Konsep untuk kebijakan pemilik data Microsoft Purview

Penting

Fitur ini sedang dalam Pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup ketentuan hukum yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Artikel ini membahas konsep yang terkait dengan pengelolaan akses ke sumber data di data estate Anda dari dalam portal tata kelola Microsoft Purview.

Catatan

Kemampuan ini berbeda dari kontrol akses untuk Microsoft Purview itu sendiri, yang dijelaskan dalam Kontrol akses di Microsoft Purview.

Gambaran Umum

Kebijakan akses di Microsoft Purview memungkinkan Anda mengelola akses ke sistem data yang berbeda di seluruh data estate Anda. Contohnya:

Pengguna memerlukan akses baca ke akun Azure Storage yang telah terdaftar di Microsoft Purview. Anda dapat memberikan akses ini langsung di Microsoft Purview dengan membuat kebijakan akses data melalui aplikasi manajemen Kebijakan di portal tata kelola Microsoft Purview.

Kebijakan akses data dapat diberlakukan melalui Purview pada sistem data yang telah didaftarkan untuk kebijakan.

Konsep kebijakan Microsoft Purview

Kebijakan Microsoft Purview

Kebijakan adalah kumpulan pernyataan kebijakan yang diberi nama. Saat kebijakan diterbitkan ke satu atau beberapa sistem data di bawah tata kelola Purview, kebijakan tersebut kemudian diberlakukan oleh mereka. Definisi kebijakan mencakup nama kebijakan, deskripsi, dan daftar satu atau lebih pernyataan kebijakan.

Pernyataan kebijakan

Pernyataan kebijakan adalah instruksi yang dapat dibaca manusia yang menentukan bagaimana sumber data harus menangani operasi data tertentu. Pernyataan kebijakan terdiri dari Efek, Tindakan, Sumber Daya Data, dan Subjek.

Tindakan

Tindakan adalah operasi yang diizinkan atau ditolak sebagai bagian dari kebijakan ini. Misalnya: Baca atau Ubah. Tindakan logis tingkat tinggi ini memetakan ke satu (atau lebih) tindakan data dalam sistem data tempat tindakan tersebut diterapkan.

Efek

Efek menunjukkan apa yang seharusnya menjadi efek yang dihasilkan dari kebijakan ini. Saat ini, satu-satunya nilai yang didukung adalah Izinkan.

Sumber daya data

Sumber daya data adalah jalur aset data yang sepenuhnya memenuhi syarat tempat pernyataan kebijakan dapat diterapkan. Hal ini sesuai dengan format berikut:

/subscription/<subscription-id>/resourcegroups/<resource-group-name>/providers/<provider-name>/<data-asset-path>

Format jalur aset data Azure Storage:

Microsoft. Storage/storageAccounts/<account-name>/blobservice/default/containers/<container-name>

Format jalur aset data DB Azure SQL:

Microsoft.Sql/servers/<server-name>

Subjek

Identitas pengguna akhir dari Azure Active Directory yang pernyataan kebijakan ini berlaku. Identitas ini dapat berupa perwakilan layanan, pengguna individu, grup, atau identitas layanan terkelola (MSI).

Contoh

Tolak Baca pada Aset Data: /subscription/finance/resourcegroups/prod/providers/Microsoft.Storage/storageAccounts/finDataLake/blobservice/default/containers/FinData untuk mengelompokkan analis Keuangan

Dalam pernyataan kebijakan di atas, efeknya adalah Tolak, tindakannya adalah Baca, sumber daya data Azure Storage kontainer FinData, dan subjeknya adalah Azure Active Directory grup Analis keuangan. Jika ada pengguna yang termasuk dalam grup ini mencoba membaca data dari kontainer penyimpanan FinData, permintaan akan ditolak.

Penerapan kebijakan secara hierarkis

Sumber daya data yang ditentukan dalam pernyataan kebijakan bersifat hierarkis secara default. Hal ini berarti bahwa pernyataan kebijakan berlaku untuk objek data itu sendiri dan untuk semua objek anak yang disimpan oleh objek data. Misalnya, pernyataan kebijakan pada kontainer penyimpanan Azure berlaku untuk semua blob yang ada di dalamnya.

Algoritma penggabungan kebijakan

Microsoft Purview dapat memiliki pernyataan kebijakan berbeda yang merujuk ke aset data yang sama. Saat mengevaluasi keputusan untuk akses data, Microsoft Purview menggabungkan semua kebijakan yang berlaku dan memberikan keputusan terkonsolidasi. Strategi penggampingan memilih kebijakan yang paling ketat. Misalnya, mari kita asumsikan dua kebijakan berbeda pada kontainer Azure Storage FinData sebagai berikut,

Kebijakan 1 - Izinkan Baca pada Aset Data /subscription/…./containers/FinData Untuk mengelompokkan analis Keuangan

Kebijakan 2 - Tolak Baca pada Aset Data /subscription/…./containers/FinData Untuk mengelompokkan kontraktor Keuangan

Kemudian mari kita asumsikan bahwa pengguna ‘user1’, yang merupakan bagian dari dua grup: Analis keuangan dan Kontraktor keuangan, menjalankan panggilan ke API pembacaan blob. Karena kedua kebijakan akan berlaku, Microsoft Purview akan memilih yang paling ketat, yaitu TolakBaca. Dengan demikian, permintaan akses akan ditolak.

Catatan

Saat ini, satu-satunya efek yang didukung adalah Izinkan.

Penerbitan kebijakan

Kebijakan yang baru dibuat ada dalam status mode draf, hanya terlihat di Microsoft Purview. Tindakan penerbitan memulai penerapan kebijakan dalam sistem data tertentu. Ini adalah tindakan asinkron yang dapat memakan waktu antara 5 menit dan 2 jam agar efektif, tergantung pada kode penegakan di sumber data yang mendasar. Untuk informasi selengkapnya, lihat tutorial yang terkait dengan setiap sumber data

Kebijakan yang diterbitkan ke sumber data dapat berisi referensi ke aset milik sumber data yang berbeda. Referensi tersebut akan diabaikan karena aset yang dipermasalahkan tidak ada di sumber data tempat kebijakan diterapkan.

Langkah berikutnya

Periksa tutorial tentang cara membuat kebijakan di Microsoft Purview yang berfungsi pada sistem data tertentu seperti Azure Storage:

• Mengakses provisi oleh pemilik data ke himpunan data Azure Storage
• Mengaktifkan kebijakan pemilik data Microsoft Purview pada semua sumber data dalam langganan atau grup sumber daya