Menulis dan mempublikasikan kebijakan akses pemilik data (Pratinjau)

  • Artikel
  • 6 menit untuk membaca

Penting

Fitur ini sedang dalam Pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup ketentuan hukum yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Kebijakan akses memungkinkan pemilik data untuk mendelegasikan dalam Microsoft Purview manajemen akses ke sumber data. Kebijakan ini dapat ditulis langsung di portal tata kelola Microsoft Purview, dan setelah dipublikasikan, kebijakan tersebut diberlakukan oleh sumber data. Tutorial ini menjelaskan cara membuat, memperbarui, dan mempublikasikan kebijakan akses di portal tata kelola Microsoft Purview.

Prasyarat

Konfigurasi

Daftarkan Microsoft Purview sebagai penyedia sumber daya di langganan lain

Jalankan langkah ini hanya jika sumber data dan akun Microsoft Purview berada dalam langganan yang berbeda. Daftarkan Microsoft Purview sebagai penyedia sumber daya di setiap langganan tempat sumber data berada dengan mengikuti panduan ini: Daftarkan penyedia sumber daya.

Penyedia sumber daya Microsoft Purview adalah:

Microsoft.Purview

Mengonfigurasi izin untuk tindakan manajemen kebijakan

Bagian ini membahas izin yang diperlukan untuk:

  • Membuat sumber daya data tersedia untuk Manajemen Penggunaan Data. Langkah ini diperlukan sebelum kebijakan dapat dibuat di Microsoft Purview untuk sumber daya tersebut.
  • Menulis dan mempublikasikan kebijakan dalam Microsoft Purview.

Penting

Saat ini, peran Microsoft Purview yang terkait dengan operasi kebijakan harus dikonfigurasi di tingkat koleksi akar.

Izin untuk membuat sumber daya data tersedia untuk Manajemen Penggunaan Data

Untuk mengaktifkan pengalih Manajemen Penggunaan Data (DUM) untuk sumber data, grup sumber daya, atau langganan, pengguna yang sama harus memiliki hak istimewa IAM tertentu pada sumber daya dan hak istimewa Microsoft Purview tertentu.

  1. Pengguna harus memiliki salah satu kombinasi peran IAM berikut pada jalur ARM sumber daya atau induknya (menggunakan pewarisan).

    • Pemilik IAM
    • Baik Kontributor IAM + Administrator Akses Pengguna IAM

    Ikuti panduan ini untuk mengonfigurasi izin peran Azure RBAC. Cuplikan layar berikut menunjukkan cara mengakses bagian Access Control dalam pengalaman portal Azure untuk sumber daya data guna menambahkan penetapan peran:

Screenshot shows how to access Access Control in Azure Portal to add a role assignment

  1. Selain itu, pengguna yang sama harus memiliki peran administrator sumber data (DSA) Microsoft Purview di tingkat pengumpulan akar. Lihat panduan tentang mengelola Microsoft Purview penetapan peran. Cuplikan layar berikut menunjukkan cara menetapkan Admin Sumber Data di tingkat koleksi akar:

Screenshot shows how to assign Data Source Admin at root collection level

Izin untuk penulisan dan penerbitan kebijakan

Izin berikut diperlukan dalam Microsoft Purview di tingkat pengumpulan akar:

  • Peran penulis kebijakan dapat membuat atau mengedit kebijakan.
  • Peran administrator sumber data dapat mempublikasikan kebijakan.

Periksa bagian tentang mengelola penetapan peran Microsoft Purview dalam panduan ini.

