Kurz: kontrolu připravenosti zdrojů dat ve velkém měřítku
K vyhledávání zdrojů dat vyžaduje Azure dosah přístup k nim. K získání tohoto přístupu používá přihlašovací údaje. Přihlašovací údaje jsou informace o ověřování, které může Azure dosah použít k ověřování vašich registrovaných zdrojů dat. K nastavení přihlašovacích údajů pro Azure dosah existuje několik způsobů, mezi které patří:
- Spravovaná identita přiřazená k účtu Azure dosah.
- Tajné kódy uložené v Azure Key Vault.
- Instanční objekty.
V této dvou sériových kurzech vám pomůžeme ověřit a nakonfigurovat požadovaná přiřazení rolí Azure a přístup k síti pro různé zdroje dat Azure v rámci vašeho předplatného Azure ve velkém měřítku. Pak můžete zaregistrovat a prohledat zdroje dat Azure v Azure dosah.
Spusťte skript kontrolního seznamu připravenosti zdrojů dat Azure dosah po nasazení účtu Azure dosah a před registrací a prohledáním vašich zdrojů dat Azure.
V části 1 této série kurzů:
- Vyhledejte zdroje dat a připravte seznam odběrů zdrojů dat.
- Spusťte skript kontrolního seznamu připravenosti, ve kterém najdete všechna chybějící řízení přístupu na základě role (RBAC) nebo konfigurace sítě napříč zdroji dat v Azure.
- V sestavě výstup zkontrolujte chybějící síťové konfigurace a přiřazení rolí vyžadované službou Azure dosah Managed identity (MSI).
- Nasdílejte sestavu pomocí dat vlastníků předplatného Azure, aby mohli provádět navrhované akce.
Požadavky
- Předplatná Azure, kde se nacházejí vaše zdroje dat. Pokud předplatné Azure ještě nemáte, napřed si vytvořte bezplatný účet.
- Účet Azure dosah.
- prostředek Azure Key Vault v každém předplatném, který má zdroje dat jako Azure SQL Database, azure Synapse Analytics nebo spravovaná Instance azure SQL.
- Skript kontrolního seznamu připravenosti zdrojů dat Azure dosah
Poznámka
Kontrolní seznam připravenosti zdrojů dat Azure dosah je k dispozici pouze pro Windows. Tento skript kontrolního seznamu připravenosti se v současné době podporuje pro Azure dosah MSI.
Příprava seznamu předplatných Azure pro zdroje dat
Před spuštěním skriptu vytvořte soubor .csv (například C:\temp\Subscriptions.csv) se čtyřmi sloupci:
| Název sloupce | Popis | Příklad |
|---|---|---|
SubscriptionId |
ID předplatných Azure pro vaše zdroje dat. | 12345678-AAAA-bbbb-cccc-1234567890ab |
KeyVaultName |
Název existujícího trezoru klíčů, který je nasazený v odběru zdroje dat | ContosoDevKeyVault |
SecretNameSQLUserName |
název existujícího tajného klíče Azure Key Vault, který obsahuje uživatelské jméno Azure Active Directory (Azure AD), které se může přihlásit ke službě azure Synapse, Azure SQL Database nebo azure SQL Managed Instance pomocí ověřování azure AD. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
název existujícího tajného klíče Azure Key Vault, který obsahuje uživatelské heslo azure AD, které se může přihlásit k azure Synapse, Azure SQL Database nebo azure SQL Managed Instance pomocí ověřování Azure ad. | ContosoDevSQLPassword |
Vzorový .csv soubor:
Poznámka
Pokud potřebujete, můžete název souboru a cestu v kódu aktualizovat.
Spusťte skript a nainstalujte požadované moduly prostředí PowerShell.
pomocí těchto kroků spusťte skript z Windows počítače:
Stáhněte si skript kontrolního seznamu připravenosti zdrojů dat Azure dosah do zvoleného umístění.
v počítači do vyhledávacího pole na hlavním panelu Windows zadejte PowerShell . v seznamu hledání vyberte a podržte (nebo klikněte pravým tlačítkem myši) Windows PowerShell a pak vyberte spustit jako správce.
V okně PowerShellu zadejte následující příkaz. (Nahraďte
<path-to-script>cestou složky extrahovaho souboru skriptu.)dir -Path <path-to-script> | Unblock-FileZadejte následující příkaz pro instalaci rutin Azure:
Install-Module -Name Az -AllowClobber -Scope CurrentUserpokud se zobrazí výzva NuGet zprostředkovatel vyžaduje, aby bylo možné pokračovat, zadejte Y a pak vyberte enter.
Pokud se zobrazí výzva nedůvěryhodné úložiště , zadejte a a pak vyberte ENTER.
Zopakováním předchozích kroků nainstalujte
Az.SynapseAzureADmoduly a.
Může trvat až minutu, než PowerShell nainstaluje požadované moduly.
Shromažďování dalších dat potřebných ke spuštění skriptu
Před spuštěním skriptu PowerShellu pro ověření připravenosti zdrojů dat můžete získat hodnoty následujících argumentů, které se použijí ve skriptech:
AzureDataType: Jako typ zdroje dat vyberte některou z následujících možností pro kontrolu připravenosti pro datový typ v rámci předplatných:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: Váš stávající název prostředku účtu Azure dosah.PurviewSub: ID předplatného, kde je nasazený účet Azure dosah.
Ověření oprávnění
Ujistěte se, že váš uživatel má následující role a oprávnění:
| Role nebo oprávnění | Obor |
|---|---|
| Globální čtenář | Tenant Azure AD |
| Čtenář | Předplatná Azure, kde se nachází vaše zdroje dat Azure |
| Čtenář | Předplatné, ve kterém se vytvořil váš účet Azure dosah |
| správce SQL (ověřování Azure AD) | vyhrazené fondy azure Synapse, instance Azure SQL Database, azure SQL spravované instance |
| Přístup k trezoru klíčů Azure | Přístup k získání nebo výpisu tajného klíče nebo Azure Key Vault tajného uživatele trezoru klíčů |
Spuštění skriptu připravenosti na straně klienta
Spusťte skript provedením těchto kroků:
Pomocí následujícího příkazu přejdete do složky skriptu. Nahraďte
<path-to-script>cestou složky extrahované souboru.cd <path-to-script>Spuštěním následujícího příkazu nastavte zásady spouštění pro místní počítač. Pokud se zobrazí výzva ke změně zásad spouštění , zadejte Ano všem .
Set-ExecutionPolicy -ExecutionPolicy UnrestrictedSpusťte skript s následujícími parametry. Nahraďte
DataTypePurviewNameSubscriptionIDzástupné symboly, a..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>po spuštění příkazu se může zobrazit automaticky otevírané okno s výzvou, abyste se přihlásili k azure a službě azure AD pomocí přihlašovacích údajů Azure Active Directory.
Vytvoření sestavy může trvat několik minut v závislosti na počtu předplatných a prostředků Azure v prostředí.
Po dokončení procesu zkontrolujte výstupní sestavu, která ukazuje zjištěné chybějící konfigurace ve vašich předplatných nebo prostředcích Azure. Výsledky se můžou zobrazovat jako úspěšné, neúspěšné nebo povědomí. Výsledky můžete sdílet s odpovídajícími správci předplatného ve vaší organizaci, aby mohli nakonfigurovat požadovaná nastavení.
Další informace
Jaké zdroje dat podporuje skript?
V současné době skript podporuje následující zdroje dat:
- Blob Storage Azure (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Azure SQL Database (AzureSQLDB)
- spravovaná Instance Azure SQL (AzureSQLMI)
- Vyhrazený fond Azure synapse (synapse)
Při spuštění skriptu můžete zvolit všechny tyto zdroje dat nebo kterýkoli z nich jako vstupní parametr.
Jaké kontroly jsou zahrnuty do výsledků?
Blob Storage Azure (BlobStorage)
- Řízení přístupu na základě role (RBAC): ověřte, jestli je službě Azure dosah MSI přiřazená role čtečky dat objektů Blob Storage v každé z předplatných pod vybraným oborem.
- Řízení přístupu na základě role (RBAC): Zkontrolujte, jestli má MSI Azure Purview přiřazenou roli Čtenář ve vybraném oboru.
- Koncový bod služby. Zkontrolujte, jestli je koncový bod služby zapnutý, a zkontrolujte, jestli je služby Microsoft důvěryhodným uživatelům přístup k tomuto účtu úložiště povolená.
- Sítě: Zkontrolujte, jestli je pro úložiště vytvořený privátní koncový bod a jestli je povolený pro Storage.
Azure Data Lake Storage Gen2 (ADLSGen2)
- Řízení přístupu na základě role (RBAC): Zkontrolujte, jestli má MSI Azure Purview přiřazenou roli čtenáře dat Storage objektů blob v každém z předplatných pod vybraným oborem.
- Řízení přístupu na základě role (RBAC): Zkontrolujte, jestli má MSI Azure Purview přiřazenou roli Čtenář ve vybraném oboru.
- Koncový bod služby. Zkontrolujte, jestli je koncový bod služby zapnutý, a zkontrolujte, jestli je služby Microsoft důvěryhodným uživatelům přístup k tomuto účtu úložiště povolená.
- Sítě: Zkontrolujte, jestli je pro úložiště vytvořený privátní koncový bod a jestli je povolený pro Storage.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Sítí. Zkontrolujte, jestli je koncový bod služby zapnutý, a zkontrolujte, jestli je povolená možnost Povolit všem službám Azure přístup k tomuto účtu Data Lake Storage Gen1.
- Oprávnění. Zkontrolujte, jestli má MSI Azure Purview oprávnění ke čtení a spouštění.
Azure SQL Database (AzureSQLDB)
SQL Server instancí:
- Síť: Zkontrolujte, jestli je povolený veřejný nebo privátní koncový bod.
- Brány firewall. Zkontrolujte, jestli je povolená možnost Povolit službám a prostředkům Azure přístup k tomuto serveru.
- Správa Azure AD. Zkontrolujte, jestli azure SQL Server má ověřování Azure AD.
- Správa Azure AD. Naplňte uživatele nebo skupinu SQL Server Azure AD ve službě Azure AD.
SQL databáze:
- SQL role. Zkontrolujte, jestli je MSI Azure Purview přiřazená db_datareader role.
Azure SQL Managed Instance (AzureSQLMI)
SQL Servery spravovaných instancí:
- Síť: Zkontrolujte, jestli je povolený veřejný nebo privátní koncový bod.
- ProxyOverride. Zkontrolujte, jestli je SQL spravovaná instance Azure nakonfigurovaná jako proxy nebo přesměrování.
- Sítí. Zkontrolujte, jestli má NSG příchozí pravidlo, které povolí AzureCloudu přes požadované porty:
- Přesměrování: 1433 a 11000-11999
nebo - Proxy server: 3342
- Přesměrování: 1433 a 11000-11999
- Správa Azure AD. Zkontrolujte, jestli azure SQL Server má ověřování Azure AD.
- Správa Azure AD. Naplňte uživatele nebo skupinu SQL Server Azure AD ve službě Azure AD.
SQL databáze:
- SQL role. Zkontrolujte, jestli je MSI Azure Purview přiřazená db_datareader role.
Azure Synapse (Synapse) vyhrazený fond
Řízení přístupu na základě role (RBAC): Zkontrolujte, jestli má MSI Azure Purview přiřazenou roli čtenáře dat Storage objektů blob v každém z předplatných pod vybraným oborem.
Řízení přístupu na základě role (RBAC): Zkontrolujte, jestli má MSI Azure Purview přiřazenou roli Čtenář ve vybraném oboru.
SQL Server instance (vyhrazené fondy):
- Síť: Zkontrolujte, jestli je povolený veřejný nebo privátní koncový bod.
- Brána firewall: Zkontrolujte, jestli je povolená možnost Povolit službám a prostředkům Azure přístup k tomuto serveru.
- Správa Azure AD: Zkontrolujte, jestli azure SQL Server má ověřování Azure AD.
- Správa Azure AD: Naplňte uživatele nebo skupinu SQL Server Azure AD.
SQL databáze:
- SQL role. Zkontrolujte, jestli je MSI Azure Purview přiřazená db_datareader role.
Další kroky
V tomto kurzu jste se naučili:
- Před registrací a prohledáváním ve službě Azure Purview spusťte kontrolní seznam připravenosti pro Azure Purview a ve velkém měřítku zkontrolujte, jestli u vašich předplatných Azure chybí konfigurace.
V dalším kurzu se dozvíte, jak identifikovat požadovaný přístup a nastavit požadovaná pravidla ověřování a sítě pro Azure Purview napříč zdroji dat Azure: