Tutorial: Comprobación de la preparación del origen de datos a escala
Para examinar orígenes de datos, Microsoft Purview requiere acceso a ellos. Usa credenciales para obtener este acceso. Una credencial es la información de autenticación que Microsoft Purview puede usar para autenticarse en los orígenes de datos registrados. Hay varias maneras de configurar las credenciales de Microsoft Purview, entre las que se incluyen:
- Identidad administrada asignada a la cuenta de Microsoft Purview.
- Secretos almacenados en Azure Key Vault.
- Entidades de servicio.
En esta serie de tutoriales de dos partes, le ayudaremos a comprobar y configurar las asignaciones de roles de Azure necesarias y el acceso a la red para varios orígenes de datos de Azure en las suscripciones de Azure a escala. Después, puede registrar y examinar los orígenes de datos de Azure en Microsoft Purview.
Ejecute el script de lista de comprobación de preparación de orígenes de datos de Microsoft Purview después de implementar la cuenta de Microsoft Purview y antes de registrar y examinar los orígenes de datos de Azure.
En la parte 1 de esta serie de tutoriales, hará lo siguiente:
- Busque los orígenes de datos y prepare una lista de suscripciones de origen de datos.
- Ejecute el script de lista de comprobación de preparación para buscar cualquier control de acceso basado en rol (RBAC) o configuraciones de red que falten en los orígenes de datos de Azure.
- En el informe de salida, revise las configuraciones de red que faltan y las asignaciones de roles requeridas por Microsoft Purview Managed Identity (MSI).
- Comparta el informe con los propietarios de suscripciones de Azure de datos para que puedan realizar acciones sugeridas.
Requisitos previos
- Suscripciones de Azure donde se encuentran los orígenes de datos. Si no tiene una suscripción de Azure, cree una cuenta gratuita antes de empezar.
- Una cuenta de Microsoft Purview.
- Un recurso de Azure Key Vault en cada suscripción que tiene orígenes de datos como Azure SQL Database, Azure Synapse Analytics o Azure SQL Managed Instance.
- Script de lista de comprobación de preparación de orígenes de datos de Microsoft Purview .
Nota:
La lista de comprobación de preparación de orígenes de datos de Microsoft Purview solo está disponible para Windows. Este script de lista de comprobación de preparación se admite actualmente para MSI de Microsoft Purview.
Preparación de la lista de suscripciones de Azure para orígenes de datos
Antes de ejecutar el script, cree un archivo de .csv (por ejemplo, C:\temp\Subscriptions.csv) con cuatro columnas:
| Nombre de columna | Descripción | Ejemplo |
|---|---|---|
SubscriptionId |
Identificadores de suscripción de Azure para los orígenes de datos. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Nombre del almacén de claves existente que se implementa en la suscripción del origen de datos. | ContosoDevKeyVault |
SecretNameSQLUserName |
Nombre de un secreto de Azure Key Vault existente que contiene un nombre de usuario de Azure Active Directory (Azure AD) que puede iniciar sesión en Azure Synapse, Azure SQL Database o Azure SQL Managed Instance mediante la autenticación de Azure AD. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
Nombre de un secreto de Azure Key Vault existente que contiene una contraseña de usuario de Azure AD que puede iniciar sesión en Azure Synapse, Azure SQL Database o Azure SQL Managed Instance mediante la autenticación de Azure AD. | ContosoDevSQLPassword |
Archivo de .csv de ejemplo:
Nota:
Puede actualizar el nombre de archivo y la ruta de acceso en el código, si es necesario.
Ejecute el script e instale los módulos de PowerShell necesarios.
Siga estos pasos para ejecutar el script desde el equipo Windows:
Descargue el script de lista de comprobación de preparación de orígenes de datos de Microsoft Purview en la ubicación que prefiera.
