Penyediaan akses grup sumber daya serta langganan oleh pemilik data (pratinjau)

Penting

Fitur ini sedang dalam Pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup ketentuan hukum yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Kebijakan akses memungkinkan Anda mengelola akses dari Microsoft Purview ke sumber data yang sudah terdaftar untuk Manajemen Penggunaan Data.

Anda juga dapat mendaftarkan seluruh grup sumber daya atau langganan, dan membuat satu kebijakan yang akan mengelola akses ke semua sumber data di grup sumber daya atau langganan tersebut. Kebijakan tunggal tersebut akan mencakup semua sumber data yang ada dan sumber data apa pun yang dibuat setelahnya. Artikel ini menjelaskan bagaimana hal ini dilakukan.

Prasyarat

• Akun Azure dengan langganan aktif. Buat akun gratis.
• Buat baru, atau gunakan akun Microsoft Purview yang sudah ada. Anda dapat mengikuti panduan mulai cepat kami untuk membuatnya.
• Buat baru, atau gunakan grup sumber daya yang sudah ada, dan tempatkan sumber data baru di bawahnya. Ikuti panduan ini untuk membuat grup sumber daya baru.

Hanya sumber data ini yang diaktifkan untuk kebijakan akses pada grup sumber daya atau langganan. Ikuti bagian Prasyarat yang khusus untuk sumber data dalam panduan ini:

• Kebijakan pemilik data pada akun Azure Storage
• Kebijakan pemilik data pada Azure SQL Database*
• Kebijakan pemilik data pada SQL Server yang mendukung Arc*

(*) Hanya pemantauan Performa SQL dan tindakan Audit keamanan yang didukung penuh untuk sumber data jenis SQL. Tindakan Baca memerlukan solusi yang dijelaskan nanti dalam panduan ini. Tindakan Modifikasi saat ini tidak didukung untuk sumber data jenis SQL.

Konfigurasi

Daftarkan Microsoft Purview sebagai penyedia sumber daya di langganan lain

Jalankan langkah ini hanya jika sumber data dan akun Microsoft Purview berada dalam langganan yang berbeda. Daftarkan Microsoft Purview sebagai penyedia sumber daya di setiap langganan tempat sumber data berada dengan mengikuti panduan ini: Daftarkan penyedia sumber daya.

Penyedia sumber daya Microsoft Purview adalah:

Microsoft.Purview

Mengonfigurasi izin untuk tindakan manajemen kebijakan

Bagian ini membahas izin yang diperlukan untuk:

• Membuat sumber daya data tersedia untuk Manajemen Penggunaan Data. Langkah ini diperlukan sebelum kebijakan dapat dibuat di Microsoft Purview untuk sumber daya tersebut.
• Menulis dan mempublikasikan kebijakan dalam Microsoft Purview.

Penting

Saat ini, peran Microsoft Purview yang terkait dengan operasi kebijakan harus dikonfigurasi di tingkat koleksi akar.

Izin untuk membuat sumber daya data tersedia untuk Manajemen Penggunaan Data

Untuk mengaktifkan pengalih Manajemen Penggunaan Data (DUM) untuk sumber data, grup sumber daya, atau langganan, pengguna yang sama harus memiliki hak istimewa IAM tertentu pada sumber daya dan hak istimewa Microsoft Purview tertentu.

1. Pengguna harus memiliki salah satu kombinasi peran IAM berikut pada jalur ARM sumber daya atau induknya (menggunakan pewarisan).

   • Pemilik IAM
   • Baik Kontributor IAM + Administrator Akses Pengguna IAM

   Ikuti panduan ini untuk mengonfigurasi izin peran Azure RBAC. Cuplikan layar berikut menunjukkan cara mengakses bagian Access Control dalam pengalaman portal Azure untuk sumber daya data guna menambahkan penetapan peran:

2. Selain itu, pengguna yang sama harus memiliki peran administrator sumber data (DSA) Microsoft Purview di tingkat pengumpulan akar. Lihat panduan tentang mengelola Microsoft Purview penetapan peran. Cuplikan layar berikut menunjukkan cara menetapkan Admin Sumber Data di tingkat koleksi akar:

Izin untuk penulisan dan penerbitan kebijakan

Izin berikut diperlukan dalam Microsoft Purview di tingkat pengumpulan akar:

• Peran penulis kebijakan dapat membuat atau mengedit kebijakan.
• Peran administrator sumber data dapat mempublikasikan kebijakan.

Periksa bagian tentang mengelola penetapan peran Microsoft Purview dalam panduan ini.

Catatan

Masalah yang diketahui terkait dengan izin

• Selain peran Pembuat kebijakan Microsoft Purview, pengguna mungkin memerlukan izin Pembaca Direktori pada Azure Active Directory untuk membuat kebijakan pemilik data. Ini adalah izin umum untuk pengguna di penyewa Azure. Anda bisa memeriksa izin untuk Pembaca Direktori Azure AD

Delegasi tanggung jawab kontrol akses untuk Microsoft Purview

Peringatan

• Peran Pemilik IAM untuk sumber data dapat diwarisi dari grup sumber daya induk, langganan, atau Grup Manajemen langganan.
• Setelah sumber daya diaktifkan untuk Pengelolaan Penggunaan Data, setiap set akar Microsoft Purview pembuat kebijakan akan dapat membuat kebijakan akses terhadapnya, dan setiap koleksi-akar Microsoft Purview Admin sumber data akan dapat memublikasikan kebijakan tersebut pada kapan saja setelahnya.
• Setiap root Microsoft Purview Admin Koleksi dapat menetapkan peran baru koleksi-akar Admin Sumber Data dan Penulis kebijakan.
• Jika akun Microsoft Purview dihapus, kebijakan apa pun yang diterbitkan akan berhenti diberlakukan dalam jumlah waktu yang bergantung dengan sumber data tertentu. Tindakan ini dapat berdampak pada ketersediaan keamanan dan akses data.

Dengan mengingat peringatan ini, berikut adalah beberapa praktik terbaik yang disarankan untuk izin:

• Minimalkan jumlah orang yang memegang peran Admin Koleksi root Microsoft Purview, Admin Sumber Data root, atau root Penulis kebijakan.
• Untuk memastikan pemeriksaan dan keseimbangan, tetapkan peran Microsoft Purview Penulis kebijakan dan Admin sumber data kepada orang yang berbeda dalam organisasi. Dengan ini, sebelum kebijakan data berlaku, orang kedua (Admin sumber data) harus meninjaunya dan secara eksplisit menyetujuinya dengan memublikasikannya.
• Akun Microsoft Purview dapat dihapus oleh peran Kontributor dan Pemilik di IAM. Anda dapat memeriksa izin ini dengan membuka bagian Kontrol akses (IAM) untuk akun Microsoft Purview Anda dan memilih Penetapan Peran. Anda juga dapat menempatkan kunci untuk mencegah akun Microsoft Purview dihapus melalui kunci ARM.

Mendaftarkan grup langganan atau sumber daya untuk Manajemen Penggunaan Data

Grup langganan atau sumber daya perlu didaftarkan dengan Microsoft Purview untuk menentukan kebijakan akses nanti.

Untuk mendaftarkan langganan atau grup sumber daya Anda, ikuti bagian Prasyarat dan Daftar dari panduan ini:

• Mendaftarkan beberapa sumber daya di Microsoft Purview

Setelah mendaftarkan sumber daya, Anda harus mengaktifkan Manajemen Penggunaan Data. Manajemen Penggunaan Data memengaruhi keamanan data Anda, karena mendelegasikan pengguna tertentu untuk mengelola akses ke sumber daya data dari dalam Microsoft Purview.

Untuk memastikan Anda mengaktifkan Manajemen Penggunaan Data dengan aman, dan mengikuti praktik terbaik, ikuti panduan ini untuk mengaktifkan Manajemen Penggunaan Data untuk grup sumber daya atau langganan Anda:

• Cara mengaktifkan Manajemen Penggunaan Data

Pada akhirnya, sumber daya Anda akan membuat pengalih Manajemen Penggunaan Data akan Diaktifkan, seperti yang ditunjukkan pada gambar:

Penting

• Jika ingin membuat kebijakan pada grup sumber daya atau langganan dan memberlakukannya di server SQL berkemampuan Arc, Anda perlu juga mendaftarkan server tersebut secara independen untuk Manajemen penggunaan data untuk menyediakan ID Aplikasi mereka.

Membuat dan menerbitkan kebijakan pemilik data

Jalankan langkah-langkah di bagian Buat kebijakan baru dan Publikasikan kebijakan dari tutorial penulisan kebijakan pemilik data. Hasilnya akan menjadi kebijakan pemilik data yang serupa dengan contoh yang ditunjukkan pada gambar: kebijakan yang memberikan grup keamanan sg-Financemodifikasi akses ke grup sumber daya finance-rg. Gunakan kotak Sumber data dalam pengalaman pengguna Kebijakan.

Penting

• Terbitkan adalah operasi latar belakang. Misalnya, Azure Storage akun dapat memakan waktu hingga 2 jam untuk mencerminkan perubahan.
• Mengubah kebijakan tidak memerlukan operasi penerbitan baru. Perubahan akan diambil dengan penarikan berikutnya.

Peringatan

Masalah yang Diketahui

• Tidak ada izin koneksi implisit yang disediakan untuk sumber data jenis SQL (misalnya: Azure SQL DB, server SQL di server yang didukung Azure Arc) saat membuat kebijakan dengan tindakan Baca pada grup sumber daya atau langganan. Untuk mendukung skenario ini, berikan izin penyambungan ke prinsipal Azure AD secara lokal, yaitu langsung di sumber data jenis SQL.

Informasi Tambahan

• Membuat kebijakan di tingkat langganan atau grup sumber daya akan memungkinkan Subjek mengakses kontainer sistem Azure Storage, misalnya, $logs. Jika ini tidak diinginkan, pertama-tama pindai sumber data lalu buat kebijakan yang lebih halus untuk masing-masing (yaitu, pada tingkat kontainer atau subkontainer).

Batas

Batas kebijakan Microsoft Purview yang dapat diterpakan oleh akun Storage adalah 100 MB per langganan, yang kira-kira sama dengan 5000 kebijakan.

Langkah berikutnya

Periksa blog, demo, dan tutorial terkait:

• Konsep untuk kebijakan pemilik data Microsoft Purview
• Blog: tata kelola tingkat grup sumber daya dapat mengurangi upaya secara signifikan
• Video: Demo kebijakan akses pemilik data untuk Azure Storage