úspěšném připojení vyberte Pokračovat.

Snímek obrazovky znázorňuje možnost spravované identity pro spuštění kontroly

Pokud používáte klíč účtu

Zadejte Název kontroly, zvolte pro kontrolu vhodnou kolekci, jako Klíč účtu vyberte Metoda ověřování a vyberte Vytvořit.

Snímek obrazovky znázorňuje možnost Prohledávání klíče účtu

Pokud používáte objekt služby

  1. Zadejte Název kontroly, zvolte pro kontrolu příslušnou kolekci a v části Přihlašovací údaje vyberte + Nový.

    Snímek obrazovky znázorňuje možnost, že se má prohledávání povolit pro objekt služby

  2. Vyberte odpovídající připojení trezoru klíčů a název tajného klíče, který jste použili při vytváření objektu služby. ID objektu služby je ID aplikace (klienta) zkopírované dříve.

    Snímek obrazovky znázorňuje možnost objektu služby

  3. Vyberte Test připojení. Po úspěšném připojení vyberte Pokračovat.

Nastavení rozsahu a spuštění kontroly

  1. Výběrem příslušných položek v seznamu můžete nastavit rozsah kontroly na konkrétní složky a podsložky.

    Nastavení rozsahu kontroly

  2. Pak vyberte sadu pravidel prohledávání. Můžete si vybrat mezi výchozím systémem, existujícími vlastními sadami pravidel nebo vytvořit novou sadu pravidel jako vložený.

    Sada pravidel prohledávání

  3. Pokud vytváříte novou sadu pravidel prohledávání, vyberte typy souborů, které se mají zahrnout do pravidla prohledávání.

    Typy souborů sady pravidel prohledávání

  4. Můžete vybrat pravidla klasifikace, která se mají zahrnout do pravidla kontroly.

    Kontrola pravidel klasifikace sady pravidel

    Výběr sady pravidel prohledávání

  5. Zvolte trigger prohledávání. Můžete nastavit plán nebo spustit kontrolu jednou.

    Trigger prohledávání

  6. Zkontrolujte kontrolu a vyberte Uložit a spustit.

    kontrola kontroly

Zobrazení kontroly

  1. V kolekci přejděte ke zdroji dat, vyberte Zobrazit podrobnosti a zkontrolujte stav kontroly.

    zobrazení kontroly

  2. Podrobnosti kontroly udávají průběh kontroly ve stavu Poslední spuštění a počet prohledáných a klasifikovaných prostředků.

    zobrazení podrobností kontroly

  3. Stav posledního spuštění se aktualizuje na Probíhá a po úspěšném dokončení celé kontroly se dokončí dokončeno.

    zobrazení probíhající kontroly

    zobrazení dokončené kontroly

Správa kontroly

Kontroly je možné po dokončení spravovat nebo znovu spustit.

  1. Výběrem názvu kontroly spravujte kontrolu.

    správa kontroly

  2. Kontrolu můžete spustit znovu, upravit kontrolu, odstranit kontrolu.

    správa možností kontroly

  3. Můžete znovu spustit přírůstkovou kontrolu nebo úplnou kontrolu.

    úplné nebo přírůstkové prohledávání

Zásady přístupu

Podporované oblasti

Azure dosah (strana pro správu)

Funkce zásad přístupu dosah je dostupná ve všech oblastech Azure dosah.

Azure Storage (strana vynucení)

zásady přístupu dosah se dají vyhovět jenom v následujících oblastech Azure Storage.

  • Francie – střed
  • Střední Kanada

Povolení vynucování zásad přístupu pro Azure Storage účtu

Následující příkazy PowerShellu je potřeba spustit v předplatném, ve kterém se nachází Azure Storage účet. Tím se pokryje Azure Storage účty v tomto předplatném.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Pokud se ve výstupu posledního příkazu zobrazí hodnota RegistrationState (Stav registrace) jako Registered (Zaregistrováno), vaše předplatné je pro tuto funkci povolené.

Postupujte podle tohoto průvodce konfigurací a povolte zásady přístupu na Azure Storage účtu.

Další kroky

Teď, když jste si zaregistrovali zdroj, postupujte podle následujících průvodců a získejte další informace o Purview a vašich datech.