En el equipo, escriba PowerShell en el cuadro de búsqueda de la barra de tareas de Windows. En la lista de búsqueda, seleccione y mantenga presionado (o haga clic con el botón derecho) Windows PowerShell y, a continuación, seleccione Ejecutar como administrador.
En la ventana de PowerShell, escriba el siguiente comando. (Reemplace por
<path-to-script>la ruta de acceso de la carpeta del archivo de script extraído).dir -Path <path-to-script> | Unblock-FileEscriba el siguiente comando para instalar los cmdlets de Azure:
Install-Module -Name Az -AllowClobber -Scope CurrentUserSi ve que se requiere el proveedor nuget de aviso para continuar, escriba Y y, a continuación, seleccione Entrar.
Si ve el repositorio de mensajes que no es de confianza, escriba A y, a continuación, seleccione Entrar.
Repita los pasos anteriores para instalar los
Az.Synapsemódulos yAzureAD.
PowerShell puede tardar hasta un minuto en instalar los módulos necesarios.
Recopilación de otros datos necesarios para ejecutar el script
Antes de ejecutar el script de PowerShell para comprobar la preparación de las suscripciones de origen de datos, obtenga los valores de los argumentos siguientes que se usarán en los scripts:
AzureDataType: elija cualquiera de las siguientes opciones como tipo de origen de datos para comprobar la preparación del tipo de datos en las suscripciones:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: nombre del recurso de la cuenta de Microsoft Purview existente.PurviewSub: id. de suscripción donde se implementa la cuenta de Microsoft Purview.
Comprobación de los permisos
Asegúrese de que el usuario tiene los siguientes roles y permisos:
| Rol o permiso | Ámbito |
|---|---|
| Lector global | Inquilino de Azure AD |
| Lector | Suscripciones de Azure donde se encuentran los orígenes de datos de Azure |
| Lector | Suscripción donde se creó la cuenta de Microsoft Purview |
| SQL Administración (Autenticación de Azure AD) | Azure Synapse grupos dedicados, instancias de Azure SQL Database Azure SQL instancias administradas |
| Acceso al almacén de claves de Azure | Acceso para obtener o enumerar el secreto del almacén de claves o el usuario secreto de Azure Key Vault secreto |
Ejecución del script de preparación del lado cliente
Ejecute el script completando estos pasos:
Use el siguiente comando para ir a la carpeta del script. Reemplace por
<path-to-script>la ruta de acceso de la carpeta del archivo extraído.cd <path-to-script>Ejecute el siguiente comando para establecer la directiva de ejecución para el equipo local. Escriba A para Sí a Todo cuando se le pida que cambie la directiva de ejecución.
Set-ExecutionPolicy -ExecutionPolicy UnrestrictedEjecute el script con los parámetros siguientes. Reemplace los
DataTypemarcadores de posición ,PurviewNameySubscriptionID..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>Al ejecutar el comando, es posible que aparezca dos veces una ventana emergente que le pida que inicie sesión en Azure y Azure AD con sus credenciales de Azure Active Directory.
La creación del informe puede tardar varios minutos, en función del número de suscripciones y recursos de Azure en el entorno.
Una vez completado el proceso, revise el informe de salida, que muestra las configuraciones que faltan detectadas en las suscripciones o recursos de Azure. Los resultados pueden aparecer como Pasado, No pasado o Reconocimiento. Puede compartir los resultados con los administradores de suscripción correspondientes de su organización para que puedan configurar los valores necesarios.
Más información
¿Qué orígenes de datos admite el script?
Actualmente, el script admite los siguientes orígenes de datos:
- Azure Blob Storage (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Azure SQL Database (AzureSQLDB)
- Azure SQL Managed Instance (AzureSQLMI)
- grupo dedicado de Azure Synapse (Synapse)
Puede elegir todos o cualquiera de estos orígenes de datos como parámetro de entrada al ejecutar el script.
¿Qué comprobaciones se incluyen en los resultados?
Azure Blob Storage (BlobStorage)
- RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector de datos de Storage Blob en cada una de las suscripciones situadas debajo del ámbito seleccionado.
- RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector en el ámbito seleccionado.
- Punto de conexión de servicio. Compruebe si el punto de conexión de servicio está activado y compruebe si permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento está habilitado.
- Redes: compruebe si el punto de conexión privado se crea para el almacenamiento y está habilitado para Blob Storage.
Azure Data Lake Storage Gen2 (ADLSGen2)
- RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector de datos de Storage Blob en cada una de las suscripciones situadas debajo del ámbito seleccionado.
- RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector en el ámbito seleccionado.
- Punto de conexión de servicio. Compruebe si el punto de conexión de servicio está activado y compruebe si permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento está habilitado.
- Redes: compruebe si el punto de conexión privado se crea para el almacenamiento y está habilitado para Blob Storage.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Redes. Compruebe si el punto de conexión de servicio está activado y compruebe si permitir que todos los servicios de Azure accedan a esta cuenta de Data Lake Storage Gen1 está habilitada.
- Permisos. Compruebe si MSI de Microsoft Purview tiene permisos de lectura y ejecución.
Azure SQL Database (AzureSQLDB)
instancias de SQL Server:
- Red. Compruebe si el punto de conexión público o el punto de conexión privado están habilitados.
- Firewall. Compruebe si permitir que los servicios y recursos de Azure accedan a este servidor está habilitado.
- Administración de Azure AD. Compruebe si Azure SQL Server tiene autenticación de Azure AD.
- Administración de Azure AD. Rellene el grupo o usuario administrador de Azure AD de Azure SQL Server.
Bases de datos SQL:
- Rol SQL. Compruebe si a Microsoft Purview MSI se le asigna el rol de db_datareader .
Azure SQL Managed Instance (AzureSQLMI)
SQL Managed Instance servidores:
- Red. Compruebe si el punto de conexión público o el punto de conexión privado están habilitados.
- ProxyOverride. Compruebe si Azure SQL Managed Instance está configurado como Proxy o Redirección.
- Redes. Compruebe si NSG tiene una regla de entrada para permitir AzureCloud a través de los puertos necesarios:
- Redirección: 1433 y 11000-11999
Otra posibilidad: - Proxy: 3342
- Redirección: 1433 y 11000-11999
- Administración de Azure AD. Compruebe si Azure SQL Server tiene autenticación de Azure AD.
- Administración de Azure AD. Rellene el grupo o usuario administrador de Azure AD de Azure SQL Server.
Bases de datos SQL:
- Rol SQL. Compruebe si a Microsoft Purview MSI se le asigna el rol de db_datareader .
grupo dedicado de Azure Synapse (Synapse)
RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector de datos de Storage Blob en cada una de las suscripciones situadas debajo del ámbito seleccionado.
RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector en el ámbito seleccionado.
SQL Server instancias (grupos dedicados):
- Red: compruebe si el punto de conexión público o el punto de conexión privado están habilitados.
- Firewall: compruebe si permitir que los servicios y recursos de Azure accedan a este servidor está habilitado.
- Administración de Azure AD: compruebe si Azure SQL Server tiene autenticación de Azure AD.
- Administración de Azure AD: rellene el grupo o usuario administrador de Azure AD de Azure SQL Server.
Bases de datos SQL:
- Rol SQL. Compruebe si a Microsoft Purview MSI se le asigna el rol de db_datareader .
Siguientes pasos
En este tutorial, ha aprendido a:
- Ejecute la lista de comprobación de preparación de Microsoft Purview para comprobar, a escala, si faltan la configuración de las suscripciones de Azure, antes de registrarlas y examinarlas en Microsoft Purview.
Vaya al siguiente tutorial para obtener información sobre cómo identificar el acceso necesario y configurar la autenticación y las reglas de red necesarias para Microsoft Purview en los orígenes de datos de Azure:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de