Catatan

Masalah yang diketahui terkait dengan izin

  • Selain peran Pembuat kebijakan Microsoft Purview, pengguna mungkin memerlukan izin Pembaca Direktori pada Azure Active Directory untuk membuat kebijakan pemilik data. Ini adalah izin umum untuk pengguna di penyewa Azure. Anda bisa memeriksa izin untuk Pembaca Direktori Azure AD

Delegasi tanggung jawab kontrol akses untuk Microsoft Purview

Peringatan

  • Peran Pemilik IAM untuk sumber data dapat diwarisi dari grup sumber daya induk, langganan, atau Grup Manajemen langganan.
  • Setelah sumber daya diaktifkan untuk Pengelolaan Penggunaan Data, setiap set akar Microsoft Purview pembuat kebijakan akan dapat membuat kebijakan akses terhadapnya, dan setiap koleksi-akar Microsoft Purview Admin sumber data akan dapat memublikasikan kebijakan tersebut pada kapan saja setelahnya.
  • Setiap root Microsoft Purview Admin Koleksi dapat menetapkan peran baru koleksi-akar Admin Sumber Data dan Penulis kebijakan.
  • Jika akun Microsoft Purview dihapus, kebijakan apa pun yang diterbitkan akan berhenti diberlakukan dalam jumlah waktu yang bergantung dengan sumber data tertentu. Tindakan ini dapat berdampak pada ketersediaan keamanan dan akses data.

Dengan mengingat peringatan ini, berikut adalah beberapa praktik terbaik yang disarankan untuk izin:

  • Minimalkan jumlah orang yang memegang peran Admin Koleksi root Microsoft Purview, Admin Sumber Data root, atau root Penulis kebijakan.
  • Untuk memastikan pemeriksaan dan keseimbangan, tetapkan peran Microsoft Purview Penulis kebijakan dan Admin sumber data kepada orang yang berbeda dalam organisasi. Dengan ini, sebelum kebijakan data berlaku, orang kedua (Admin sumber data) harus meninjaunya dan secara eksplisit menyetujuinya dengan memublikasikannya.
  • Akun Microsoft Purview dapat dihapus oleh peran Kontributor dan Pemilik di IAM. Anda dapat memeriksa izin ini dengan membuka bagian Kontrol akses (IAM) untuk akun Microsoft Purview Anda dan memilih Penetapan Peran. Anda juga dapat menempatkan kunci untuk mencegah akun Microsoft Purview dihapus melalui kunci ARM.

Konfigurasi sumber data

Sebelum menulis kebijakan data di portal tata kelola Microsoft Purview, Anda harus mengonfigurasi sumber data sehingga mereka dapat menerapkan kebijakan tersebut.

  1. Ikuti prasyarat khusus kebijakan apa pun untuk sumber Anda. Periksa tabel sumber data yang didukung Microsoft Purview dan pilih tautan di kolom Kebijakan Akses untuk sumber yang menyediakan kebijakan akses. Ikuti langkah-langkah apa pun yang tercantum di bagian Kebijakan akses atau Prasyarat.
  2. Daftarkan sumber data di Microsoft Purview. Ikuti bagian Prasyarat dan Daftar dari halaman sumber untuk sumber daya Anda.
  3. Aktifkan pengalih Manajemen Penggunaan Data pada sumber data. Izin tambahan untuk langkah ini dijelaskan dalam dokumen tertaut.

Buat kebijakan baru

Bagian ini menjelaskan langkah-langkah untuk membuat kebijakan baru di Microsoft Purview.

  1. Masuk ke portal tata kelola Microsoft Purview.

  2. Navigasikan ke fitur Kebijakan data menggunakan panel sebelah kiri. Lalu pilih Kebijakan data.

  3. Pilih tombol Kebijakan Baru di halaman kebijakan.

    Data owner can access the Policy functionality in Microsoft Purview when it wants to create policies.

  4. Halaman kebijakan baru akan muncul. Masukkan Nama dan Deskripsi kebijakan.

  5. Untuk menambahkan pernyataan kebijakan ke kebijakan baru, pilih tombol Pernyataan kebijakan baru. Ini akan memunculkan penyusun pernyataan kebijakan.

    Data owner can create a new policy statement.

  6. Pilih tombol Efek dan pilih Izinkan dari daftar tarik-turun.

  7. Pilih tombol Tindakan dan pilih Baca atau Ubah dari daftar tarik-turun.

  8. Pilih tombol Sumber Daya Data untuk memunculkan jendela untuk memasukkan informasi sumber daya Data, yang akan terbuka di sebelah kanan.

  9. Di bawah Panel Sumber Daya Data, lakukan salah satu dari dua hal bergantung pada perincian kebijakan:

    • Untuk membuat pernyataan kebijakan luas yang mencakup seluruh sumber data, grup sumber daya, atau langganan yang sebelumnya terdaftar, gunakan kotak Sumber data dan pilih Jenisnya.
    • Untuk membuat kebijakan terperinci, gunakan kotak Aset sebagai gantinya. Masukkan Jenis Sumber Data dan Nama dari sumber data yang terdaftar dan dipindai sebelumnya. Lihat contoh dalam gambar.

    Data owner can select a Data Resource when editing a policy statement.

  10. Pilih tombol Lanjutkan dan melintasi hierarki untuk memilih dan mendasar objek data (misalnya: folder, file, dll.). Pilih Rekursif untuk menerapkan kebijakan dari titik tersebut dalam hierarki ke objek data turunan apa pun. Kemudian pilih tombol Tambahkan. Ini akan membawa Anda kembali ke editor kebijakan.

    Data owner can select the asset when creating or editing a policy statement.

  11. Pilih tombol Subjek dan masukkan identitas subjek sebagai prinsipal, grup, atau MSI. Kemudian pilih tombol OK. Ini akan membawa Anda kembali ke editor kebijakan

    Data owner can select the subject when creating or editing a policy statement.

  12. Ulangi langkah #5 hingga #11 untuk memasukkan pernyataan kebijakan lainnya.

  13. Pilih tombol Simpan untuk menyimpan kebijakan.

Sekarang setelah Anda membuat kebijakan, Anda harus mmempublikasikannya agar menjadi aktif.

Mempublikasikan kebijakan

Kebijakan yang baru dibuat berada dalam status draf. Proses penerbitan mengaitkan kebijakan baru dengan satu atau beberapa sumber data di bawah pemerintahan. Ini disebut "mengikat" kebijakan ke sumber data.

Langkah-langkah untuk mempublikasikan kebijakan adalah sebagai berikut:

  1. Masuk ke portal tata kelola Microsoft Purview.

  2. Navigasikan ke fitur Kebijakan data menggunakan panel sebelah kiri. Lalu pilih Kebijakan data.

    Data owner can access the Policy functionality in Microsoft Purview when it wants to update a policy by selecting 'Data policies'.

  3. Portal Kebijakan akan menampilkan daftar kebijakan yang ada di Microsoft Purview. Temukan kebijakan yang perlu diterbitkan. Pilih tombol Terbitkan di sudut kanan atas halaman.

    Data owner can publish a policy.

  4. Daftar sumber data ditampilkan. Anda dapat memasukkan nama untuk memfilter daftar. Kemudian, pilih setiap sumber data tempat kebijakan ini akan diterbitkan, lalu pilih tombol Terbitkan.

    Data owner can select the data source where the policy will be published.

Catatan

Setelah membuat perubahan pada kebijakan, tidak perlu mempublikasikannya lagi agar berlaku jika sumber data terus sama.

Memperbarui atau menghapus kebijakan

Langkah-langkah untuk memperbarui atau menghapus kebijakan di Microsoft Purview adalah sebagai berikut.

  1. Masuk ke portal tata kelola Microsoft Purview.

  2. Navigasikan ke fitur Kebijakan data menggunakan panel sebelah kiri. Lalu pilih Kebijakan data.

    Data owner can access the Policy functionality in Microsoft Purview when it wants to update a policy.

  3. Portal Kebijakan akan menampilkan daftar kebijakan yang ada di Microsoft Purview. Pilih kebijakan yang perlu diperbarui.

  4. Halaman detail kebijakan akan muncul, termasuk opsi Edit dan Hapus. Pilih tombol Edit, yang menampilkan pembuat pernyataan kebijakan. Sekarang, setiap bagian dari pernyataan dalam kebijakan ini dapat diperbarui. Untuk menghapus kebijakan, gunakan tombol Hapus.

    Data owner can edit or delete a policy statement.

Langkah berikutnya

Untuk panduan khusus tentang membuat kebijakan, Anda dapat mengikuti tutorial berikut: