Control de acceso dentro del portal de gobernanza de Microsoft Purview
El portal de gobernanza de Microsoft Purview usa colecciones en el Mapa de datos de Microsoft Purview para organizar y administrar el acceso entre sus orígenes, recursos y otros artefactos. En este artículo se describen las colecciones y la administración de acceso de su cuenta en el portal de gobernanza de Microsoft Purview.
Importante
En este artículo se hace referencia a los permisos necesarios para el portal de gobernanza de Microsoft Purview y a aplicaciones como la Mapa de datos de Microsoft Purview, Data Catalog, la directiva de datos, Data Estate Insights, etc. Si busca información de permisos para el Centro de cumplimiento de Microsoft Purview, siga el artículo sobre los permisos de la portal de cumplimiento Microsoft Purview. Puede usar directivas de propietario de datos de Microsoft Purview si desea conceder acceso a los propios datos en los sistemas de datos. Puede usar directivas de DevOps de Microsoft Purview si desea conceder acceso a los metadatos del sistema de determinadas bases de datos.
Permisos para acceder al portal de gobernanza de Microsoft Purview
Hay dos maneras principales de acceder al portal de gobernanza de Microsoft Purview y necesitará permisos específicos para:
- Para acceder al portal de gobernanza de Microsoft Purview directamente en https://web.purview.azure.com, necesitará al menos un rol de lector en una colección de la Mapa de datos de Microsoft Purview.
- Para acceder al portal de gobernanza de Microsoft Purview a través de la Azure Portal, busque su cuenta de Microsoft Purview, ábrala y seleccione Abrir portal de gobernanza de Microsoft Purview, necesitará al menos un rol lector en Access Control (IAM).
Nota:
Si ha creado su cuenta con una entidad de servicio, para poder acceder al portal de gobernanza de Microsoft Purview tendrá que conceder permisos de administrador de recopilación de usuarios a la colección raíz.
Colecciones
Una colección es una herramienta que el Mapa de datos de Microsoft Purview usa para agrupar recursos, orígenes y otros artefactos en una jerarquía para detectar y administrar el control de acceso. Todos los accesos a los recursos del portal de gobernanza de Microsoft Purview se administran desde colecciones de la Mapa de datos de Microsoft Purview.
Funciones
El portal de gobernanza de Microsoft Purview usa un conjunto de roles predefinidos para controlar quién puede acceder a lo que dentro de la cuenta. Estos roles son actualmente:
- Administrador de recopilación : un rol para los usuarios que necesitarán asignar roles a otros usuarios en el portal de gobernanza de Microsoft Purview o administrar colecciones. Los administradores de recopilación pueden agregar usuarios a roles en colecciones donde son administradores. También pueden editar colecciones, sus detalles y agregar subcolecciones. Un administrador de recopilación de la colección raíz también tiene automáticamente permiso para el portal de gobernanza de Microsoft Purview. Si alguna vez es necesario cambiar el administrador de la colección raíz , puede seguir los pasos de la sección siguiente.
- Conservadores de datos : un rol que proporciona acceso al catálogo de datos para administrar recursos, configurar clasificaciones personalizadas, crear y administrar términos del glosario y ver información sobre el patrimonio de datos. Los conservadores de datos pueden crear, leer, modificar, mover y eliminar recursos. También pueden aplicar anotaciones a los recursos.
- Lectores de datos : un rol que proporciona acceso de solo lectura a los recursos de datos, las clasificaciones, las reglas de clasificación, las colecciones y los términos del glosario.
- Administrador del origen de datos : un rol que permite a un usuario administrar orígenes de datos y exámenes. Si a un usuario solo se le concede el rol de administrador de origen de datos en un origen de datos determinado, puede ejecutar nuevos exámenes mediante una regla de examen existente. Para crear nuevas reglas de examen, también se debe conceder al usuario como lector de datos o como roles de conservador de datos .
- Lector de conclusiones : un rol que proporciona acceso de solo lectura a informes de conclusiones para colecciones en las que el lector de conclusiones también tiene al menos el rol Lector de datos . Para obtener más información, consulte permisos de información.
- Autor de directivas: un rol que permite a un usuario ver, actualizar y eliminar directivas de Microsoft Purview a través de la aplicación Directiva de datos de Microsoft Purview.
- Administrador de flujo de trabajo : un rol que permite a un usuario acceder a la página de creación de flujos de trabajo en el portal de gobernanza de Microsoft Purview y publicar flujos de trabajo en colecciones donde tienen permisos de acceso. El administrador de flujo de trabajo solo tiene acceso a la creación, por lo que necesitará al menos el permiso lector de datos en una colección para poder acceder al portal de gobernanza de Purview.
Nota:
En este momento, el rol de autor de directivas de Microsoft Purview no es suficiente para crear directivas. También se requiere el rol de administrador del origen de datos de Microsoft Purview.
¿A quién se debe asignar a qué rol?
| Escenario de usuario | Roles adecuados |
|---|---|
| Sólo necesito encontrar recursos, no quiero editar nada | Lector de datos |
| Necesito editar y administrar información sobre los recursos | Conservador de datos |
| Quiero crear clasificaciones personalizadas | Administrador de orígenes de datos o conservador de datos |
| Necesito editar el glosario empresarial. | Conservador de datos |
| Necesito ver Data Estate Insights para comprender la posición de gobernanza de mi patrimonio de datos. | Conservador de datos |
| La entidad de servicio de mi aplicación debe insertar datos en el Mapa de datos de Microsoft Purview | Conservador de datos |
| Necesito configurar exámenes a través del portal de gobernanza de Microsoft Purview | El conservador de datos en la colección o el conservador de datos y el administrador del origen de datos donde está registrado el origen. |
| Necesito habilitar una entidad de servicio o un grupo para configurar y supervisar exámenes en el Mapa de datos de Microsoft Purview sin permitirles acceder a la información del catálogo. | Administrador del origen de datos |
| Necesito poner a los usuarios en roles en el portal de gobernanza de Microsoft Purview | Administrador de recopilación |
| Necesito crear y publicar directivas de acceso | Administrador del origen de datos y autor de directivas |
| Necesito crear flujos de trabajo para mi cuenta de Microsoft Purview en el portal de gobernanza | Administrador de flujo de trabajo |
| Necesito compartir datos de orígenes registrados en Microsoft Purview | Lector de datos |
| Necesito recibir datos compartidos en Microsoft Purview | Lector de datos |
| Necesito ver información sobre las colecciones de las que forme parte | Lector o conservador de datos de Insights |
| Necesito crear o administrar nuestro entorno de ejecución de integración autohospedado (SHIR) | Administrador del origen de datos |
| Necesito crear puntos de conexión privados administrados | Administrador del origen de datos |
Nota:
*Conservador de datos : los conservadores de datos solo pueden leer información si se les asigna el conservador de datos en el nivel de colección raíz. **Permisos de administrador de origen de datos en directivas : los administradores de orígenes de datos también pueden publicar directivas de datos.
Información sobre cómo usar los roles y colecciones del portal de gobernanza de Microsoft Purview
Todo el control de acceso se administra a través de colecciones en el Mapa de datos de Microsoft Purview. Las colecciones se pueden encontrar en el portal de gobernanza de Microsoft Purview. Abra su cuenta en el Azure Portal y seleccione el icono del portal de gobernanza de Microsoft Purview en la página Información general. Desde allí, vaya al mapa de datos en el menú de la izquierda y, a continuación, seleccione la pestaña "Colecciones".
Cuando se crea una cuenta de Microsoft Purview (anteriormente Azure Purview), comienza con una colección raíz que tiene el mismo nombre que la propia cuenta. El creador de la cuenta se agrega automáticamente como colección Administración, Administración de origen de datos, conservador de datos y lector de datos en esta colección raíz, y puede editar y administrar esta colección.
Los orígenes, los recursos y los objetos se pueden agregar directamente a esta colección raíz, pero también otras colecciones. Agregar colecciones le proporcionará más control sobre quién tiene acceso a los datos en su cuenta.
Todos los demás usuarios solo pueden acceder a la información en el portal de gobernanza de Microsoft Purview si a ellos, o a un grupo en el que se encuentran, se les asigna uno de los roles anteriores. Esto significa que, al crear una cuenta, nadie más que el creador puede acceder a sus API o usarlas hasta que se agreguen a uno o varios de los roles anteriores de una colección.
Un administrador de recopilación solo puede agregar usuarios a una colección o mediante la herencia de permisos. Sus subcolecciones heredan automáticamente los permisos de una colección primaria. Sin embargo, puede optar por restringir la herencia de permisos en cualquier colección. Si lo hace, sus subcolecciones ya no heredarán permisos del elemento primario y tendrán que agregarse directamente, aunque los administradores de colecciones que se heredan automáticamente de una colección primaria no se pueden quitar.
Puede asignar roles a usuarios, grupos de seguridad y entidades de servicio de Azure Active Directory asociados a la suscripción.
Asignación de permisos a los usuarios
Después de crear una cuenta de Microsoft Purview (anteriormente Azure Purview), lo primero que hay que hacer es crear colecciones y asignar usuarios a roles dentro de esas colecciones.
Nota:
Si ha creado su cuenta mediante una entidad de servicio, para poder acceder al portal de gobernanza de Microsoft Purview y asignar permisos a los usuarios, tendrá que conceder permisos de administrador de recopilación de usuarios en la colección raíz.
Creación de colecciones
Las colecciones se pueden personalizar para la estructura de los orígenes de la Mapa de datos de Microsoft Purview y pueden actuar como contenedores de almacenamiento organizados para estos recursos. Cuando esté pensando en las colecciones que podría necesitar, considere cómo los usuarios accederán a la información o la detectarán. ¿Los departamentos dividen sus fuentes? ¿Hay grupos especializados dentro de esos departamentos que solo tendrán que descubrir algunos recursos? ¿Hay algunos orígenes que deben ser reconocibles por todos los usuarios?
Esto informará a las colecciones y subcolecciones que puede que necesite para organizar de la forma más eficaz el mapa de datos.
Las nuevas colecciones se pueden agregar directamente al mapa de datos, donde puede elegir su colección primaria en una lista desplegable, o bien se pueden agregar desde el elemento primario como una sub colección. En la vista de mapa de datos, puede ver todos los orígenes y recursos ordenados por las colecciones y, en la lista, se muestra la colección del origen.
Para obtener más instrucciones e información, puede seguir nuestra guía para crear y administrar colecciones.
Ejemplo de colecciones
Ahora que tenemos un conocimiento básico de las colecciones, permisos y cómo funcionan, echemos un vistazo a un ejemplo.
Esta es una forma en que una organización podría estructurar sus datos: a partir de su colección raíz (Contoso, en este ejemplo) las colecciones se organizan en regiones y, a continuación, en departamentos y subdepartaciones. Los orígenes de datos y los recursos se pueden agregar a cualquiera de estas colecciones para organizar los recursos de datos por estas regiones y departamentos, y administrar el control de acceso en esas líneas. Hay un subdeparte, Ingresos, que tiene directrices de acceso estrictas, por lo que los permisos tendrán que administrarse estrechamente.
El rol lector de datos puede acceder a la información del catálogo, pero no administrarla ni editarla. Por lo tanto, para nuestro ejemplo anterior, agregar el permiso Lector de datos a un grupo de la colección raíz y permitir la herencia proporcionará a todos los usuarios de ese grupo permisos de lector en los orígenes y recursos de la Mapa de datos de Microsoft Purview. Esto hace que todos los usuarios de ese grupo puedan detectar estos recursos, pero no modificarlos. La restricción de la herencia en el grupo Ingresos controlará el acceso a esos recursos. Los usuarios que necesitan acceso a la información de ingresos se pueden agregar por separado a la recopilación de ingresos. Del mismo modo que con los roles de Administración del conservador de datos y del origen de datos, los permisos para esos grupos se iniciarán en la colección donde se asignan y se reducirán a las subcolecciones que no han restringido la herencia. A continuación, se han asignado permisos para varios grupos en los niveles de colecciones de la sub colección Americas.
Agregar usuarios a roles
La asignación de roles se administra a través de las colecciones. Solo un usuario con el rol de administrador de recopilación puede conceder permisos a otros usuarios de esa colección. Cuando sea necesario agregar nuevos permisos, un administrador de recopilación accederá al portal de gobernanza de Microsoft Purview, navegará a la asignación de datos y, a continuación, a la pestaña recopilaciones y seleccionará la colección donde se debe agregar un usuario. En la pestaña Asignaciones de roles, podrán agregar y administrar usuarios que necesiten permisos.
Para obtener instrucciones completas, consulte nuestra guía de procedimientos para agregar asignaciones de roles.
Cambio de administrador
Puede haber un momento en el que el administrador de la colección raíz tenga que cambiar o un administrador debe agregarse después de que una aplicación cree una cuenta. De forma predeterminada, al usuario que crea la cuenta se le asigna automáticamente el administrador de recopilación a la colección raíz. Para actualizar el administrador de la colección raíz, hay cuatro opciones:
Puede administrar los administradores de colecciones raíz en el Azure Portal:
- Inicie sesión en el Azure Portal y busque su cuenta de Microsoft Purview.
- Seleccione Permiso de recopilación raíz en el menú izquierdo de la página de la cuenta de Microsoft Purview.
- Seleccione Agregar administrador de recopilación raíz para agregar un administrador.
- También puede seleccionar Ver todos los administradores de recopilación raíz que se van a llevar a la colección raíz en el portal de gobernanza de Microsoft Purview.
Puede asignar permisos a través del portal de gobernanza de Microsoft Purview como lo tiene para cualquier otro rol.
Puede usar la API REST para agregar un administrador de recopilación. Las instrucciones para usar la API REST para agregar un administrador de recopilación se pueden encontrar en la documentación de la API REST para colecciones. Para obtener más información, puede ver nuestra referencia de la API REST.
También puede usar el siguiente comando de la CLI de Azure. El id. de objeto es opcional. Para obtener más información y un ejemplo, consulte la página de referencia de comandos de la CLI.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
Siguientes pasos
Ahora que tiene conocimientos básicos de las colecciones y el control de acceso, siga las guías siguientes para crear y administrar esas colecciones, o empiece a registrar orígenes en el Mapa de datos de Microsoft Purview.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de